Seja bem-vinde a mais uma edição do Boletim! Nesta 64ª edição do Boletim, inicialmente, destacamos que após o aviso formal enviado pela Autoridade Italiana, o TikTok suspendeu a transição para […]
Seja bem-vinde a mais uma edição do Boletim!
Nesta 64ª edição do Boletim, inicialmente, destacamos que após o aviso formal enviado pela Autoridade Italiana, o TikTok suspendeu a transição para o uso de legítimo interesse como base legal para direcionamento de publicidade “personalizada” a maiores de 18 anos. Nesse sentido, a referida Autoridade apontou que foi uma decisão “responsável” do aplicativo e declarou-se aberta a um diálogo para buscar um equilíbrio entre os interesses econômicos e os direitos dos titulares em questão.
Ainda no contexto internacional, o Information Commissioner’s Office (ICO) e a Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) declararam possuir uma forte missão comum de defender os direitos à proteção de dados pessoais dos titulares, apoiando a inovação digital e o desenvolvimento econômico. Em reconhecimento a isso, as entidades assinaram um Memorando de Entendimento (MoU), firmando uma cooperação que é essencial em tempos de negócios globais orientados por dados.
Por fim, na academia, destacamos o relatório publicado conjuntamente pela Asociación por los Derechos Civiles (ADC), Associação Data Privacy Brasil de Pesquisa e Instituto Alana “Dados e direitos na infância e adolescência no ambiente digital: caminhos para a proteção jurídica no Brasil e Argentina”. O relatório tem como objetivo discutir a importância de padrões rigorosos de proteção de crianças e adolescentes no ambiente digital, especialmente no que diz respeito aos chamados riscos de consumo e à exploração comercial, a partir do melhor interesse e sua aplicação prática no Brasil e na Argentina.
Desejamos a todes uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Dinamarca
A Autoridade Dinamarquesa de Proteção de Dados tomou uma decisão em um caso em que a Sports Connection ApS relatou um incidente de segurança de dados pessoais. A Sports Connection foi vítima de um ataque de hackers, no qual pessoas não autorizadas injetaram código malicioso na loja virtual da Sports Connections para coletar informações de pagamento de seus clientes. Antes do incidente, a empresa não havia corrigido a segurança do programa de comércio eletrônico para a versão mais recente. Diante dessa situação, a Autoridade emitiu um parecer expressando sérias críticas à empresa em questão. A decisão pode ser acessada aqui .
Autoridade Dinamarquesa investigou um caso sobre monitoramento de funcionários na região
A Autoridade Dinamarquesa de Proteção de Dados iniciou uma investigação na cidade de Aalborg, região onde funcionários do município, de acordo com suas próprias declarações, foram monitorados no ambiente de trabalho por meio de vídeo e áudio. Através da cobertura da mídia e de uma carta anônima enviada a vários políticos, os funcionários afirmaram que foram monitorados pela seção de TI de Emprego e Bem-Estar. Nesse contexto, a Autoridade iniciou uma investigação sobre o caso, com o objetivo de esclarecer se esse monitoramento ocorreu e, em caso afirmativo, se ocorreu de acordo com as normas de proteção de dados pessoais.
Autoridade analisa o uso pelos municípios da ferramenta de criação de perfis de IA Asta
A Autoridade Dinamarquesa para o Mercado de Trabalho e Recrutamento (STAR) solicitou à Autoridade Dinamarquesa de Proteção de Dados que avaliasse o uso pelos municípios da ferramenta de criação de perfis “IA Asta”. A Asta é um instrumento que permite realizar uma análise de probabilidade de duração da permanência de um beneficiário de subsídio de desemprego na mesma situação. Ou seja, a ferramenta realiza uma análise estatística do cidadão para estimar a duração do recebimento do benefício até o retorno ao mercado de trabalho. Com base nisso, a Autoridade fez algumas recomendações: (i) O consentimento não pode constituir a base legal, uma vez que o consentimento do cidadão no contexto em questão não pode ser considerado voluntário; (ii) Disposição sobre o exercício da autoridade: por outro lado, a STAR quando utiliza a ferramenta Asta, está agindo com base na Portaria de Proteção de Dados sobre o exercício da autoridade, o que pressupõe que a ferramenta deve ser a implementada, com base na legislação nacional; (iii) Se forem tratadas categorias especiais de dados pessoais, a proibição de tratamento desses dados só se aplicará nos casos em que existam interesses sociais significativos, o que pressupõe também que o tratamento seja autorizado pela legislação nacional.
