Alerta Jurídico nº 72 – Junho de 2024.  

Comunicação e marketing nas redes sociais: quais são as regras para os profissionais?

As redes sociais constituem um conjunto de dados que podem ser usados para segmentar potenciais clientes.

A utilização desses dados, sejam eles publicamente acessíveis na rede social ou por meio da criação de uma rede de contatos, permanece sujeita à legislação vigente.

Deve cumprir os princípios do RGPD e da diretiva europeia sobre comunicações eletrónicas (diretiva ePrivacy).

As regras são diferentes, por exemplo, se você estiver entrando em contato com uma empresa (“B2B”) ou com uma pessoa física (“B2C”).

As expectativas das pessoas também variam dependendo da existência ou não de um relacionamento prévio: preste atenção especial à coleta de informações sobre pessoas que não fazem parte da sua rede de contatos (por exemplo, reunindo nomes de potenciais clientes em grupos de discussão).

É importante ter em mente três princípios essenciais: transparência, respeito pelos direitos das pessoas envolvidas e resposta às suas solicitações.

• Forneça informações sobre os dados coletados.

É recomendável:

• Para antecipar os efeitos de uma operação de comunicação online, como uma campanha de e-mail, adicione uma nota ao final da mensagem explicando, em particular, a origem dos dados e a finalidade da comunicação.
• Fornecer um artigo ou um link funcional que direcione para uma página informativa sobre o responsável pelo tratamento de dados e os direitos dos indivíduos.
• Oferecer um meio de contato simples (e-mail dedicado, formulário de contato ou mensagem privada em redes sociais) para permitir solicitações de acesso, retificação ou eliminação de dados.
• Respeite os direitos dos indivíduos e obtenha seu consentimento quando apropriado.

Algumas técnicas de prospecção podem ser mais invasivas do que outras.

No LinkedIn, por exemplo, o InMail permite (mediante pagamento) o envio de mensagens diretamente para a caixa de entrada de qualquer usuário que não seja membro da sua rede de contatos.

Alguns softwares de marketing também permitem a importação de contatos (incluindo perfis e fotos) de redes sociais como LinkedIn, Facebook, Twitter, Viadeo, YouTube ou Klout para processamento posterior.

Essas técnicas de prospecção devem estar em conformidade com as regras de marketing por e-mail, conforme previsto no GDPR e na Diretiva ePrivacy.

Assim, recordam-se os seguintes princípios:

• O cumprimento do requisito de adesão (opt-in), ou seja, a obtenção do consentimento prévio do destinatário do anúncio, é o caso do envio de publicidade "B2C" por e-mail, SMS, MMS, chamadas automatizadas ou fax.
• Respeito à opção de exclusão (opt-out), que permite o envio de comunicações promocionais quando o destinatário da publicidade não se opôs a ela: este é o caso da publicidade "B2B" enviada por e-mail e da publicidade "B2C" enviada por correio ou telefone.
• Organizar a gestão dos pedidos das pessoas envolvidas.

Isso envolve o planejamento de:

• Uma resposta típica para usuários da internet que, por exemplo, exercem seu direito de objeção e/ou solicitam acesso aos seus dados.
• Existe um procedimento interno para processar esses pedidos o mais rápido possível, sendo o prazo padrão previsto pelo RGPD de um mês.

A capacidade de resposta e a eficácia da mesma são importantes, pois contribuem para a reputação online do responsável pelo tratamento dos dados.

 

A Autoridade Francesa de Proteção de Dados (CNIL) anunciou que realizará verificações relacionadas aos Jogos Olímpicos e Paralímpicos. a fim de garantir o respeito à privacidade dos espectadores.

O projeto se concentrará particularmente em dispositivos de câmera "aumentados", códigos QR para áreas restritas, serviços de bilhetagem e dados de voluntários.

A CNIL registrou 167 denúncias de violações do RGPD após as eleições europeias.

O documento lembra aos partidos políticos, no contexto das eleições legislativas antecipadas, as regras a serem respeitadas e informa que serão realizadas verificações com base no número e na natureza das denúncias recebidas no contexto das eleições.

