Boletim Jurídico nº 59 – Maio de 2023.

Metasanção: 1,2 bilhão de euros… e depois?

A multa imposta em 12 de maio pela autoridade irlandesa à Meta, empresa controladora do Facebook, é a mais alta já aplicada por uma autoridade de proteção de dados desde a entrada em vigor do GDPR, em um momento em que o regulamento celebra seu quinto ano de aplicação.

No cerne dessa decisão está o O Facebook transfere dados de seus usuários europeus para os Estados Unidos, um país que já não é considerado como oferecendo um nível adequado de proteção. desde a decisão do Tribunal de Justiça da União Europeia de 16 de julho de 2020 (acórdão Schrems II).

Esta nova sanção é também um símbolo de cooperação entre as autoridades de proteção de dados, uma vez que a decisão da autoridade irlandesa é o resultado de um procedimento longo e árduo, para não mencionar uma disputa com as suas congéneres europeias.

Assim, a APD foi obrigada a ampliar o escopo de sua decisão e impor uma multa significativa.

Segundo a ONG NOYB e seu presidente, Max Schrems, que iniciaram a denúncia, não há necessariamente nada a comemorar.

O processo durou três anos, enfrentando uma autoridade nacional que o bloqueou sistematicamente em várias fases, resultando em mais de dez milhões de euros em custos legais… para uma multa que irá para o Estado irlandês.

 

Quais são as consequências concretas para a Meta?

A decisão inclui um período de implementação: a empresa tem até meados de outubro para interromper a transferência dos dados de seus usuários para os Estados Unidos.

A empresa também deverá excluir todos os dados já transferidos de seus centros de dados nos EUA antes de meados de novembro.

Embora a empresa tenha ameaçado cessar a prestação de seus serviços na Europa, a probabilidade desse anúncio se concretizar é duvidosa, visto que a Europa é sua maior fonte de receita depois dos Estados Unidos, com a criação de diversos centros de dados localizados em território europeu.

A empresa anunciou que apresentará um recurso nacional contra a autoridade irlandesa e que buscará a suspensão da ordem até o esgotamento dos recursos judiciais.

A Meta provavelmente está ganhando tempo, contando com um novo acordo transatlântico que regularize as transferências de dados para os Estados Unidos antes do outono.

No entanto, é preciso lembrar, por um lado, que um novo acordo não legalizará as transferências passadas e as violações da lei já comprovadas e, por outro lado, que o patamar exigido para um futuro acordo transatlântico é elevado.

O projeto atual já enfrentou fortes críticas do Parlamento Europeu e não é certo que resistirá ao escrutínio do Tribunal de Justiça da União Europeia (TJUE).

 

Impacto nas GAFAMs e nos controladores de dados em geral

As leis de vigilância dos EUA, que servem de base para as decisões da autoridade irlandesa, do CEPD (Comitê Europeu para a Proteção de Dados) e do TJUE (Tribunal de Justiça da União Europeia), representam um problema para todos os principais provedores de serviços em nuvem dos EUA, como Microsoft, Google ou Amazon.

Cabe ressaltar que a legislação americana pertinente sobre vigilância (FISA 702) precisa ser reautorizada até dezembro de 2023.

Embora diversas autoridades supervisoras europeias já tenham considerado ilegal o uso de serviços americanos que envolvem transferência de dados, suas decisões não foram acompanhadas de uma multa tão elevada quanto a imposta à Meta.

Isso poderia incentivar as principais empresas de tecnologia americanas e todas aquelas que utilizam serviços de "nuvem" de origem americana a revisarem suas práticas e a realizarem, pelo menos, uma análise de impacto das transferências.

 

No entanto, ainda seria necessário que as autoridades de proteção de dados fossem suficientemente dissuasivas na aplicação do RGPD.

Atualmente, estão sendo criticadas por sua falta de eficácia, como demonstra o recente relatório do Conselho Irlandês para as Liberdades Civis (ICCL).

Sua análise demonstra que o GDPR raramente é aplicado contra as grandes empresas de tecnologia.

Poucos casos importantes na Europa teriam resultado em medidas de execução sérias: "o registo de decisões finais do CEPD revela que a maioria (64 %) das 159 medidas de execução tomadas no final de 2022 foram meramente repreensões."

