Boletim Jurídico nº 74 – Agosto de 2024.  

Telegram, Signal, Whatsapp… Quão bons são os serviços de mensagens instantâneas em um contexto profissional?

A prisão de Pavel Durov, fundador do aplicativo de mensagens, na França, gerou inúmeras reações na mídia. Telegrama.

Independentemente dos debates políticos sobre o assunto, o caso nos dá a oportunidade de avaliar a confiabilidade dos serviços de mensagens instantâneas.

Até que ponto as informações trocadas são realmente confidenciais? Essas aplicações são comparáveis e podem ser usadas em um contexto profissional?

A maioria dos serviços de mensagens instantâneas atuais se vangloria de criptografar suas comunicações.

No entanto, a prática varia dependendo do serviço de mensagens.

Assim, muitos usuários do Telegram descobriram nos últimos dias que suas comunicações não são protegidas por padrão.

Somente as comunicações diretas entre dois participantes que ativaram manualmente a criptografia em suas opções de conversa são protegidas.

Vale ressaltar que o Telegram não utiliza criptografia de código aberto, como o protocolo Signal, mas sim uma tecnologia "própria" que é impossível de verificar. 

Discussões em grupo (ou canais de bate-papo) não podem ser criptografadas e, portanto, o Telegram pode acessar seu conteúdo, bem como informações sobre os membros e administradores desses grupos.

As interações aqui são mais semelhantes às de uma rede social do que às de um serviço de mensagens.

O Telegram tem sido criticado há anos pela falta de moderação em seus canais de discussão, por ignorar pedidos de diversos governos para remover conteúdo ilegal e por se recusar a compartilhar informações sobre potenciais infratores.

Essas obrigações de moderação e cooperação com as autoridades policiais estão previstas na legislação francesa e no regulamento europeu sobre serviços digitais.

É nesse contexto que seu fundador foi preso por falta de cooperação e cumplicidade com o crime organizado.

Essa obrigação de cooperar, no entanto, tem limites: assim, a comunicação criptografada de ponta a ponta permanece confidencial e não pode ser interceptada por terceiros, sejam eles o provedor de mensagens, um governo ou um hacker.

Alguns estados estão preocupados com o uso generalizado da criptografia e estão pressionando por mudanças regulatórias que permitam contorná-la.

Isto é particularmente relevante no contexto da proposta de regulamentação europeia sobre abuso sexual infantil (ASI).

Essa pressão para enfraquecer a confidencialidade das comunicações está provocando inúmeras reações de defensores das liberdades individuais e autoridades de proteção de dados, para quem isso equivaleria a uma vigilância generalizada das comunicações privadas, prejudicaria a segurança digital ao quebrar a criptografia e não forneceria nenhuma evidência de que atingiria seu objetivo de proteger as crianças.

Considerando o estado atual da legislação e da tecnologia, recomenda-se fortemente o uso de criptografia de ponta a ponta para a troca de mensagens profissionais, especialmente quando o conteúdo da mensagem for sensível (por exemplo, dados médicos ou financeiros).

E nesse aspecto, nem todos os aplicativos são criados iguais. Embora o conteúdo da mensagem possa estar protegido, a criptografia não impede a coleta de certos dados de identificação do usuário e/ou de conexão.

É recomendada extrema cautela em todos os casos ao usar grupos de discussão.

O uso de grupos WhatsApp A troca de dados sensíveis em um contexto profissional resultou, portanto, na aplicação de sanções a um responsável pelo tratamento de dados por parte de uma autoridade de proteção de dados.

Sinal É geralmente reconhecido por proporcionar um alto nível de proteção, mas não é o único.

Por exemplo, podemos mencionar Threema E Olvid Esses serviços têm a vantagem de serem europeus. No entanto, apresentam a desvantagem de ainda serem relativamente desconhecidos. Dentro de uma empresa, esses sistemas de mensagens podem, contudo, representar uma alternativa interessante.