Após a publicação de guias práticos em abril passado, Em 10 de junho, a CNIL publicou uma segunda série de fichas informativas e um questionário dedicados à regulamentação do desenvolvimento de sistemas de inteligência artificial (IA).

 Essas novas ferramentas visam ajudar os profissionais a conciliar a inovação com o respeito aos direitos das pessoas, com foco especial na base jurídica do interesse legítimo, na transparência, nos direitos das pessoas, na anotação de dados e na segurança do desenvolvimento de um sistema de IA.

As fichas informativas estão abertas para consulta pública até 1º de setembro de 2024.

Por fim, a CNIL examina isso em um estudo publicado em 4 de julho. o desenvolvimento de alternativas às técnicas de rastreamento por meio de cookies de terceiros e sobre as suas consequências (ver também, abaixo, as questões levantadas pelo "sandbox de privacidade" do Google).

 

Instituições e órgãos europeus

Em 1º de julho, a Comissão Europeia informou a Meta sobre suas conclusões preliminares de que seu modelo de publicidade "pague ou concorde" não está em conformidade com a Lei dos Mercados Digitais. (DMA, art. 5º, parágrafo 2º).

Essas conclusões confirmam as publicadas pelo Conselho Europeu de Proteção de Dados (EDPB) em abril passado.

Segundo a Comissão, essa escolha binária obriga os usuários a consentirem com a combinação de seus dados pessoais e não lhes oferece uma versão menos personalizada, porém equivalente, das redes sociais da Meta.

Essas conclusões preliminares não prejulgam o resultado da investigação.

Meta agora tem a oportunidade de exercer seu direito à defesa e de responder por escrito.

A Comissão concluirá a sua investigação no prazo de 12 meses a contar da abertura do procedimento, ou seja, em 25 de março de 2024.

Caso as conclusões preliminares da Comissão sejam confirmadas, a Comissão poderá impor multas de até 10 £ % do volume de negócios mundial total da Meta e 20 £ % em caso de infrações repetidas.

Nos termos do Regulamento de Governança de Dados (RGPD), a Comissão Europeia publicou a lista dos primeiros "intermediários de dados" que lhe foram notificados pelos Estados-Membros.

Os intermediários de dados funcionam como terceiros neutros que conectam indivíduos e empresas com usuários de dados.

Cinco empresas foram registradas, três delas na França: AGDATAHUB, Hub One DataTrust e M-ITRUST. As outras duas foram notificadas pela Finlândia e Hungria (através da AFCDP).

O CEPD lançou o projeto "Auditoria de IA" em 27 de junho. O objetivo é auxiliar as autoridades de proteção de dados (APD) na inspeção de sistemas de IA, definindo uma metodologia na forma de uma lista de verificação para auditar um algoritmo e propondo ferramentas que melhorem sua transparência.

O Supervisor Europeu da Proteção de Dados (EDPS) publicou suas diretrizes sobre "inteligência artificial generativa e a proteção de dados pessoais" em 3 de junho. a fim de fornecer às instituições, órgãos, gabinetes e agências da UE conselhos e instruções práticas sobre o tratamento de dados pessoais quando se utilizam sistemas de inteligência artificial generativa, e para facilitar o seu cumprimento dos requisitos do quadro jurídico em matéria de proteção de dados.

O Grupo de Trabalho Internacional sobre Proteção de Dados em Tecnologia (IWGDPT) adotou um documento de trabalho sobre tecnologia de reconhecimento facial em 5 de junho.

O documento descreve as possibilidades de utilização nos setores público e privado e apresenta tanto os riscos quanto as recomendações práticas para uma aplicação em conformidade com a proteção de dados.

Em 20 de junho, o Tribunal de Justiça da União Europeia (TJUE) decidiu no processo C-590/22 que O receio do titular dos dados de que seus dados pessoais tenham sido divulgados a terceiros é suficiente para dar origem a uma indenização., se esse medo, com suas consequências negativas, for devidamente comprovado.

Não é necessário comprovar que esses dados foram efetivamente comunicados a terceiros para justificar essa compensação (via GDPR news).

