Boletim Jurídico nº 62 – Agosto de 2023.

DMA, DSA: as novas obrigações das gigantes da tecnologia.

No início de setembro, a proteção dos direitos dos usuários online está se expandindo, com a aplicação da Lei de Serviços Digitais às principais plataformas e a publicação da lista de empresas sujeitas à Lei dos Mercados Digitais.

• Desde 25 de agosto, o regulamento europeu sobre serviços digitais (DSA) aplica-se às plataformas online de grande dimensão (VLOPs) e aos motores de busca online de grande dimensão (VLOSEs).

O regulamento também se aplicará, a partir de 17 de fevereiro de 2024, a todos os intermediários que oferecem seus serviços a usuários residentes na UE, incluindo plataformas online como lojas de aplicativos, plataformas de economia colaborativa e plataformas de mídia social, com obrigações mais limitadas.

Exceções adicionais são previstas para PMEs e microempresas.

Dezenove empresas se enquadram na categoria de VLOPS e VLOSES, de acordo com a decisão da Comissão Europeia de 25 de abril, incluindo TikTok, Facebook, X, Snapchat, YouTube e Google Search, varejistas online influentes como Amazon e Zalando, e os dois principais mecanismos de busca online, Bing e Google Search.

Essas empresas terão que cumprir um conjunto de obrigações relativas à transparência, proteção de menores, moderação de conteúdo e respeito à privacidade.

Em particular, precisarão identificar e avaliar os riscos sistêmicos decorrentes de seus serviços, incluindo sistemas algorítmicos, tais como:

• A distribuição de conteúdo ilegal
• Os efeitos negativos sobre o exercício dos direitos fundamentais.
• Os efeitos negativos no discurso cívico e nos processos eleitorais;
• Os efeitos negativos sobre a violência de gênero, a proteção da saúde pública e os menores;
• As graves consequências negativas para o bem-estar físico e mental da pessoa.

Diversas obrigações da DSA coincidem com as do GDPR. Estas estão listadas em um artigo recente do "Future of Privacy Forum".

Por exemplo, existem obrigações semelhantes ou complementares relativas a "padrões obscuros", publicidade direcionada com base em dados sensíveis ou envolvendo menores, transparência, criação de perfis, análise de risco e remoção de conteúdo ilegal.

Os procedimentos de controle são complexos e podem interferir nos do RGPD: ao contrário deste último, que garante a regulamentação principalmente em nível nacional, com coordenação do Conselho Europeu de Proteção de Dados para casos transfronteiriços, a DSA centraliza os controles em nível da UE no que diz respeito aos VLOPs e VLOSEs, atribuindo aos Estados-Membros a responsabilidade por outros prestadores de serviços intermediários.

Esperemos que seja estabelecida uma coordenação entre esses diferentes órgãos, a fim de orientar tanto as empresas envolvidas quanto os indivíduos que desejam tomar medidas legais.

• Embora a Lei dos Mercados Digitais esteja em vigor desde maio, foi apenas em 6 de setembro que a Comissão publicou a lista das seis gigantes da tecnologia, os "guardiões", que terão de cumprir os seus princípios. São elas: Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft.

A Comissão indica que um total de 22 serviços básicos de plataforma operados por esses seis responsáveis foram afetados.

O objetivo principal é impedir que essas empresas se aproveitem de sua posição dominante.

Assim, o texto proíbe a autorreferência ou a obrigação de usuários profissionais utilizarem apenas os serviços ou produtos da empresa em questão.

Os intermediários também não podem impedir que os usuários comerciais ofereçam e promovam serviços concorrentes e têm a obrigação de compartilhar com eles as informações geradas pelo uso de sua plataforma.

Estão previstos também requisitos específicos de interoperabilidade para serviços de mensagens online, bem como opções para sistemas operacionais, navegadores, mecanismos de busca e assistentes virtuais.

Além disso, os "gatekeepers" estão proibidos de rastrear e criar perfis de usuários para fins de publicidade direcionada, a menos que obtenham seu consentimento, e de impedi-los de desinstalar os aplicativos pré-instalados.

