Boletim Jurídico nº 75 – Setembro de 2024.  

Anonimização ou pseudonimização: qualificações que evoluem com o tempo?

Em 5 de setembro de 2024, a CNIL multou a Cegedim Santé em 800.000 euros por processar dados de saúde sem autorização.

A autoridade supervisora observa que esses dados permaneceram identificáveis, mesmo tendo sido apresentados como anônimos.

Essa sanção nos dá a oportunidade de analisar as sutilezas do RGPD (Regulamento Geral sobre a Proteção de Dados) no que diz respeito à anonimização e pseudonimização de dados.

A Cegedim publica e vende software de gestão para médicos de clínica geral que trabalham em consultórios particulares e centros de saúde.

Esses programas de software permitem que os médicos gerenciem seus horários, prontuários de pacientes e prescrições.

Os clientes também têm acesso a uma base de dados que permite a produção de estudos e estatísticas na área da saúde.

As verificações realizadas pela CNIL em 2021 revelaram, nomeadamente, que os dados tratados pela empresa – sem autorização prévia – eram dados de saúde pseudonimizados, sendo, portanto, identificáveis.

Somente dados completamente anônimos estão isentos das obrigações do RGPD.

No entanto, o processo de anonimização é particularmente exigente.

Neste caso específico, a Cegedim havia implementado um procedimento destinado a eliminar identificadores e, no contexto de conclusões anteriores datadas de 2012, a CNIL também considerou que os dados processados eram de fato anônimos.

A Comissão revisitou hoje essas conclusões, especificando que o contexto atual da doutrina e da jurisprudência deve ser levado em consideração para avaliar a possível reidentificação de dados.

Assim, dados que eram anônimos há dez anos podem não o ser necessariamente hoje: "Para estabelecer se é razoavelmente provável que sejam utilizados meios para identificar uma pessoa natural, é necessário levar em consideração todos os fatores objetivos, como o custo da identificação e o tempo necessário para ela, levando em conta as tecnologias disponíveis no momento do processamento e sua evolução."

Mais especificamente, a CNIL – tal como as suas congéneres europeias desde 2014 – especificou os requisitos a respeitar no âmbito de um procedimento de anonimização.

Ela explica as principais técnicas de anonimização:

• randomização (que visa modificar os atributos em um conjunto de dados para que sejam menos precisos, preservando a distribuição geral) e
• generalização (que consiste em modificar a escala dos atributos dos conjuntos de dados, ou sua ordem de grandeza).

A CNIL recomenda:

• Identificar as informações a serem retidas, de acordo com sua relevância.
• Remover elementos de identificação direta, bem como valores raros que possam permitir a fácil reidentificação de indivíduos;
• Para distinguir informações importantes de informações secundárias ou inúteis;
• Definir o nível de detalhe ideal e aceitável para cada informação armazenada.

Três critérios podem ser usados para garantir que um conjunto de dados seja verdadeiramente anônimo:

1. Individualização: não deve ser possível isolar um indivíduo no conjunto de dados;
2. Correlação: não deve ser possível relacionar conjuntos distintos de dados referentes ao mesmo indivíduo;
3. Inferência: não deveria ser possível deduzir, com quase certeza, novas informações sobre um indivíduo.

No caso da Cegedim, o critério de individualização não foi respeitado: o serviço permitia rastrear constantemente as pessoas ao longo do tempo usando um identificador único e aumentar a quantidade de dados a respeito delas.

Isso possibilitou isolar um indivíduo em um conjunto de dados e, portanto, aumentou o risco de quebra do pseudonimato.

Por fim, é importante ressaltar que a pessoa responsável pela criação de um repositório de dados de saúde só poderá implementá-lo após autorização da CNIL ou desde que esteja em conformidade com uma norma.

Em caso de subcontratação, a parte responsável deve incluir no contrato de subcontratação todos os requisitos necessários para garantir o cumprimento das normas, em particular no que diz respeito à segurança de dados.

Na maioria dos casos de violação de dados que estão nas manchetes hoje (veja abaixo), o elo fraco na origem da violação foi o subcontratado.

 

 

A composição do novo governo é conhecida desde 21 de setembro, com algumas novidades relacionadas a questões digitais.

A expressão "soberania digital" desaparece do título do Ministério da Economia e Finanças, e os assuntos digitais passam a ser de responsabilidade do Ministro do Ensino Superior e da Pesquisa.

Finalmente, o nome da secretaria responsável passa a ser: Inteligência Artificial e Tecnologia Digital.

Para Henri d'Agrain, delegado geral da Cigref (associação que representa empresas e agências governamentais do setor digital), este título "não capta a importância do contínuo entre nuvem, dados e IA, que qualquer política pública séria nesta área deve abranger". Ele acrescenta que "a ênfase na inteligência artificial neste título deve ser considerada à luz das ambições do Palácio do Eliseu para a Cúpula de Ação em IA, que será realizada em Paris em fevereiro de 2025".