O Tribunal também considerou, em 20 de junho, nos Processos Conjuntos C 182/22 e C 189/22 – Capital Escalável, que O dano moral causado por uma violação de dados pessoais não é, por sua própria natureza, menos importante do que o dano físico..

Além disso, para que um evento seja classificado como roubo de identidade, os dados pessoais devem ter sido efetivamente utilizados indevidamente por terceiros.

Em um acórdão de 6 de junho (Bersheda e Rybolovlev contra Mônaco), o Tribunal Europeu dos Direitos Humanos decidiu que investigações realizadas pelo juiz de instrução no celular de um advogado e a recuperação massiva e indiscriminada de dados pessoais – incluindo dados que haviam sido previamente apagados pelo requerente – excedeu a jurisdição deste juiz e não foi acompanhada de salvaguardas para garantir o respeito ao status e ao sigilo profissional do requerente enquanto advogado.

Sob pressão da sociedade civil e do organismo europeu responsável pela implementação da Lei dos Serviços Digitais (DSA), O LinkedIn removeu a segmentação de anúncios baseada em dados pessoais sensíveis dos usuários de sua plataforma..

Esse tipo de direcionamento foi considerado uma violação da DSA (Lei de Segurança Nacional).

A empresa A Meta confirmou em meados de junho que estava suspendendo seus planos de treinar seus sistemas de IA usando dados de usuários na UE e no Reino Unido.

O projeto teve como alvo dados de usuários do Facebook, Instagram e Threads.

Esta decisão surge na sequência da ação da Comissão Irlandesa de Proteção de Dados, que atua em nome de várias autoridades de proteção de dados em toda a UE e, em particular, da autoridade de Hamburgo.

 

Notícias dos países membros da Europa.

APD belga No dia 3 de junho, foi aplicada uma multa de 172 mil euros a uma empresa que não atendeu a uma solicitação para apagar dados e continuou enviando e-mails de marketing direto.

Os argumentos do controlador de dados, que visavam transferir a culpa para o DPO, não foram levados em consideração pela DPA: é responsabilidade do controlador de dados responder às solicitações de acesso e garantir que o DPO tenha recursos suficientes.

Na GréciaA APD aplicou multas de 400.000 e 40.000 euros, respetivamente, ao Ministério do Interior e a um membro do Parlamento Europeu pelo envio de comunicações políticas não solicitadas, tendo os endereços de correio eletrónico das pessoas em causa sido fornecidos ao eurodeputado pelo Ministério do Interior.

Em Luxemburgo, A APD considerou que a utilização da videovigilância para justificar a demissão de um funcionário violava o princípio da limitação da finalidade do RGPD, caso a instalação tivesse sido originalmente concebida para garantir a segurança dos funcionários.

Na Holanda, Um tribunal proibiu a Microsoft, o LinkedIn e a Xandr de instalarem cookies de rastreamento em sites de terceiros sem o consentimento do usuário e impôs uma multa de 1.000 euros por empresa por cada dia de descumprimento da decisão.

O tribunal decidiu que essas plataformas continuam responsáveis por obter o consentimento válido, mesmo quando delegam essa coleta a sites de terceiros que integram suas tecnologias de rastreamento.

Na DinamarcaA APD repreendeu a cidade de Copenhague por não ter impedido o potencial acesso aos dados pessoais de 3,7 milhões de pessoas por 37.500 funcionários não autorizados.

APD letão Foi aplicada uma multa de 1.000 euros a uma empresa que oferecia serviços de fotografia em um parque de diversões.

A empresa tirou fotos dos visitantes com base em consentimento implícito, o que não pode ser considerado uma ação positiva.

Na ItáliaA APD multou uma empresa em 100.000 euros pelo processamento ilegal de números de telefone para fins de telemarketing.

A APD considerou que um responsável pelo tratamento de dados não pode transferir a sua responsabilidade e obrigações ao abrigo do RGPD para o subcontratado por meio de uma cláusula contratual.

Ajuda Oficial ao Desenvolvimento Sueca O Avanza Bank AB foi multado em 1.318.955,55 euros (15 milhões de coroas suecas) por violar o artigo 5.º, n.º 1, alínea f), e o artigo 32.º do RGPD, tendo a ativação acidental de duas funções da Meta Pixel resultado na transferência não autorizada de dados pessoais para a Meta Pixel.

