Seja bem-vinde a mais uma edição do Boletim! Nesta 63ª edição do Boletim, inicialmente, destacamos o lançamento do livro digital “Construindo caminhos para a justiça de dados no Brasil: o […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 63ª edição do Boletim, inicialmente, destacamos o lançamento do livro digital “Construindo caminhos para a justiça de dados no Brasil: o papel das Defensorias Públicas na proteção de dados pessoais”, elaborado pela Associação Data Privacy de Pesquisa. A Associação atuou ao lado de Defensorias Públicas de todo o Brasil com o objetivo de fortalecer os conhecimentos e instrumentos para proteger dados pessoais, tanto internamente, através de fortes programas de governança de dados, quanto externamente, através da atuação individual e em litígios estratégicos envolvendo direitos coletivos.
No contexto internacional, a Autoridade Espanhola de Proteção de Dados (AEPD) publicou o Guia para profissionais do setor de saúde, um documento que responde às dúvidas mais frequentes relacionadas aos profissionais envolvidos na prestação de serviços de saúde, cuja finalidade é facilitar o cumprimento das normas de proteção de dados e a garantia dos direitos dos usuários desses serviços. O documento aborda questões sobre a legitimidade para realizar o tratamento de dados de saúde; quem pode acessar o histórico clínico dos pacientes, entre outros pontos.
Por fim, salientamos que a Federal Trade Comission (FTC) publicou um relatório direcionado ao Congresso para alertar sobre o uso de inteligência artificial (IA) voltado para combater problemas online. Nesse sentido, o relatório descreve preocupações significativas, apontando que ferramentas de IA podem ser imprecisas, tendenciosas e discriminatórias por design, além de incentivar a dependência de formas cada vez mais invasivas de vigilância comercial.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A Coordenação-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD) prorrogou até o dia 30 de junho o prazo para envio de respostas à pesquisa para mapear temas e formatos para realização de ações educativas. O objetivo das ações é promover a educação e a cultura de proteção de dados no País. A justificativa para ampliar o prazo é para dar maior divulgação do teor da pesquisa para diferentes setores da sociedade. A pesquisa é realizada por formulário eletrônico disponível na plataforma Participa Mais Brasil, opção Opine Aqui, até o dia 30/06. Clique aqui para acessar o formulário. Para ver mais informações da pesquisa acesse aqui.
A Coordenação-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD) (ANPD) prorrogou até o dia 30 de junho o prazo para colaborações da sociedade com a tomada de subsídios para a elaboração do regulamento sobre transferências internacionais de dados pessoais.As colaborações deverão ser enviadas exclusivamente por meio da plataforma Participa Mais Brasil, na opção Opine Aqui até o dia 30 de junho de 2022 (quinta-feira).O prazo terminaria nesta sexta-feira, dia 17 de junho. A justificativa para ampliar o prazo é para dar maior divulgação da tomada de subsídios e coletar mais contribuições, informações e dados relevantes para o processo de regulamentação a partir da escuta dos diferentes setores interessados que, possivelmente, serão afetados pela publicação do ato normativo. As transferências interacionais de dados pessoais tornaram-se instrumentos chave para o desenvolvimento da economia digital. Nesse contexto, a regulamentação dos mecanismos que viabilizam tais transferências é importante não apenas para viabilizar a inserção competitiva de empresas brasileiras em cadeias globais de valor, como também para garantir a efetiva proteção dos titulares e de seus dados pessoais. Clique aqui para acessar a lista de perguntas.
Foi realizada a 2ª Reunião Extraordinária do Conselho Nacional de Proteção de Dados (CNPD), sob coordenação da Sra. Stefani Vogel, Presidente Suplente do Colegiado. Dentre outros assuntos, foi abordada a contribuição do CNPD que será encaminhada para a Tomada de Subsídios nº 02/2022 da ANPD, sobre Transferências Internacionais de Dados Pessoais. Representando o Grupo de Trabalho 4 (GT 4) do CNPD, a Sra. Ana Paula Bialer apresentou o relatório do GT sobre o tema e o material será analisado pelos membros do Conselho para posterior apresentação à ANPD. A pauta contou ainda com exposição da Sra. Patrícia Peck, coordenadora do GT/CNPD que trata da temática de ações educacionais de proteção de dados. Em sua exposição, a coordenadora relatou entregas já realizadas e próximas atividades do Grupo de Trabalho. A ata da reunião será divulgada no site do CNPD no prazo estabelecido em seu Regimento Interno.