Espanha
O diretor da Agência Espanhola de Proteção de Dados (AEPD), Mar España Martí, e o presidente da UNICEF Espanha, Gustavo Suárez Pertierra, assinaram um Protocolo de Ação Geral para o desenvolvimento de ações destinadas a proteger os direitos da infância. O protocolo prevê que a AEPD e a UNICEF colaborem em campanhas de sensibilização sobre o uso adequado da Internet por crianças e adolescentes, bem como na divulgação de materiais educativos. Da mesma forma, contempla a colaboração entre ambas as instituições ou através da criação de grupos de trabalho com outros atores. Prevê ainda o desenvolvimento de ações de formação para grupos profissionais e entidades especializadas na proteção da criança em ambientes digitais. O Protocolo inclui uma comissão de monitoramento, composta por dois representantes de cada uma das partes, cujo objetivo é garantir a adequada coordenação, cumprimento, aplicação e acompanhamento do Protocolo. A referida comissão será responsável por propor as ações e medidas a serem adotadas, os instrumentos adequados para sua execução e realizar sua avaliação. A assinatura deste protocolo enquadra-se na Responsabilidade Social da Agência , alinhada com a Agenda 2030 e os Objetivos de Desenvolvimento Sustentável.
França
Autoridade Francesa enviou 15 notificações formais contra sites insuficientemente seguros
No âmbito de um dos seus temas prioritários para 2021 , “cibersegurança da web francesa”, o CNIL realizou uma série de verificações online e de documentos (ou seja, com base nos documentos transmitidos) em vinte e um sites de organizações francesas no setor público (municípios, hospitais universitários, ministérios, etc.) e no setor privado (plataformas de comércio eletrônico, provedores de soluções de TI, etc.). O tema tem sido privilegiado pela CNIL porque as falhas de segurança dos websites estão entre as violações mais frequentemente observadas durante as investigações e são suscetíveis de conduzir a incidentes de proteção de dados pessoais. Estas verificações destinaram-se também a reforçar o nível de segurança dos sites das autoridades locais, especialmente porque são particularmente suscetíveis de serem vítimas de ataques como por meio de ransomware. Todas as verificações realizadas pela CNIL levaram-na a encerrar seis processos e a emitir uma notificação formal a quinze entidades do país: (i) os encerramentos, justificados pela baixa gravidade das violações observadas, assumiram a forma de uma carta alertando os responsáveis pelo tratamento das medidas a serem implementadas para o cumprimento integral do GDPR; (ii) os avisos formais referem-se a práticas que não cumprem pontos importantes de segurança, tornando as organizações vulneráveis a ataques informáticos.
Itália
Nas últimas semanas, o Tiktok havia informado seus usuários que os maiores de 18 anos seriam alcançados por publicidade “personalizada”, ou seja, baseada no perfil de comportamento na navegação no TikTok. Além disso, a plataforma mudou sua política de privacidade ao fornecer como base legal para o tratamento de dados não mais o consentimento das partes interessadas, mas o “legítimo interesse” do Tik Tok e seus parceiros. A Autoridade Italiana, então, iniciou imediatamente uma investigação sobre a modificação da política de privacidade e solicitou informações à rede social, bem como fazendo uso de um dos poderes previstos no Regulamento da UE, enviou um “aviso” formal à Empresa, informando que um processamento realizado com a referida base legal, especialmente em relação a as informações armazenadas nos dispositivos dos usuários, estaria violando o marco regulatório vigente, com as consequências óbvias, inclusive sanções. Ressalte-se que a violação da diretiva “ePrivacy” permitiu a Autoridade Italiana intervir direta e urgentemente contra o Tik Tok, fora do procedimento de cooperação previsto pelo GDPR, que teria exigido o exercício da iniciativa pela Autoridade de Proteção de Dados Irlandesa, país onde o Tik Tok estabeleceu seu estabelecimento principal.