NB / Diversas análises detalham os pontos fortes e fracos dos aplicativos de mensagens. Por exemplo, veja a da Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Para uma análise mais abrangente do que as autoridades policiais podem obter de um serviço de mensagens, consulte este documento de treinamento do FBI, obtido por meio de uma solicitação da Lei de Liberdade de Informação (Freedom of Information Act) feita pela Property of the People, uma organização americana sem fins lucrativos dedicada à transparência governamental: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

A SOS Médecins informou em 2 de setembro que a CNIL (Comissão Nacional de Informática e Liberdades) havia aprovado a criação, pela associação, de um banco de dados denominado "Contato".

Segundo a SOS médecins, o Contact dedica-se ao atendimento de urgência e à melhoria do acesso aos cuidados de saúde, e promoverá a investigação e a inovação na área da saúde.

Isso consolidará de forma segura e confidencial os dados de milhões de pacientes tratados anualmente nas 64 associações da federação.

Segundo a federação, esses dados devem ser reutilizados em benefício dos pacientes para melhorar as práticas e otimizar o atendimento.

A Universidade Paris-Saclay anunciou que foi alvo de um ataque de ransomware em 11 de agosto. Este incidente ocorreu uma semana após outro ciberataque contra mais de 40 instituições culturais na França: cibercriminosos teriam infiltrado o sistema informático comum à "Réunion des musées nationaux – Grand Palais", que centraliza todos os dados financeiros dessas instituições, e ameaçaram divulgar os dados em 48 horas caso o resgate não fosse pago.

Segundo a L'Usine Digitale, as 36 lojas gerenciadas pela rede foram afetadas e os sistemas foram desconectados. Uma investigação foi aberta pelo Ministério Público de Paris.

 

Instituições e órgãos europeus

A Comissão Europeia abriu uma consulta pública, que decorre até 30 de setembro, sobre a proteção de menores online. particularmente no contexto da Lei de Serviços Digitais (DSA) e da Denúncia de Material de Pornografia Infantil (CSAM).

Nos termos da DSA, a Comissão deve desenvolver diretrizes para ajudar as plataformas online em questão a cumprir os requisitos de proteção da privacidade e segurança dos menores.

“Estas diretrizes fornecerão uma lista não exaustiva de boas práticas e recomendações para provedores de plataformas online, a fim de ajudá-los a reduzir os riscos relacionados à proteção de menores. As diretrizes também ajudarão a Comissão e os coordenadores de serviços digitais a supervisionar as plataformas e a fazer cumprir a Lei de Serviços Digitais.”

A Comissão Europeia publicará neste outono o seu primeiro relatório sobre o funcionamento do "Quadro de Proteção de Dados" (DPF, na sigla em inglês) entre a União Europeia e os Estados Unidos. Uma reunião bilateral de avaliação sobre este assunto foi realizada em julho, e a Comissão também abriu uma consulta pública, permitindo o envio de comentários até 6 de setembro.

A China e a UE iniciaram discussões sobre a transferência de dados no âmbito de um novo "mecanismo de comunicação de fluxo de dados transfronteiriço". Segundo a Comissão Europeia, o mecanismo visa encontrar formas de facilitar as transferências transfronteiriças de dados não pessoais para empresas europeias, bem como a sua conformidade com as leis chinesas de proteção de dados.

 

Notícias dos países membros da Europa.

Na Alemanha, o Tribunal de Apelação de Frankfurt ordenou à Microsoft que se abstivesse de colocar e armazenar cookies nos dispositivos da pessoa em causa sem o seu consentimento, mesmo que isso signifique que a Microsoft deixe de colocar quaisquer cookies de rastreamento.

Essa decisão parece estar em consonância com uma recente sentença de um tribunal holandês que proibiu a Microsoft, o LinkedIn e a Xandr de instalarem cookies de rastreamento sem o consentimento do usuário e impôs uma multa de 1.000 euros por empresa por cada dia de descumprimento da decisão (via GDPRhub).