O estudo, como era de esperar, aponta o dedo para a Comissão Irlandesa de Proteção de Dados, uma vez que 75 das decisões de investigação desta autoridade em casos da UE foram anuladas por maioria de votos no Conselho Europeu de Proteção de Dados.

O contexto relativo às medidas de reparação está a evoluir no sentido de uma melhor proteção dos indivíduos: a diretiva europeia sobre medidas coletivas deverá ser implementada este verão, o que dará aos utilizadores europeus uma via adicional de recurso, permitindo-lhes intentar ações coletivas em caso de violação do RGPD em toda a União Europeia.

Os Países Baixos, que já permitem esse tipo de recurso, estão a registar um aumento de ações judiciais.

A organização holandesa de defesa do consumidor "Consumentenbond" está reunindo usuários holandeses do Facebook para apresentar uma queixa contra a transferência de dados entre a União Europeia e os Estados Unidos.

Por fim, uma decisão recente do Tribunal de Justiça da União Europeia (TJUE) (Österreichische Post AG) abriu caminho para "ações de pequeno valor" por violações de privacidade, confirmando que não é necessário um limiar de gravidade para o dano moral sofrido, o que poderia permitir que os usuários reivindicassem indenizações por violações relacionadas, por exemplo, à vigilância em massa realizada pelos Estados Unidos.

Isso levaria a pedidos de indenização que excederiam em muito as penalidades atuais.

 

E também

     

• Em 16 de maio, a CNIL publicou um plano de ação para a implementação de sistemas de IA que respeitem a privacidade dos indivíduos.

A empresa pretende expandir seu trabalho em câmeras de realidade aumentada e ampliar sua atuação para inteligência artificial generativa e grandes modelos de linguagem (LLMs), bem como aplicações derivadas (incluindo chatbots).

Este trabalho também ajudará a preparar a entrada em vigor do projeto de regulamento europeu sobre IA.

• A CNIL (Comissão Nacional de Informática e Liberdades) aplicou uma multa de 380.000 euros à empresa DOCTISSIMO.

A Comissão observou diversas deficiências no RGPD, particularmente no que diz respeito aos períodos de retenção de dados, à recolha de dados de saúde através de testes online, à segurança dos dados e aos métodos de colocação de cookies nos terminais dos utilizadores.

• A CNIL publicou seu relatório de atividades de 2022 em 23 de maio.

A lista destaca os principais acontecimentos do ano passado, incluindo maior apoio a empresas e administrações públicas, campanhas de informação pública e educação digital para os mais jovens, além do tratamento de reclamações e ações de fiscalização.

• O Conselho de Estado disponibilizou online a gravação do dia de debates que organizou em 10 de fevereiro de 2023, em conjunto com a CNIL e a Alliance IHU France, sobre o tema "IA e big data: como irão revolucionar a investigação e a prática médica do futuro".

Isso ocorreu após o estudo do Conselho de Estado "Inteligência Artificial e Ação Pública", de agosto de 2022.

• Em uma decisão datada de 23 de abril de 2023, o Tribunal de Apelação de Paris decidiu que as mensagens do WhatsApp devem ser tratadas como mensagens SMS quando trocadas nas mesmas condições.

No contexto de uma disputa entre uma empresa e ex-funcionários, o tribunal decidiu que o empregador poderia acessar mensagens "pessoais" não especificadas de um grupo do WhatsApp nos telefones de trabalho dos ex-funcionários.

 

Instituições e órgãos europeus

• Enquanto o RGPD celebra o seu 5º aniversário, numerosos estudos apresentam uma avaliação mista da sua implementação.

A ONG noyb publica sobre este assunto uma visão geral dos 800 casos do RGPD que apresentou nos últimos cinco anos às autoridades de proteção de dados (APD), dos quais 86 ainda aguardam uma decisão.

A ONG identificou mais de 60 problemas processuais que estão dificultando a aplicação do RGPD (Regulamento Geral sobre a Proteção de Dados).

Embora a multa imposta à Meta esteja a ser notícia, a ONG acredita que, em geral, as autoridades de proteção de dados não aplicam o RGPD em tempo oportuno.

• Uma avaliação realizada pelo Future of Privacy Forum (FPF) revela que as violações do Artigo 25 do RGPD, referentes à "privacidade desde a concepção", são as que resultaram nas multas mais elevadas.