Algumas dessas obrigações reforçam, portanto, as previstas pela DSA em termos de proteção do usuário, particularmente no que diz respeito à criação de perfis.

Diversas empresas, como TikTok, Meta e Google, já alteraram seus termos de serviço.

As multas previstas pela DSA e pela DMA podem atingir 6% e 10% do faturamento das empresas em questão, respectivamente.

Em caso de violações repetidas da DMA, a penalidade pode chegar a 20% de faturamento…

Montantes que excedam o limite de 4% previsto no RGPD, já apresentado como dissuasor pelo legislador no momento da adoção do regulamento.

 

E também

• A CNIL está preparando uma minuta de recomendação sobre sistemas que apresentam alto risco em caso de violação de segurança e está lançando uma consulta pública.

Seu objetivo é consolidar todas as práticas avançadas de segurança em um único documento, que visa especificamente o chamado processamento "crítico", definido pelos dois critérios cumulativos a seguir:

• O processamento é em larga escala, conforme definido pelo RGPD;
• Uma violação de dados pessoais pode ter consequências muito significativas para os indivíduos afetados, para a segurança nacional ou para a sociedade como um todo.

É possível participar da consulta até 8 de outubro de 2023.

• Em 8 de agosto, a CNIL publicou uma nota informativa sobre beacons conectados, com o objetivo de ajudar qualquer pessoa que seja vítima de uso indevido ou ilegal a se proteger.

Essas etiquetas, que permitem localizar e encontrar objetos (por exemplo, chaves ou uma carteira), às vezes são usadas para localizar pessoas sem o seu conhecimento.

• O Pôle emploi anunciou em 23 de agosto que os dados pessoais de aproximadamente dez milhões de pessoas cadastradas em seus arquivos foram roubados após um "ato de cibercrime".

Esses dados foram terceirizados para a empresa Majorel, responsável pela digitalização dos documentos enviados pelos candidatos a emprego.

O nome e sobrenome, o status de candidato a emprego atual ou anterior e o número de segurança social podem ser afetados.

No entanto, "endereços de e-mail, números de telefone, senhas e dados bancários" não foram comprometidos.

 

Instituições e órgãos europeus

• No dia 11 de outubro, a Agência da União Europeia para a Cibersegurança (ENISA) organiza, em colaboração com a Comissão Europeia, o Fórum de Serviços de Confiança e Identificação Eletrónica, com o objetivo de acompanhar a evolução do ambiente jurídico, da carteira digital europeia e da proteção das atividades online dos cidadãos em toda a UE.

A ENISA também publica diretrizes para smartphones: “SMASHING – Diretrizes para o desenvolvimento seguro de smartphones”.

A ferramenta fornece um mapa de medidas para desenvolvedores de aplicativos para smartphones, visando garantir o desenvolvimento de aplicativos móveis seguros.

• O Instituto Europeu de Normas de Telecomunicações (ETSI) publicou um relatório sobre "Segurança da Inteligência Artificial (SAI); Manipulação Automatizada de Representações de Identidade Multimédia".

O documento aborda técnicas baseadas em IA para manipular automaticamente dados de identidade existentes ou criar dados de identidade falsos representados em vários formatos de mídia, como áudio, vídeo e texto (deepfakes).

O texto descreve as diferentes abordagens técnicas e analisa as ameaças representadas pelos deepfakes em diferentes cenários de ataque.

Em seguida, ele propõe medidas técnicas e organizacionais para mitigar essas ameaças e examina sua eficácia e limitações.

• No âmbito do seu programa de auditoria de 2023, o CEPD está a concentrar-se no papel dos DPOs.

Um artigo publicado pela IAPP em 31 de julho lista as decisões de referência das autoridades europeias de proteção de dados relativas à designação e às competências dos DPOs (Encarregados da Proteção de Dados).

• A Fitbit, empresa pertencente ao Google, está enfrentando reclamações de privacidade na União Europeia, sob a alegação de que a empresa está exportando ilegalmente dados de usuários, violando as normas de proteção de dados da UE.