Após o aviso formal realizado pela Autoridade Italiana, o Tik Tok suspendeu a transição para o uso de legítimo interesse como base legal para publicidade “personalizada” para maiores de 18 anos, ou seja, com base no perfil de comportamento na navegação na plataforma. A Autoridade apontou que foi uma decisão “responsável” da rede social e declarou-se aberta a um diálogo para buscar um equilíbrio entre os interesses econômicos e os direitos dos titulares em questão. Na disposição adotada em caráter de urgência em 7 de julho passado, a Autoridade já havia alertado o Tik Tok que, na ausência de consentimento explícito, o uso de dados pessoais armazenados nos dispositivos dos usuários para perfilá-los e enviar publicidade personalizada seria ilegal. De forma contrária ao que alegou inicialmente a plataforma, que tinha identificado como legítimo interesse uma base legal adequada para os mencionados fins, a Autoridade Italiana apontou que a atividade teria estado em contraste com o “ePrivacy” de 2002 diretiva e com as normas de proteção de dados pessoais.
Irlanda
A Comissão de Proteção de Dados da Irlanda celebrou o resultado do processo de acusação, julgado pelo Tribunal Distrital da Cidade de Dublin, contra uma conhecida empresa de telecomunicações do país em relação a violações atreladas a marketing. A Vodafone Ireland Limited foi declarada culpada de uma série de acusações relacionadas a chamadas telefônicas de marketing não solicitadas e sem consentimento. O caso principal envolveu uma cliente que recebeu uma chamada de marketing em seu número de celular em julho de 2021. A reclamante optou por não receber marketing a partir de março de 2018. A Vodafone Ireland Limited verificou manualmente as opções antes de fazer a comunicação e devido a erro humano, incluiu a reclamante. Diante disso, o tribunal aplicou a Lei de Probation of Offenders neste caso, determinando que a empresa deverá doar € 500 para a instituição de caridade Little Flower Penny Dinners, entre outras sanções.
Reino Unido
ICO lançou o plano ICO 25 que estabelece as suas abordagens e prioridades regulatórias
O Information Commissioner’s Office (ICO) estabeleceu um compromisso de salvaguardar os direitos de informação das pessoas mais vulneráveis, incluindo um esforço de trabalho regulatório em torno da privacidade das crianças, discriminação orientada por IA, uso de algoritmos dentro do sistema de benefícios e o impacto de chamadas de marketing predatórias. Tais diretrizes foram estabelecidas no ICO 25, um plano de três anos que estabelece a abordagem e as prioridades regulatórias da ICO. O plano ICO 25 estabelece como a Autoridade regulará e priorizará o trabalho nos próximos três anos, o que irá incluir: (i) um olhar para o impacto de chamadas de marketing predatórias; (ii) um olhar para o uso de algoritmos dentro do sistema de benefícios; (iii) análise do impacto que o uso da IA no recrutamento pode ter em pessoas neurodiversas ou minorias étnicas, que não fizeram parte dos testes deste software; e (iv) apoio contínuo à privacidade das crianças. O plano também enfatiza a importância da certeza e flexibilidade para os negócios, anunciando um pacote de ações para ajudar as empresas a economizar pelo menos £ 100 milhões nos próximos três anos.