Na Polônia, a AOD (Agência Oficial de Desenvolvimento) Uma empresa foi multada em 54.600 euros após a perda de um pen drive contendo dados não criptografados de funcionários, o que levou a uma violação de dados.

13 de junho, A ONG NOYB apresentou uma queixa à Autoridade Austríaca de Proteção de Dados (APD) contra as práticas do Google relativas à coleta de dados pessoais por meio de seu "ambiente de teste de privacidade".

A ONG destaca que, desde que o Google anunciou, em setembro de 2023, que removeria gradualmente os cookies de terceiros do seu navegador Chrome, os usuários têm sido progressivamente incentivados a ativar um recurso chamado "privacidade de anúncios", que, na realidade, permite que o Google os rastreie.

Em 4 de junho, a NOYB também apresentou uma queixa na Áustria contra a Microsoft, cujos serviços "365 Education" supostamente violam os direitos de proteção de dados das crianças.

Segundo a ONG, quando os alunos quiseram exercer seus direitos previstos no GDPR, a Microsoft afirmou que as escolas eram "responsáveis" pelos dados, embora as escolas não tenham controle sobre os sistemas da Microsoft.

A associação Eu Travel Tech apresentou uma queixa no final de maio às autoridades francesas e belgas de proteção de dados contra a Ryanair, relativamente à recente implementação de um requisito para o processamento de dados biométricos dos clientes para acesso às funções de gestão de reservas e check-in online.

A associação considera que este processo de verificação biométrica viola os princípios da legalidade, equidade e transparência do RGPD (via AFCDP).

 

A OCDE publicou em 26 de junho um Relatório sobre IA, governança de dados e proteção da privacidade.

Este relatório analisa iniciativas nacionais e regionais e sugere áreas potenciais de colaboração.

Ao defender uma melhor cooperação internacional, o relatório visa orientar o desenvolvimento de sistemas de IA que respeitem e apoiem a privacidade.

A OCDE também publicou em 19 de junho um Documento de trabalho intitulado "Rumo à segurança digital desde a concepção para crianças".

O documento centra-se nas ações a serem tomadas pelos prestadores de serviços digitais e propõe oito medidas-chave, incluindo ferramentas práticas, medidas para promover uma cultura de segurança e estratégias de mitigação de danos.

Esses elementos são ilustrados por estudos de caso, que destacam a necessidade de adotar abordagens adaptadas ao contexto.

A Agência de Privacidade da Califórnia (CPPA) e a CNIL assinaram uma declaração de cooperação., em 25 de junho de 2024, em Paris.

A CNIL indica que as duas autoridades pretendem unir esforços para reforçar a proteção dos dados pessoais dos cidadãos franceses e californianos.

A Nvidia (uma das principais fornecedoras de semicondutores para computação de IA), a Microsoft e a OpenAI são, segundo relatos, alvo de uma investigação. investigação antitruste nos Estados Unidos.

Segundo uma reportagem do Politico, o Departamento de Justiça (DOJ) e a Comissão Federal de Comércio (FTC) cooperarão nessa questão. O DOJ se concentrará na Nvidia, e a FTC examinará a parceria entre a Microsoft e a OpenAI para determinar se elas possuem alguma vantagem injusta.

O Japão adotou, em 12 de junho, uma lei semelhante ao Regulamento Europeu dos Mercados Digitais (DMA).

O texto incluiria "obrigações para garantir interoperabilidade, transparência e portabilidade de dados".

A lei entrará em vigor no final de dezembro de 2025.

A empresa americana O Dropbox anunciou no início de maio que havia sido vítima de um ataque cibernético..

A intrusão maliciosa diz respeito à sua plataforma segura de assinatura eletrônica de documentos, o Dropbox Sign, anteriormente conhecido como HelloSign.

Os dados roubados incluem nomes, endereços de e-mail, senhas criptografadas, informações de pagamento e informações de autenticação.

A empresa afirma ter redefinido as senhas de todos os usuários e desconectado todas as sessões (via AFCDP).