A Autoridade Belga de Proteção de Dados (DPA) rejeitou uma reclamação apresentada por um titular de dados na sequência de uma violação de dados. Considerou que as medidas técnicas e organizacionais tomadas pelo responsável pelo tratamento de dados, nos termos do artigo 32.º do RGPD, eram adequadas.

AOD dinamarquesa Considerando que, para que haja consentimento livre e explícito para o uso do reconhecimento facial no acesso a uma academia, a pessoa em questão deve dispor de outros métodos de verificação que não envolvam o processamento de dados biométricos.

Na Espanha, a Autoridade de Proteção de Dados (APD) multou um controlador de dados em € 145.000 após o roubo de um pen drive não criptografado contendo dados pessoais relacionados a um processo criminal.Ela constatou uma violação do princípio da confidencialidade, embora não houvesse provas de que os dados tivessem sido acessados.

Na Itália, o APD A lei impôs uma multa de 20.000 euros a um município que publicou ilegalmente os nomes dos candidatos não selecionados num processo de seleção pública. Além disso, o município não tinha celebrado um contrato vinculativo com o seu subcontratado, o que constitui uma violação do artigo 28.º, n.º 3, do RGPD.

A APD também multou uma empresa de telecomunicações em um milhão de euros por contatar seus clientes para fins de prospecção comercial sem obter o consentimento válido. A autoridade de proteção de dados considerou que um controlador de dados não poderia invocar interesse legítimo para fazer chamadas telefônicas para fins de marketing aos seus clientes.

Em 22 de julho, em cooperação com a CNIL (Comissão Nacional de Informática e Liberdades), a Autoridade Holandesa de Proteção de Dados (APD) aplicou uma multa de 290 milhões de euros à Uber BV (com sede na Holanda) e à Uber Technologies INC. (com sede nos Estados Unidos) por transferirem dados pessoais para fora da UE sem as devidas salvaguardas.

A CNIL (Comissão Nacional de Informática e Liberdades da França) recebeu uma denúncia coletiva da Liga dos Direitos Humanos, representando mais de 170 motoristas da plataforma. A Autoridade Holandesa de Proteção de Dados (APD) constatou que o processamento dos dados pessoais dos motoristas, pelo qual a Uber BV e a Uber Technologies Inc. são conjuntamente responsáveis, envolve transferências para os Estados Unidos. Entre 6 de agosto de 2021 e 21 de novembro de 2023 (data em que a Uber foi incluída no Quadro de Privacidade de Dados), essas transferências não foram sujeitas a salvaguardas adequadas. A APD concluiu que houve violação do Artigo 44 do RGPD. A Uber anunciou sua intenção de recorrer dessa decisão, que considera infundada.

A Autoridade Holandesa de Proteção de Dados (APD) também impôs uma multa de € 30,5 milhões à Clearview AI em 3 de setembro, além de uma penalidade adicional de € 5 milhões por descumprimento das normas. A Clearview havia criado, em particular, um banco de dados ilegal contendo bilhões de imagens faciais, incluindo as de cidadãos holandeses. A APD também proibiu o uso dos serviços da Clearview. Como a empresa não demonstrou disposição para mudar suas práticas, a APD indicou que está explorando diversas vias legais, incluindo a possibilidade de responsabilizar pessoalmente os executivos da empresa por essas violações.

A Universidade Norueguesa de Ciência e Tecnologia (NTNU) publicou um relatório intitulado "Testando o Copiloto para o Microsoft 365" sob os auspícios dos "sandboxes" da Autoridade Norueguesa de Proteção de Dados.

A universidade testou o serviço de inteligência artificial Copilot da Microsoft e publicou 8 conclusões principais no início do verão de 2024, úteis antes de começar a usar esse novo serviço.

A Autoridade Eslovena de Proteção de Dados (APD) considerou que uma escola pode recusar-se parcialmente a atender a um pedido de acesso apresentado por um dos pais, caso a divulgação de determinados dados possa prejudicar os melhores interesses do menor.

