Boletim Jurídico nº 70 – Abril de 2024.

Transferências de dados para fora da UE: situação atual.

O panorama das transferências internacionais de dados está se tornando mais claro à medida que decisões e posicionamentos institucionais são definidos. 

Assim, constatamos diversas iniciativas recentes, tanto a nível europeu como nacional, que visam facilitar o fluxo de dados, respeitando simultaneamente os direitos fundamentais.

Em uma reunião realizada em 4 de março com representantes dos quinze países já reconhecidos como adequados, a Comissão Europeia demonstrou, assim, sua disposição em ampliar as formas de cooperação internacional da UE.

Embora no passado a Comissão tenha privilegiado a colaboração com o Conselho da Europa centrada nos direitos humanos, a Comissária Europeia para a Justiça mencionou também, em março, uma colaboração mais estreita com a OCDE, uma organização cuja perspetiva se centra no desenvolvimento económico.

 Os países em questão, na América e na Ásia, têm abordagens à proteção da privacidade que diferem significativamente daquelas da União Europeia.

Vale lembrar que, em janeiro, a Comissão Europeia renovou as decisões de adequação de todos os países que já haviam se beneficiado de uma decisão positiva.

Isso também gerou reações no atual contexto político, com uma carta aberta, apoiada por 11 organizações da sociedade civil, solicitando ao Comissário Europeu para a Justiça, em 22 de abril, esclarecimentos sobre sua decisão de renovar o parecer de adequação relativo a Israel.

 A carta questiona, em particular, o cumprimento dos critérios de adequação em relação ao tratamento de dados para fins de segurança nacional, o respeito pelos direitos humanos, o Estado de Direito e o acesso à justiça.

As transferências continuam possíveis, naturalmente, para países que não possuem uma decisão de adequação, desde que, por exemplo, tenham sido adotadas cláusulas contratuais padrão ou que tenham sido estabelecidas regras vinculativas dentro do grupo de empresas para reger as transferências de dados.

Para apoiar os grupos nesse processo, a CNIL acaba de publicar uma ferramenta de autoavaliação.

Este é um questionário que nos permite verificar o nível de maturidade do projeto em relação aos requisitos das normas BCR adotadas pelo Conselho Europeu de Proteção de Dados (EDPB).

A CNIL recomenda testar o projeto antes de submeter os BCRs para aprovação.

A ferramenta permite verificar a implementação efetiva dos seguintes compromissos:

• Um regime de responsabilidade baseado na sede europeia ou na subsidiária europeia responsável por delegação pela proteção de dados;
• Um procedimento de treinamento de pessoal;
• Um procedimento de auditoria para garantir a conformidade com os GCRs;
• Um procedimento interno para tratamento de reclamações;
• Uma rede de encarregados da proteção de dados ou funcionários qualificados para monitorar o cumprimento das normas;
• Um procedimento para determinar a adequação da realização de uma avaliação de impacto na privacidade (AIP);
• Para BCRs "subcontratado", as obrigações do subcontratado para com o controlador de dados;
• Medidas técnicas e organizacionais adequadas para garantir a conformidade com os princípios de proteção de dados.

A CNIL oferece um mapa-múndi interativo para identificar a situação de cada país em termos de proteção de dados, e a lista de países que possuem uma decisão de adequação está disponível no site da Comissão Europeia.

 

A CNIL aplicou uma multa de 525.000 euros à HUBSIDE.STORE em 4 de abril. para a realização de campanhas de prospecção utilizando dados pessoais obtidos através de formulários concebidos de forma enganosa, que não permitiam ao responsável pelo tratamento dos dados obter um consentimento válido.

Em 25 de março, o Secretário de Estado para Assuntos Digitais apresentou o roteiro estratégico da França para a Década Digital. na presença do Diretor-Geral das Redes de Comunicação, Conteúdos e Tecnologias (DG Connect) da Comissão Europeia.

“O roteiro está estruturado em torno de quatro áreas de trabalho destinadas a alcançar os objetivos da “década digital”:

• Habilidades digitais,
• Infraestrutura digital,
• A transformação digital das empresas e
• A digitalização dos serviços públicos.

A La Quadrature du Net apresentou uma queixa no dia 2 de maio à CNIL contra a implementação de videovigilância algorítmica (VSA). o que ela considera ilegal.