ICO pediu revisão do uso de e-mail privado e aplicativos de mensagens dentro do governo
O Information Commissioner’s Office (ICO) pediu hoje uma revisão do governo sobre os riscos sistêmicos e as áreas de melhoria em torno do uso de canais de correspondência privada – incluindo e-mail privado, WhatsApp e outros aplicativos de mensagens semelhantes. O relatório da ICO – Behind the screens – mantendo a transparência do governo e a segurança dos dados na era dos aplicativos de mensagens – detalha uma investigação de um ano, lançada em 2021 pela comissária Elizabeth Denham, sobre o uso desses canais por ministros e funcionários do Departamento de Saúde e Assistência Social (DHSC) durante a pandemia. A investigação descobriu que a falta de controles claros e o rápido aumento no uso de aplicativos e tecnologias de mensagens – como o WhatsApp – tinham o potencial de levar à perda ou tratamento inseguro de informações importantes sobre a resposta do governo à pandemia. Diante disso, o ICO concluiu que havia riscos reais para a transparência e a prestação de contas dentro do governo e agora pediu uma revisão das práticas, bem como ações a serem tomadas para garantir que melhorias sejam feitas em relação à forma como funcionários e ministros vão usar os canais de correspondência privada no futuro.
ICO e NCSC se uniram contra pagamentos de resgates solicitados por ransomwares
O Centro Nacional de Segurança Cibernética (NCSC) e o Information Commissioner’s Office (ICO) foram informados de que algumas empresas, após ataques de ransomwares, estão pagando resgates com a expectativa de que esta é a coisa certa a fazer, bem como achando que não precisam envolver o ICO como regulador. No entanto, os ataques de ransomware normalmente envolvem a criptografia de arquivos de uma organização por criminosos cibernéticos, que exigem dinheiro em troca de restabelecer o acesso a eles. Nesse sentido, por meio de uma carta conjunta, o NCSC e o ICO pediram à Law Society para lembrar seus membros que eles não devem aconselhar os clientes a pagar demandas de ransomware caso sejam vítimas de um ataque cibernético.
O Information Commissioner’s Office (ICO) e a Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) declararam possuir uma forte missão comum e compartilhada de defender os direitos à proteção de dados pessoais dos titulares, apoiando a inovação digital e o desenvolvimento econômico. Em reconhecimento a isso, tais entidades assinaram um Memorando de Entendimento (MoU). A cooperação entre as autoridades internacionais de proteção de dados é essencial em tempos de negócios globais orientados por dados e este MoU se baseia na forte colaboração entre ambas. O MoU vem depois que o PIPC foi reestruturado como uma autoridade independente de proteção de dados na Coréia após a alteração de três leis de proteção de dados e também em um momento de aumento do comércio entre o Reino Unido e a Coréia. O MoU estabelece como as autoridades continuarão a compartilhar experiências e melhores práticas; cooperar em projetos específicos de interesse; e compartilhar informações ou inteligência para apoiar seu trabalho regulatório.
ICO estabeleceu uma nova abordagem para aplicação do setor público
O Information Commissioner’s Office (ICO) estabeleceu hoje uma abordagem revisada para trabalhar de forma mais eficaz com as autoridades públicas. Esta abordagem, descrita numa carta aberta do Comissário de Informação do Reino Unido, John Edwards, às autoridades públicas, fará uso do poder discricionário do Comissário para reduzir o impacto das multas no setor público, juntamente com um melhor envolvimento, incluindo a divulgação das lições aprendidas e a partilha de boas prática. Ele será testado nos próximos dois anos. Na prática, isso significará um aumento no uso dos poderes mais amplos do ICO, incluindo advertências e avisos de execução, com multas emitidas apenas nos casos mais graves. Além disso, o ICO também trabalhará mais de perto com o setor público para incentivar o cumprimento das normas de proteção de dados e evitar danos antes que eles aconteçam.