As queixas têm como alvo a alegação da Fitbit de que os usuários consentiram com a transferência internacional de suas informações – para os Estados Unidos e outros países – enquanto, segundo a ONG NOYB, a empresa força os usuários a darem seu consentimento.

 

Notícias dos países membros da Europa.

• Nos Países Baixos, um relatório inicial da Autoridade de Proteção de Dados (DPA), datado de 1º de setembro, apela a medidas adicionais para controlar os riscos associados a algoritmos e inteligência artificial, antecipando a futura legislação europeia.

Para melhor controlá-los, as autoridades públicas e as empresas devem enfrentar dois desafios.

Em primeiro lugar, os riscos associados à rápida integração das inovações de IA na sociedade, como os chatbots inteligentes.

Em segundo lugar, o relatório destaca a necessidade de todas as principais instituições públicas e privadas da Holanda compreenderem a sua utilização de algoritmos de alto risco – aqueles que têm um impacto substancial na vida dos indivíduos. O relatório lista as ações a serem implementadas.

• A Autoridade Espanhola de Proteção de Dados (APD) multou uma empresa de mídia em 20.000 euros por publicar uma foto tirada do perfil privado do Instagram da pessoa e postá-la em um blog com seu nome e idade, em violação do Artigo 6(1) do RGPD.

O tribunal também impôs uma multa de € 120.000 (reduzida para € 72.000) à Fourth Party Logistics SL por subcontratação ilegal devido à falta de formalização de contratos e à ausência de autorizações prévias para a sua formalização.

• Na Croácia, uma foto que identificava um agente da polícia foi publicada como comentário em um vídeo de uma operação policial compartilhado em um grupo público do Facebook.

A APD constatou uma violação do artigo 5.º, n.º 1, alínea b), e do artigo 6.º, n.º 1, do RGPD e ordenou a remoção da fotografia.

• Em um contexto semelhante, a Autoridade Cipriota de Proteção de Dados multou um jornal local em 7.000 euros por violar o Artigo 5(1)(c) e o Artigo 6 do RGPD: o jornal publicou os nomes e fotos de policiais em serviço.
• Como parte de uma investigação conjunta, as autoridades de proteção de dados dos países bálticos auditaram e sancionaram uma empresa de aluguel de carros.

Ao calcular a multa, a Autoridade de Proteção de Dados da Letônia destacou a total falta de cooperação por parte do controlador de dados como um fator agravante.

Inicialmente, ela considerou apropriada uma multa de 15.000 euros. No entanto, dadas as dificuldades financeiras enfrentadas pelo responsável pelo tratamento de dados e o alto risco de insolvência, ela acabou reduzindo a multa para 1.000 euros.

• A nova lei federal suíça sobre proteção de dados entrou em vigor em 1º de setembro.

Entre as novas disposições inspiradas pelo RGPD, destacam-se a avaliação de impacto sobre o tratamento de dados sensíveis, o registo das atividades de tratamento, a figura do encarregado da proteção de dados (DPO) e a comunicação de violações de dados. O conceito de "Privacidade por Conceção" é agora explicitamente mencionado.

 

• Em 24 de agosto, doze autoridades internacionais de proteção de dados e privacidade das Américas, Europa, África e região Ásia-Pacífico anunciaram que esperam que as plataformas de mídia social e outros sites se protejam contra a coleta ilegal de dados ("web scraping").

Este comunicado reitera as recomendações anteriormente fornecidas por órgãos reguladores como a Comissão Australiana de Informação, a CNIL e o Gabinete do Comissário de Informação do Reino Unido, após investigações sobre as práticas de tratamento de informações pessoais e as obrigações de notificação de violação de dados da Clearview AI, Inc.