O projeto Prevent PCP, que reúne a SNCF e a RATP com um painel de empresas, incluindo o grupo Atos e a ChapsVision, assume a forma de um contrato público que permite às empresas implantar seus sistemas VSA nas principais estações da Europa para detectar "bagagens abandonadas", por meio de um método baseado na identificação e rastreamento dos proprietários das bagagens.

Na França, esses sistemas VSA estão em operação há meses na Gare du Nord e na Gare de Lyon, em Paris, ou, mais recentemente, na Gare de Marseille-Saint-Charles.

 

Instituições e órgãos europeus

O Conselho Europeu de Proteção de Dados (EDPB) adotou seu programa de trabalho para 2024-2027 em meados de abril.

Nos próximos quatro anos, o CEPD continuará a promover a conformidade com o RGPD, desenvolvendo orientações práticas e materiais para um público mais amplo.

A cooperação na aplicação da legislação continua sendo uma prioridade. 

Um novo aspecto da estratégia é a ênfase dada à interação com o novo quadro regulatório digital.

O CEPD continuará a dar especial atenção aos desafios colocados pelas novas tecnologias, como a IA.

O CEPD também se posicionou em 17 de abril em relação ao modelo "pagar ou aceitar cookies" imposto aos usuários das principais plataformas online.

Em novembro de 2023, a Meta introduziu uma taxa mensal para usuários que se recusassem a ser rastreados para fins de publicidade personalizada.

Organizações de direitos civis reagiram apresentando diversas queixas às autoridades competentes de proteção de dados (APD), que solicitaram ao CEPD um parecer vinculativo sobre o assunto.

Este parecer questiona o modelo imposto pela Meta e plataformas semelhantes: para a comissão, "na maioria dos casos, não será possível que as grandes plataformas online cumpram os requisitos de consentimento válido se apresentarem aos usuários apenas uma escolha binária entre consentir com o processamento de dados pessoais para fins de publicidade comportamental e pagar uma taxa."

O Comitê reitera que o consentimento deve ser dado livremente e que uma alternativa que imponha um pagamento dissuasivo impediria o consentimento livremente dado.

O documento insta as plataformas a implementarem um modelo de publicidade alternativo baseado numa recolha mais limitada de dados pessoais.

A iniciativa da Comissão Europeia para incentivar as grandes empresas de tecnologia a se comprometerem voluntariamente com um "compromisso sobre cookies", que reduziria o rastreamento de usuários da internet e fortaleceria seu consentimento, não conseguiu ganhar força.

Segundo um porta-voz da Comissão Europeia, em declarações à Euronews, a maioria das empresas considerou que a introdução de uma abordagem voluntária à publicidade digital era "prematura, tendo em conta a recente entrada em vigor de nova legislação nesta área, como o Regulamento dos Serviços Digitais (DSA) e o Regulamento dos Mercados Digitais (DMA)".

Em 11 de abril, o Tribunal de Justiça da União Europeia (TJUE) decidiu que um controlador de dados não está isento de responsabilidade por danos ao abrigo do RGPD simplesmente porque uma pessoa que atua sob sua autoridade não seguiu as suas instruções.

Para avaliar o montante da indenização devida, não devem ser levados em consideração os critérios estabelecidos para a fixação de multas administrativas.

O Advogado-Geral do Tribunal de Justiça da União Europeia (TJUE) emitiu seu parecer em 25 de abril em um caso relativo ao uso, pela Meta, de dados tornados públicos pela reclamante.

Segundo o Procurador-Geral, a aplicação do "princípio da minimização de dados" limita a utilização que pode ser feita de dados pessoais para fins publicitários, mesmo que os utilizadores tenham dado o seu consentimento para a publicidade.

Este princípio aplica-se independentemente da base legal utilizada para o tratamento de dados: mesmo um utilizador que consinta na publicidade personalizada não pode ter os seus dados pessoais utilizados indefinidamente.

Além disso, o princípio da "limitação da finalidade" estabelecido no Artigo 5(1) do RGPD continua aplicável no contexto da "extração de dados da web": informações publicamente disponíveis (sensíveis neste caso) não podem ser coletadas e processadas para outras finalidades, como publicidade direcionada.

A ONG noyb apresentou uma queixa à Autoridade Austríaca de Proteção de Dados (APD) relativamente às "alucinações" do ChatGPT, que violariam os princípios do RGPD (Regulamento Geral sobre a Proteção de Dados).