A Autoridade Nacional de Proteção de Dados (ANPD) realizará um evento para celebrar a publicação da Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022, que transforma a natureza jurídica da ANPD em autarquia de natureza especial. O evento acontecerá no auditório do Ministério das Comunicações, Bloco R, na Esplanada dos Ministérios para convidados e será transmitido ao vivo pelo canal da Autoridade no Youtube. O intuito é comemorar a publicação da medida provisória e reforçar a importância da aprovação do projeto de lei que converte, definitivamente, a ANPD em autarquia. Para os jornalistas que tenham interesse em participar da solenidade, de forma presencial, deverão solicitar credenciamento até às 18h do dia 27 de junho de 2022 (horário de Brasília), pelo e-mail ascom@anpd.gov.br.
Debate reuniu especialistas para a instituição de uma data para o Dia Nacional da Proteção de Dados
Na manhã desta quinta-feira (23/06), a audiência pública organizada pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática, do Senado Federal, debateu a instituição de uma data que celebre a proteção de dados no Brasil. O intuito é ter uma data para divulgar ações e promover campanhas educativas e de conscientização sobre o tema. A audiência foi aberta pelo Senador Izalci Lucas (PSDB-DF), que anunciou a propositura de um projeto de lei, de autoria do Senador Eduardo Gomes (PL-TO), que pretende incluir o Dia Nacional da Proteção de Dados no calendário nacional. Participaram da audiência representantes da Autoridade Nacional de Proteção de Dados (ANPD), do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), da Associação Brasileira das Empresas de Software (ABES) e do Fórum Empresarial LGPD. Foram consideradas três datas possíveis para a celebração: (i) 28 de janeiro, dia em que o Conselho da Europa aprovou, em 1981, a Convenção para Proteção de Dados Individuais, conhecida como Convenção 108; (ii) 10 de fevereiro, data de promulgação da Emenda Constitucional 115, que em 2022 incluiu a proteção de dados pessoais entre os direitos e garantias fundamentais; e (iii) 14 de agosto, dia de sanção da LGPD (Lei 13.709, de 2018). Assista a audiência completa.
Espanha
AEPD publicou um guia dirigido a profissionais do setor da saúde
A Autoridade Espanhola de Proteção de Dados (AEPD) publicou o Guia para profissionais do setor de saúde, um documento que responde às dúvidas mais frequentes relacionadas aos profissionais envolvidos na prestação de serviços de saúde, cuja finalidade é facilitar o cumprimento das normas de proteção e a garantia dos direitos dos usuários desses serviços. O Guia destina-se prioritariamente aos profissionais de saúde que exercem a sua atividade a título individual, embora as suas orientações possam ser úteis para quem trabalha no âmbito dos estabelecimentos do gênero. Ressalte-se que os dados de saúde estão incluídos na categoria de “Dados especiais” do GDPR e, portanto, têm um regime de proteção diferenciado. Em 2021, a AEPD registou 680 reclamações relacionadas à saúde, o que representa uma quantidade de 75% a mais do que em 2020, segundo dados do último Relatório Anual. O documento aborda questões que são frequentemente levantadas neste setor, tais como, a legitimidade para realizar o tratamento desses tipos de dados; quem pode acessar o histórico clínico dos pacientes, bem como a gestão dos direitos dos pacientes ou situações que possam envolver a comunicação de dados a terceiros.
A Autoridade Espanhola de Proteção de Dados (AEPD) publicou as orientações necessárias para se candidatar aos “Prêmios de Proteção de Dados Pessoais 2022”. Essa edição inclui as seguintes categorias: (i) Empreendedorismo na proteção de dados Prêmio “Ángela Ruiz Robles”; (ii) Iniciativas e boas práticas para maior proteção da privacidade das mulheres contra a violência digital; (iii) Proatividade e boas práticas em conformidade com o GDPR e com a Lei de Proteção de Dados do País; (iv) Comunicação, Boas Práticas Educativas para um uso responsável e seguro da Internet por crianças e adolescentes e (v) A pesquisa “Emilio Aced” sobre proteção de dados pessoais. O objetivo de promover tais prêmios é reconhecer o trabalho desenvolvido para a divulgação desse direito fundamental em áreas como a educação, área empresarial e investigação técnico-científica, bem como premiar as boas práticas com relação a um tópico sensível que é a proteção da privacidade das mulheres contra a violência digital. O prazo para apresentação de candidaturas termina no dia 18 de novembro.