O estudo baseia-se em mais de 90 casos e explica que "algumas autoridades de proteção de dados aplicam o Artigo 25 antes que outras violações do RGPD ocorram ou mesmo antes que o processamento de dados pretendido seja realizado".

• O Conselho Europeu de Proteção de Dados (EDPB) acaba de eleger Anu Talus, comissária finlandesa para a proteção de dados, como sua presidente.

O novo presidente substituirá a presidente cessante, Andrea Jelinek, e supervisionará o trabalho do comitê pelos próximos cinco anos.

• O CEPD publica uma coletânea de casos sobre o direito de oposição e ao apagamento previstos no artigo 17.º do RGPD. Analisa uma seleção de decisões exemplares do seu registo público.
• O Grupo de Direção do "Quadro de Transparência e Consentimento" da IAB Europa publicou a versão 2.2 do seu quadro de referência.

As principais mudanças incluem a remoção da base legal do interesse legítimo para a personalização de publicidade e conteúdo, a melhoria das informações fornecidas aos usuários finais e a exigência de que os provedores forneçam informações adicionais sobre suas atividades de processamento de dados.

• Um grupo de 30 especialistas em TI e cibersegurança sediados na Europa escreveu uma carta aberta aos líderes da UE.

Eles expressam suas preocupações sobre os sérios riscos que a proposta de regulamentação da Comissão Europeia sobre abuso sexual infantil (ASI) representa para a confidencialidade e segurança de todas as comunicações, bem como para a saúde geral da internet e do ecossistema de informação.

 

Notícias dos países membros da Europa.

• A Autoridade Federal Alemã de Proteção de Dados (BfDI) confirmou que a análise de desenvolvimentos tecnológicos, como a IA generativa, sob a perspectiva da proteção de dados, faz parte de suas atribuições.
• A autoridade dinamarquesa de proteção de dados repreendeu um controlador de dados por compartilhar dados pessoais com a Meta Ireland sem antes garantir que esta última cumprisse o RGPD (Regulamento Geral sobre a Proteção de Dados) ao transferir dados para as plataformas da Meta nos Estados Unidos.
• Na sequência de um escândalo de violação de dados de grande repercussão e após uma queixa apresentada pela ONG noyb, a Autoridade de Proteção de Dados de Malta (DPA) ordenou à C-Planet que cumprisse um pedido de acesso a dados e divulgasse a origem dos dados pessoais que detinha. Neste caso, os dados foram expostos no âmbito de uma violação relativa às opiniões políticas de 335.000 eleitores da ilha.
• A União de Consumidores Holandesa entrou com uma ação coletiva contra o Google por rastrear a localização, a navegação na web e o uso de aplicativos dos usuários sem consentimento válido. Espera-se que o Google indenize todos os usuários que utilizaram seus serviços desde 1º de março de 2012.
• A Autoridade Belga de Proteção de Dados (APD) ordenou a proibição da transferência de dados fiscais de cidadãos americanos residentes na Bélgica para os Estados Unidos. Segundo a APD, o acordo FATCA, que permite tais transferências, não está em conformidade com o RGPD (Regulamento Geral de Proteção de Dados) e a autoridade tributária belga deveria ter realizado uma avaliação de impacto.
• O Conselho Norueguês de Recursos de Privacidade determinou que uma plataforma de aluguel de carros tem uma base legal, de acordo com o Artigo 6(1)(f) do RGPD, para avaliar a solvência de um titular de dados a fim de reduzir o risco financeiro da empresa.
• Na sequência de uma denúncia anônima contra uma agência de cobrança de dívidas, a Autoridade Croata de Proteção de Dados (APD) aplicou uma multa de 2.265.000 euros por falta de medidas de segurança, consentimento e violação da obrigação de fornecer informações por parte do responsável pelo tratamento de dados.
• Na sequência de uma denúncia, a Autoridade Austríaca de Proteção de Dados (APD) emitiu uma decisão contra a empresa de reconhecimento facial Clearview AI em 10 de maio de 2023. A decisão constatou violações do RGPD (artigos 5, 6 e 9), ordenou ao responsável pelo tratamento de dados que apagasse os dados do denunciante e que nomeasse um representante na Áustria, nos termos do artigo 27.º do Regulamento.
• Em 15 de maio, o Gabinete do Comissário de Informação (ICO, na sigla em inglês) multou o TikTok em £ 12.700.000 por uma série de violações da legislação de proteção de dados, incluindo o uso ilegal de dados pessoais de crianças.