Max Schrems, diretor da noyb, disse que sua reclamação foi motivada pelo fato de o ChatGPT não fornecer sua data de nascimento exata, substituindo-a por um palpite improvável, além de o chatbot não informar aos usuários que não possui os dados corretos para responder a uma solicitação.

A empresa de IA teria se recusado a corrigir ou excluir respostas incorretas e não divulga nenhuma informação sobre os dados processados, suas fontes ou destinatários.

Desde que a DSA entrou em vigor em agosto de 2023, as principais plataformas online e mecanismos de busca (“VLOP” e “VLOSE”) são obrigados a fornecer repositórios de publicidade transparentes e de acesso público.

Um novo relatório da Mozilla, em colaboração com a CheckFirst, examina essa questão para serviços oferecidos por 11 empresas, incluindo AliExpress, App Store da Apple, Bing, Booking.com, Alphabet (Google Search e YouTube), LinkedIn e Meta (Facebook e Instagram).

O relatório observa "uma grande variação entre as plataformas" e afirma que nenhuma delas possui "um repositório de publicidade totalmente funcional e nenhuma fornecerá aos pesquisadores e grupos da sociedade civil as ferramentas e os dados de que precisam para monitorar efetivamente o impacto dos anúncios VLOP nas próximas eleições na Europa" (via GDPRtoday).

  

Notícias dos países membros da Europa.

A Autoridade Belga de Proteção de Dados (APD) considerou, em 2 de abril, que a coleta da impressão digital digital do terminal de um usuário ("impressão digital online") deve, em princípio, ser baseada no consentimento da pessoa em questão.

Essa técnica permite ao controlador de dados oferecer serviços que identificam o visitante do site mesmo quando ele navega no modo anônimo ou usa uma VPN, atribuindo-lhe um identificador único.

Em conjunto com a localização do usuário, esse identificador permite rastrear, entre outras coisas, o número de visitas realizadas pelo usuário.

A APD emitiu um aviso especificamente pela falta de fornecimento de informações e pelo uso dos dados de contato da pessoa em questão para o envio de e-mails de marketing.

A empresa de cibersegurança e antivírus Avast foi multada em 13,7 milhões de euros pela Autoridade de Proteção de Dados da República Tcheca (APD) após recurso, a maior multa já imposta pela APD.

A empresa não anonimizou os dados de navegação de mais de 100 milhões de usuários antes de compartilhá-los com terceiros para fins de análise de mercado.

Vale lembrar que a Avast também foi sancionada em fevereiro nos Estados Unidos pela Comissão Federal de Comércio (FTC) e foi obrigada a pagar uma quantia superior a 18 milhões de dólares.

Ela também é alvo de uma queixa coletiva na Holanda pelos mesmos delitos.

Na Finlândia, o hacker responsável por invadir os registros de pacientes do centro de psicoterapia Vastaamo, que exigiu um resgate de 400.000 euros pelos dados roubados, foi condenado a seis anos e três meses de prisão pelo Tribunal Distrital de Uusimaa Oeste. 

O ataque cibernético envolve os registros de aproximadamente 33.000 pacientes, um número sem precedentes de vítimas na história jurídica da Finlândia. 

Na época, a APD aplicou uma multa administrativa de 608.000 euros à Vastaamo por violar o RGPD, por negligenciar as suas obrigações relativas ao tratamento seguro de dados pessoais e por atrasar a comunicação da violação de dados.

O ex-CEO da empresa foi condenado no ano passado a três meses de prisão, com pena suspensa, por não proteger dados pessoais sensíveis.

A empresa entrou com pedido de falência desde então.

Nos Países Baixos, o grupo de telecomunicações Odido, anteriormente conhecido como T-Mobile Nederland, foi multado em 175.000 euros. pela inspeção da infraestrutura digital por ter processado incorretamente dados de tráfego como parte de um projeto conjunto com a agência nacional de estatísticas.

O projeto tinha como objetivo desenvolver um algoritmo capaz de fornecer informações sobre os movimentos de grandes grupos de pessoas, mas os processos da Odido violaram a legislação de privacidade: a Odido teve o cuidado de pseudonimizar os dados processados, mas sem que nenhum dos clientes fosse informado sobre o estudo.

A Autoridade Grega de Proteção de Dados (APD) aplicou uma multa de 2.995.140 euros aos Correios da Grécia. por não implementar medidas de segurança adequadas, resultando em uma violação de dados que afetou mais de 4 milhões de pessoas.