Estados Unidos
A Federal Trade Comission (FTC) publicou um relatório direcionado ao Congresso para alertar sobre o uso de inteligência artificial (IA) para combater problemas online, requerendo que os parlamentares tenham “grande cautela” ao confiar nesse tipo de tecnologia como uma solução política. O uso de IA, principalmente por grandes plataformas de tecnologia e outras empresas, vem com limitações e problemas próprios. Nesse sentido, o relatório descreve preocupações significativas de que as ferramentas de IA podem ser imprecisas, tendenciosas e discriminatórias por design, além de incentivar a dependência de formas cada vez mais invasivas de vigilância comercial. Em pronunciamento emitido em 2021, o Congresso instruiu a FTC a examinar maneiras pelas quais a IA “pode ser usada para identificar, remover ou tomar qualquer outra ação apropriada necessária para resolver a ocorrência de danos online”. Os danos que são de particular preocupação para o Congresso incluem fraude online, falsificação de identidade, bots, manipulação de mídia, venda ilegal de drogas e outras atividades ilegais como exploração sexual, crimes de ódio, assédio online e campanhas de desinformação destinadas a influenciar as eleições. O documento tem um posicionamento contra o uso da IA como uma solução política para esses problemas online e analisa que sua adoção também pode introduzir uma série de danos adicionais como (i)Falhas e imprecisões inerentes ao design; (ii) Preconceito e discriminação; (iii)Incentivos de vigilância comercial, entre outros pontos.
European Data Protection Board
Autoridade de Luxemburgo adotou o mecanismo de certificação GDPR-CARPA
Luxemburgo tornou-se o primeiro país a introduzir um mecanismo de certificação de acordo com os critérios do GDPR. Empresas, autoridades públicas, associações e outras organizações estabelecidas no país têm agora a possibilidade de demonstrar que as suas atividades de tratamento de dados estão em conformidade com o GDPR. O GDPR-CARPA oferece, portanto, um alto nível de conformidade com o regulamento para controladores e operadores atrelado às atividades de tratamento cobertas pela certificação. A implementação de um mecanismo de certificação pode promover a transparência e fortalecer o cumprimento do GDPR, além de permitir aos titulares dos dados aferir melhor o grau de proteção oferecido pelos produtos, serviços, processos ou sistemas utilizados ou oferecidos pelas organizações. Ressalte-se, no entanto, que o mecanismo de certificação GDPR não certifica uma organização, mas sim operações de tratamento específicas. O GDPR-CARPA é o primeiro mecanismo de certificação a ser adotado a nível nacional e internacional sob o GDPR e a conferência de lançamento foi realizada no dia 28 de junho. Mais informações estão disponíveis no site da CNPD www.cnpd.lu.
Itália
“O site que utiliza o serviço Google Analytics (GA), sem as garantias previstas no GDPR, viola a legislação de proteção de dados porque transfere os dados do usuário para os Estados Unidos, país sem nível de proteção adequado”. Isso foi afirmado pela Autoridade Italiana na conclusão de uma investigação complexa iniciada em conjunto com outras autoridades da Europa e com fundamento em uma série de reclamações submetidas por titulares. Durante a investigação, a Autoridade identificou que os gestores dos websites que utilizam o GA recolhem, através de cookies, informações sobre as interações dos usuários com os sites, páginas visitadas e os serviços utilizados. Nesse sentido, dentre a grande quantidade de dados recolhidos, o endereço IP e informações relativas ao navegador, sistema operacional, idioma selecionado, bem como à data e hora da visita ao website também eram coletados. Após os resultados obtidos, a Autoridade adotou a primeira de uma série de medidas por meio das quais advertiu, por exemplo, a empresa Caffeina Media Srl, que administra um site, ordenando-a a cumprir o Regulamento Europeu no prazo de noventa dias. Além disso, a Autoridade destacou, em particular, a possibilidade de entidades governamentais e agências de inteligência dos EUA acessarem dados pessoais transferidos sem as devidas garantias, considerando que as medidas adotadas pelo Google não garantem atualmente um nível adequado de proteção dos dados pessoais aos usuários. Findo o prazo de noventa dias atribuído à empresa ora mencionada, a Autoridade Italiana iniciará a adoção de medidas mais direcionadas de investigação.
Proteção de Dados nas Universidades
Direitos reprodutivos e vigilância: seus dados podem ser usados contra você
MESQUITA, Hana; GARROTE, Marina.