• Nos Estados Unidos, a Agência de Segurança Cibernética e de Infraestrutura (CISA), a Agência de Segurança Nacional (NSA) e o Instituto Nacional de Padrões e Tecnologia (NIST) publicaram, em 21 de agosto, um documento conjunto sobre preparação para a computação quântica, com o objetivo de alertar as organizações, principalmente aquelas que dão suporte aos setores de infraestrutura.

críticas – sobre as ameaças da computação quântica e para encorajar essas organizações a começarem a planejar a futura migração para padrões criptográficos pós-quânticos (“PQC”).

• O governo dos EUA está lançando o Cyber Trust Mark, seu programa para certificar a segurança da Internet das Coisas.
• Nos Estados Unidos, uma violação de dados também está afetando a Tesla: 75.000 pessoas foram impactadas.

Dois ex-funcionários da Tesla forneceram ao jornal Handelsblatt informações pessoais e dados de contato de outros funcionários.

A empresa notificou o Procurador-Geral do Maine sobre a violação de segurança e ofereceu serviços de proteção contra roubo de identidade aos afetados.

Em abril de 2023, funcionários visualizaram e compartilharam vídeos privados gravados pelos Teslas de clientes, obtidos através dos sistemas de segurança do Modo Sentinela dos veículos.

A Tesla não é a única empresa que levanta preocupações com a privacidade.

Um estudo publicado em 5 de setembro pela Mozilla Foundation descreve carros de 25 montadoras como "pesadelos sobre rodas quando se trata de privacidade de dados".

A fundação avaliou as políticas e práticas de 25 fabricantes de automóveis e alertou que eles podem coletar e explorar comercialmente muito mais do que histórico de localização, hábitos de direção, histórico de navegação do veículo e preferências musicais dos usuários.

Alguns fabricantes podem processar dados profundamente pessoais, como – dependendo da política de privacidade – atividade sexual, situação imigratória, raça, expressões faciais, peso, saúde e até mesmo informações genéticas.

Além disso, mais da metade dos fabricantes vende os dados a terceiros.

• Novas diretrizes foram publicadas na China em 25 de agosto de 2023, referentes à rotulagem de conteúdo gerado por IA: O Comitê Técnico Nacional Chinês para Padronização de Segurança da Informação (“TC260”) publicou a versão final das “Diretrizes Práticas para Padrões de Segurança Cibernética – Método para Rotulagem de Conteúdo em Serviços Generativos de Inteligência Artificial”.
• O Canadá também publica um código de conduta para IA generativa e incentiva contribuições para o documento.
• Na Índia, a Lei de Proteção de Dados Pessoais Digitais de 2023 foi publicada no Diário Oficial em 12 de agosto.

Embora essa lei seja bem-vinda por oferecer proteção aos dados de 760 milhões de usuários da internet, ela também suscita críticas quanto ao nível de proteção oferecido, principalmente à luz da histórica decisão Puttaswamy, que estabeleceu o direito à privacidade na Índia há cinco anos.

• Em 31 de agosto, a Apple anunciou o abandono do desenvolvimento de seu recurso de verificação do iCloud para identificar conteúdo de pornografia infantil (CSAM).

A empresa está agora focando em um conjunto de ferramentas e recursos nos dispositivos dos usuários, conhecidos como "Recursos de Segurança de Comunicação".

Após colaborar com diversos pesquisadores de segurança e privacidade, grupos de direitos digitais e defensores da segurança infantil, a empresa concluiu que não poderia prosseguir com o desenvolvimento de um mecanismo de varredura em nuvem, mesmo que fosse projetado especificamente para preservar a privacidade. 

"Analisar os dados privados do iCloud de cada usuário criaria novos vetores de ameaça que ladrões de dados poderiam encontrar e explorar. Também criaria o risco de consequências não intencionais. Buscar por um tipo de conteúdo, por exemplo, abre as portas para a vigilância em massa e poderia gerar o desejo de buscar outros sistemas de mensagens criptografadas para todos os tipos de conteúdo."

Essa posição pública é importante no contexto atual, visto que o Reino Unido, a UE e os EUA estão preparando legislação destinada a impor uma triagem generalizada de agentes da web no contexto do combate ao cibercrime em geral e da proteção de crianças online em particular.