A Agência Espanhola de Proteção de Dados (AEPD) decidiu impor uma multa de € 2.000.000 a um banco. por não ter obtido o consentimento dos indivíduos em causa no tratamento dos seus dados pessoais.

O responsável pelo tratamento dos dados, após admitir a sua culpa, acabou por pagar uma multa reduzida de 1.200.000 euros. 

De fato, uma lei espanhola (39/2015) relativa a procedimentos administrativos permite que um controlador reconheça a responsabilidade por uma alegada violação e/ou pague a multa proposta pela AEPD na fase de investigação em troca de uma redução de 40 % do valor da multa.

A AEPD também multou um controlador de dados em € 3.500.000 por não realizar uma avaliação de risco adequada. e que negligenciou falhas de segurança evitáveis, resultando em uma violação de dados que afetou 1,3 milhão de pessoas.

Na Suécia, a Autoridade de Proteção de Dados (APD) advertiu um responsável pelo tratamento de dados por solicitar aos titulares dos dados uma cópia de seu documento de identidade. bem como documentos assinados por correio no contexto de um pedido de eliminação de dados, quando não havia motivo razoável para duvidar da identidade das pessoas em causa.

 

O Grindr foi alvo de uma ação coletiva no Reino Unido. alegando que o aplicativo de encontros LGBTQ estava compartilhando informações sensíveis sobre seus usuários, como seu status de HIV e orientação sexual, com anunciantes.

Segundo uma reportagem da BBC, o aplicativo supostamente usava "tecnologia de rastreamento secreta" para coletar e compartilhar ilegalmente esses dados com terceiros (via GDPRtoday).

Em 3 de maio, o Conselho da OCDE adotou revisões aos Princípios sobre Inteligência Artificial.

Em resposta aos recentes desenvolvimentos nas tecnologias de IA, incluindo o surgimento da IA generalista e generativa, os princípios atualizados abordam de forma mais direta os desafios associados à IA em relação à privacidade, aos direitos de propriedade intelectual, à segurança e à integridade da informação.

Nos Estados Unidos, a Seção 702 da Lei de Vigilância de Inteligência Estrangeira dos EUA (FISA) acaba de ser reautorizada por dois anos.

Esta seção, que autoriza a vigilância limitada e sem mandado judicial de certas comunicações, deve ser renovada regularmente pelo Congresso.

A votação foi considerada controversa, pois o Congresso analisou diversas propostas para atualizar o texto da lei: de acordo com a Associated Press, houve divergências sobre se o FBI deveria ter seu uso da lei limitado para espionar cidadãos americanos.

O Senado finalmente aprovou o projeto de lei em 20 de abril com pouquíssimas alterações no texto.

Em 23 de abril, o Senado aprovou a Lei de Proteção dos Americanos contra Aplicativos Controlados por Adversários Estrangeiros (Protecting Americans from Foreign Adversary Controlled Applications Act), um projeto de lei que tem sido amplamente descrito como uma proibição do TikTok.

O presidente dos EUA, Joe Biden, acaba de sancionar a lei que obrigará a plataforma chinesa a separar suas operações nos EUA das de sua controladora, a ByteDance, ou a aceitar que cidadãos americanos não poderão mais usar o serviço. O TikTok já anunciou que entrará com uma ação judicial.

Uma proposta de ordem da Comissão Federal de Comércio dos EUA (FTC), datada de 15 de abril, acusa uma empresa de telessaúde mental de violar sua política de privacidade e enganar seus clientes sobre sua política de cancelamento de serviços.

A FTC (Comissão Federal de Comércio dos EUA) pretende multar a Cerebral e seu CEO em US$ 7 milhões por coletarem informações de identificação pessoal sobre seus clientes e, em seguida, vendê-las a terceiros.

O Tribunal Europeu dos Direitos Humanos está atualmente a analisar milhares de casos relativos a condenações na Turquia por participação numa organização terrorista armada, com base na alegada utilização da aplicação de mensagens encriptadas denominada "Bylock".

Os requerentes alegam que suas condenações foram baseadas no suposto uso deste aplicativo que, segundo os tribunais turcos, foi projetado para uso exclusivo de membros da FETÖ/PDY sob o pretexto de ser um aplicativo global.

Qualquer pessoa que tivesse usado o Bylock poderia, em princípio, segundo eles, ser condenada apenas por pertencer a uma organização terrorista armada.