 

• Há uma tendência crescente de utilização de IA em contextos profissionais. Por exemplo, um advogado americano utilizou o ChatGPT para pesquisar casos jurídicos para um documento judicial, e pelo menos seis dos casos citados eram inexistentes – um caso típico de alucinação por IA, em que o chatbot inventa informações.

O juiz responsável pelo caso escreveu: “O Tribunal enfrenta uma situação sem precedentes. Uma petição apresentada pelo advogado do autor, opondo-se a uma moção de indeferimento, está repleta de citações de casos inexistentes.” O advogado pediu desculpas e agora enfrentará um processo disciplinar.

• Em 16 de maio, Sam Altman, CEO da OpenAI, prestou depoimento perante o Congresso dos EUA.

Após reconhecer que a IA poderia potencialmente "dar errado" e declarar seu desejo de trabalhar com o governo para evitar que isso acontecesse, ele matizou suas observações: o desenvolvedor do ChatGPT acredita que é importante permitir que empresas e projetos de código aberto desenvolvam certos modelos "abaixo de um limite de capacidade significativo", sem regulamentação pesada ou mecanismos como licenças ou auditorias.

• Em 23 de maio, o Congresso dos EUA divulgou um relatório intitulado "Inteligência Artificial Generativa e Privacidade de Dados: Uma Introdução": o relatório se concentra em questões de privacidade e considerações políticas relevantes para o Congresso.
• Ainda na área de IA, o Electronic Privacy Information Center (EPIC) publicou seu relatório intitulado "Generating Harms – Generative AI's Impact & Paths Forward" (Gerando Danos – O Impacto da IA Generativa e Caminhos para o Futuro). O documento estabelece uma ponte entre os campos da privacidade e da IA sob a perspectiva dos potenciais danos.
• A Comissão Federal de Comércio dos Estados Unidos emitiu uma declaração de política sobre a coleta de informações biométricas que não passou despercebida.

A agência afirma que usará sua experiência em práticas desleais para processar o processamento prejudicial de informações biométricas e está desenvolvendo uma interpretação ampla de dados biométricos, incluindo dados como uma fotografia facial, mesmo que não sejam processados para identificar a pessoa em questão.

• Em 18 de maio, o Procurador-Geral do Estado de Washington anunciou que o Google pagaria US$ 39,9 milhões ao estado por práticas enganosas de geolocalização.

O Google também implementará uma série de reformas para aumentar a transparência de suas configurações de geolocalização.

• A Comissão Europeia, em colaboração com a ASEAN (Associação de Nações do Sudeste Asiático), publicou um guia sobre transferências de dados pessoais utilizando cláusulas contratuais padrão adotadas pelas duas organizações.

O guia será publicado em duas partes: um "Guia de Referência" que compara os CMCs da ASEAN com os CSCs da UE, e um "Guia de Implementação" que descreve as melhores práticas de empresas que atendem aos requisitos de ambos os conjuntos de cláusulas contratuais.

• A Rede Ibero-Americana de Autoridades de Proteção de Dados (“RIPD”) anunciou em 8 de maio que coordenaria uma investigação relativa ao ChatGPT.
• Em 11 de abril de 2023, a Administração do Ciberespaço da China (CAC) publicou uma minuta de medidas administrativas para serviços de inteligência artificial generativa (“minuta de medidas de IA”).

Este projeto estaria alinhado com a abordagem geral da China em relação à regulamentação de dados, segurança cibernética e conteúdo online, que enfatiza fortemente a manutenção da ordem política e social.

A CAC também publicou diretrizes em 30 de maio sobre o registro de contratos padrão para a exportação de dados pessoais.

• Em 23 de maio, o Ministério da Tecnologia da Informação e Telecomunicações do Paquistão finalizou um projeto de lei sobre a proteção de dados pessoais.

Entrará em vigor no prazo máximo de dois anos a partir da data de sua promulgação, conforme determinação do governo federal.

• As autoridades brasileiras ordenaram o bloqueio do aplicativo Telegram, amplamente utilizado no Brasil, alegando que ele não estava cooperando suficientemente em uma investigação em andamento sobre grupos neonazistas.

O tribunal ordenou que o Telegram pagasse uma multa de aproximadamente € 200.000 por dia por não fornecer essas informações. O pedido continha apenas parcialmente os detalhes necessários.