Em 14 de agosto, a Suíça adotou uma decisão de adequação para os Estados Unidos, permitindo a transferência de dados para empresas certificadas ao abrigo de um "quadro de privacidade de dados" suíço-americano.

Dessa forma, a Suíça se junta à União Europeia e ao Reino Unido, que permitem que as organizações transfiram os dados pessoais de seus residentes para os Estados Unidos em condições semelhantes.

A ONG noyb alertou a mídia em 12 de agosto sobre a rede social "X", que começou a usar ilegalmente os dados pessoais de mais de 60 milhões de usuários na UE/EEE para treinar sua tecnologia de IA ("Grok") sem o consentimento deles.

Ao contrário da Meta (que recentemente teve que encerrar seu treinamento de IA na UE), o Twitter, segundo a ONG, não informou seus usuários com antecedência. A Comissão Irlandesa de Proteção de Dados iniciou um processo legal contra a X, e a noyb apresentou queixas em nove países europeus para impedir essas práticas. O compromisso da X de parar de usar esses dados finalmente veio com o lançamento da nova versão do Grok. De acordo com a ONG, o modelo de IA foi de fato treinado nesse ínterim usando dados da UE.

 

No Reino Unido, um controlador de dados foi repreendido por não realizar uma avaliação de impacto sobre a privacidade, conforme exigido pelo Artigo 35 do RGPD (Regulamento Geral de Proteção de Dados) do Reino Unido, antes de implementar um sistema de reconhecimento facial em uma escola. O controlador de dados também não obteve o consentimento válido do usuário.

As Nações Unidas e a Organização Internacional do Trabalho publicaram um relatório intitulado "Atenção à Divisão da IA – Moldando uma Perspectiva Global sobre o Futuro do Trabalho".

Entre outras conclusões, o relatório menciona que os avanços tecnológicos estão a pôr em risco empregos em setores como os centros de atendimento telefónico e outros tipos de terceirização de processos empresariais, práticas comuns em alguns países em desenvolvimento.

Embora algumas tarefas nessas profissões possam ser automatizadas, o documento acrescenta que a maioria ainda requer intervenção humana. "Essa automação parcial poderia levar a ganhos de eficiência, permitindo que os humanos dedicassem mais tempo a outras áreas de trabalho."

Em 5 de agosto, um juiz federal dos EUA decidiu que o Google detinha um monopólio ilegal nas buscas na internet. O tribunal concluiu que "o Google violou a Seção 2 da Lei Sherman ao manter seu monopólio em dois mercados de produtos nos Estados Unidos — serviços de busca geral e publicidade de texto geral — por meio de seus contratos de distribuição exclusiva".

A Nigéria publicou sua "estratégia nacional de IA" em agosto passado.

O documento afirma, em particular, que: “A Nigéria e o continente africano em geral apresentam alguns dos desafios e oportunidades mais singulares e instigantes que a IA poderia abordar. Da otimização da agricultura em diversos climas à melhoria da infraestrutura de saúde pública, as soluções de IA desenvolvidas localmente, adaptadas às realidades locais, estão muito mais bem preparadas para enfrentar esses desafios do que modelos impostos externamente, criados para um contexto e pessoas completamente diferentes. (...) Muitos conjuntos de dados na Nigéria sofrem com imprecisões, dados incompletos e falta de padronização. A qualidade dos dados precisa ser aprimorada para garantir a confiabilidade e a eficácia dos algoritmos de IA, que exigem dados limpos e precisos para funcionar de forma otimizada.”

A empresa “X” suspendeu suas operações no Brasil após meses de conflito com o juiz do Supremo Tribunal Federal.

Em 31 de agosto, o juiz ordenou a proibição do X e o congelamento dos ativos da Starlink, empresa espacial de Elon Musk. Essa decisão é resultado de uma investigação de meses sobre a disseminação de informações falsas e difamatórias por meio da rede social, bem como de uma investigação adicional contra Musk por suposta obstrução da justiça.