Embora os esforços para controlar o corpo das gestantes não sejam novidade, atualmente o ativismo anti-aborto conta com estratégicas mais sofisticadas para constranger e perseguir: as tecnologias de coleta e processamento de dados possibilitam rastrear e identificar pessoas que buscam abortar, repassando às autoridades informações que podem levar a processos criminais. Nesse contexto, os aplicativos de monitoramento de ciclo menstrual (period tracking apps) são uma fonte de dados sensíveis a serem vendidos por data brokers ao movimento anti-aborto. Como explicado pela ONG Coding Rights (@codingrights), os chamados “menstruapps” representam um novo segmento do mercado tech. Esses aplicativos, que estão entre os mais populares das apps de saúde, realizam o monitoramento do ciclo menstrual e auxiliam no planejamento, na prevenção à gravidez e no alívio de sintomas. O verdadeiro chamariz desses apps é a conveniência e praticidade, o que leva às pessoas a adquiri-los sem avaliar as repercussões da coleta de dados sensíveis. Tais aplicativos reproduzem a antiga e conhecida dinâmica de controlar a partir da apropriação dos corpos. Todos esses pontos são abordados pelo texto publicado no Portal Catarinas, que, partindo do mencionado caso ocorrido recentemente, analisa a exploração dos corpos como um negócio lucrativo e o barateamento e a onipresença das novas tecnologias, o que permite uma nova forma de dominação da subjetividade a partir da precificação de dados sensíveis de saúde.
Associação Data Privacy de Pesquisa
O livro digital “Construindo caminhos para a justiça de dados no Brasil: o papel das Defensorias Públicas na proteção de dados pessoais” representa um dos exitosos frutos colhidos ao longo da caminhada de dois anos do projeto “Expandindo o papel das Defensorias Públicas na proteção de dados pessoais no Brasil”. Iniciado em 2020, com o apoio da Fundação Ford, o projeto nasceu a partir do reconhecimento de que as Defensorias Públicas desempenham um papel fundamental na concretização de direitos. Em um país profundamente marcado por desigualdades sociais e assimetrias de poder como o Brasil, a missão constitucional das Defensorias Públicas significa um compromisso real com a população socioeconomicamente vulnerável. Tendo em mente este compromisso, a Associação Data Privacy Brasil de Pesquisa atuou ao lado da instituição com o objetivo de fortalecer as Defensorias Públicas com conhecimentos e instrumentos para proteger dados pessoais, tanto internamente, através de fortes programas de governança de dados, quanto externamente, através da atuação individual e em litígios estratégicos envolvendo direitos coletivos. Encerrada a primeira fase do projeto, o presente livro digital marca uma virada na compreensão da proteção de dados pessoais como um instrumento de justiça, sendo necessário incorporar, nas reflexões sobre proteção de dados e direitos digitais, preocupações sobre equidade, emancipação, justiça social e transformação estrutural.
Data Protection And Privacy Laws: An Indian Perspective
PANDEY, Shraddha.
Na Índia, várias medidas estão sendo adotadas para trazer à luz as preocupações sobre a privacidade e proteção de dados dos indivíduos. Nesse sentido, após a decisão histórica do caso de 2017, proferida pela Suprema Corte da Índia, que tornou o direito à privacidade um direito fundamental, foram elaboradas e publicadas legislações atreladas ao tema que se tornaram contribuições muito importantes. Com base nesse contexto, o artigo analisa toda a jornada de desenvolvimento da legislação indiana de privacidade e proteção de dados pessoais após a referida decisão, com foco especialmente nas últimas alterações realizadas.
Proteção de Dados no Legislativo
Proposto projeto de lei para instalação de câmeras de vigilância no uniforme dos policiais
O Projeto de Lei 1714/2022, proposto pelo Deputado Bibo Nunes (PL/RS), tem como objetivo dispor sobre a obrigatoriedade de instalação de câmeras de vigilância no uniforme dos policiais que atuam nas Escolas Cívico-Militares. Entre outros pontos, o PL torna obrigatória a gravação das ações dos policiais que atuam na docência, coordenação pedagógica e atividades relacionadas à formação do aluno, por uma câmera acoplada ao corpo do agente de segurança. Além de estabelecer as referidas gravações deverão “ser realizadas de forma a individualizar o registro por cada policial participante das ações”. Atualmente, o projeto encontra-se Sujeito à Apreciação do Plenário