México
INAI emitiu recomendações para reforçar a proteção de dados pessoais em compras na internet
Para proteger os dados pessoais ao fazer compras pela Internet e reduzir o risco de seu uso indevido, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) oferece uma série de recomendações aos usuários. Entre as obrigações dos sujeitos regulados, está a de colocar o Aviso de Privacidade está disponível para os titulares; usar os dados fornecidos apenas para os fins para os quais foram recolhidos; Bloquear os dados assim que a finalidade for cumprida, bem como implementar medidas de segurança físicas, técnicas e administrativas para evitar a perda, destruição, alteração ou uso não autorizado dos dados. Além disso, para evitar o tratamento impróprio ou divulgação não autorizada de dados pessoais durante as compras online, o INAI recomenda à população: (i) Ler atentamente o Aviso de Privacidade antes de fornecer dados pessoais, para saber quem será o responsável pela tratamento de dados pessoais, bem como as finalidades e o uso que lhes será dado; (ii) Revisar também os termos e condições de cada site onde as compras são feitas; (iii) Entregar os dados pessoais estritamente necessários para a aquisição do bem ou serviço de interesse; (iv) Verificar se a loja online é segura e fornece as informações necessárias sobre consumo e tratamento de dados pessoais, entre outros pontos.
Proteção de Dados nas Universidades
Dados e direitos na infância e adolescência no ambiente digital: caminhos para a proteção jurídica no Brasil e Argentina
Associação Data Privacy Brasil de Pesquisa
Durante um ano a Asociación por los Derechos Civiles (ADC), Associação Data Privacy Brasil de Pesquisa e Instituto Alana se uniram em um grupo de estudos para pensar caminhos possíveis para o desenvolvimento de um ambiente digital livre de exploração comercial para que crianças e adolescentes latino-americanos possam desenvolver livremente seus direitos fundamentais. Como resultado, foi produzido o relatório “Dados e direitos na infância e adolescência no ambiente digital: caminhos para a proteção jurídica no Brasil e Argentina”. O relatório tem como objetivo discutir a importância de padrões rigorosos de proteção de crianças e adolescentes no ambiente digital, especialmente no que diz respeito aos chamados riscos de consumo e à exploração comercial, a partir do melhor interesse, proteção integral, prioridade absoluta e a autonomia progressiva em sua dimensão internacional e sua aplicação prática no Brasil e na Argentina. Ao contrastar esses institutos com os modelos de negócios baseados em dados, predominantes no ambiente digital, o relatório propõe uma agenda latino-americana para a proteção de dados de crianças e adolescentes.
Global platforms, partial protections: Design discriminations on social media platforms
Fairplay, Associação Data Privacy Brasil de Pesquisa e outros.
O relatório Global Platforms, Partial Protections (disponível em inglês), lançado pela organização estadunidense Fairplay, documenta como uma colcha de retalhos de regulamentações internacionais criou um ambiente digital no qual crianças do Sul Global e de outros lugares estão expostas a abusos de design muito mais manipuladores do que crianças na Europa. A pesquisa foi realizada por organizações da sociedade civil, incluindo a Associação Data Privacy Brasil de Pesquisa. O relatório destaca uma série de disparidades preocupantes nos recursos do TikTok, WhatsApp e Instagram para usuários jovens de 14 países diferentes, incluindo Brasil, Indonésia e Reino Unido. O TikTok, por exemplo, oferece proteções adicionais para jovens europeus com menos de 18 anos para fornecer “uma experiência apropriada à idade”. Em outros países, no entanto, os usuários adolescentes não recebem as mesmas proteções. Para remediar as desigualdades documentadas, o relatório recomenda que os legisladores promulguem legislação exigindo que as plataformas implementem configurações e políticas que ofereçam a maior proteção ao bem-estar e à privacidade de todos os jovens.
Proteção de Dados no Legislativo
Proposto Projeto de Lei para criação do Dia Internacional da Proteção de Dados Pessoais
O Projeto de Lei 2076/2022, proposto pelo Senador Eduardo Gomes (PL/TO), tem como objetivo instituir o Dia Nacional da Proteção de Dados. Nesse sentido, estabelece o dia 14 de agosto a data a ser celebrada anualmente o dia da proteção de dados pessoais. Atualmente, o projeto encontra-se no Plenário do Senado Federal (Secretaria Legislativa do Senado Federal).