Após uma consulta pública, a CNIL publicou em 24 de setembro a versão final de suas recomendações para ajudar os profissionais a projetar aplicativos móveis que respeitem a privacidade..

Isso garantirá que, a partir de 2025, esses fatores sejam devidamente levados em consideração por meio de uma campanha de controle específica.

A CNIL pretende esclarecer e regulamentar o papel dos profissionais, bem como garantir a qualidade da informação e o consentimento dos utilizadores de aplicações móveis.

Após o caso da SFR no mês passado, agora é a vez da Free alertar seus clientes sobre um vazamento de dados.

Entre os dados acessados pelo invasor estavam pelo menos o nome, sobrenome, número de telefone e endereço postal dos clientes.

Além desses dois operadores, muitos varejistas franceses, incluindo Boulanger, Cultura, Truffaut e Grosbil, foram vítimas, em meados de setembro, do ataque cibernético que expôs seus dados de entrega, os quais foram publicados e revendidos na dark web pelo mesmo hacker.

Os riscos para os indivíduos geralmente dizem respeito ao roubo de identidade e à obtenção de dados relacionados ao seu endereço.

Já a Cultura, especializada na venda de produtos culturais, também teve seu conteúdo de cestas de compras vazado, fornecendo informações precisas sobre os hábitos de leitura dos compradores, com consequências potencialmente muito invasivas.

Na maioria desses ataques, o hacker tinha como alvo um provedor de serviços das empresas envolvidas.

Em 25 de setembro, a câmara social do Tribunal de Cassação proferiu uma sentença que invalidou a demissão de um funcionário com base na interceptação de e-mails enviados de seu endereço profissional.

O Tribunal recorda que "o trabalhador tem o direito, mesmo no horário e local de trabalho, ao respeito pela privacidade da sua vida privada."

Isto envolve, em particular, a confidencialidade da correspondência.

O empregador não pode, portanto, sem violar essa liberdade fundamental, usar o conteúdo de mensagens pessoais enviadas ou recebidas pelo empregado por meio de uma ferramenta informática fornecida para fins de trabalho, para discipliná-lo.

 

Instituições e órgãos europeus

No dia 25 de setembro, a Comissão reuniu em Bruxelas os principais intervenientes do setor da IA para celebrar as primeiras 100 assinaturas dos compromissos do Pacto da IA.

Os signatários são corporações multinacionais e pequenas e médias empresas europeias de diversos setores. Até o momento, a Meta e a Apple não assinaram este pacto.

Os compromissos voluntários contidos no documento convidam as empresas participantes a se comprometerem a realizar pelo menos três ações fundamentais:

• Adote uma estratégia de governança de IA para promover a adoção de IA dentro da organização e trabalhar para a futura conformidade com as regulamentações de IA.
• Identificar e mapear sistemas de IA que possam ser classificados como de alto risco segundo a regulamentação de IA.
• Promover a conscientização dos funcionários sobre IA.

As empresas são incentivadas a assumir outros compromissos adequados às suas atividades, incluindo garantir a supervisão humana, mitigar riscos e rotular de forma transparente certos tipos de conteúdo gerado por IA, como os "deepfakes".

O Tribunal de Justiça da União Europeia (TJUE) decidiu, em acórdão de 4 de outubro (C 621/22), que um interesse comercial pode ser um "interesse legítimo" na acepção do artigo 6.º, n.º 1, alínea f), do RGPD, desde que não seja contrário à lei.

Embora essa posição possa parecer óbvia, deixou de ser assim nos Países Baixos durante alguns anos: de acordo com a Autoridade Holandesa de Proteção de Dados (DPA), o interesse legítimo tinha de estar fundamentado numa base legal.

O Tribunal reitera que tal exigência é excessiva e que basta que a finalidade não seja contrária à lei. Cabe ressaltar que esta decisão não constitui carta branca para todas as práticas de marketing: é sempre necessário ponderar os interesses e direitos envolvidos.

Também no dia 4 de outubro, o Tribunal de Justiça da União Europeia (TJUE) emitiu uma decisão no processo C-446/21, na qual apoia a ação judicial movida contra a Meta em relação ao seu serviço para o Facebook.

As questões diziam respeito à limitação do uso de dados pessoais para publicidade online e à limitação do uso de dados pessoais publicamente disponíveis aos fins originalmente previstos para publicação.

No mesmo dia, o Tribunal de Justiça da União Europeia (TJUE) também validou, no processo C-21/23, a possibilidade de um concorrente de uma empresa intentar uma ação nos tribunais civis com base na proibição de práticas comerciais desleais, a fim de impedir uma violação, por parte desse concorrente, das disposições substantivas do RGPD.

Cabe ressaltar que já existe jurisprudência nesse sentido no direito francês.

O Tribunal de Justiça da União Europeia (TJUE) decidiu em 26 de setembro (Processo C 768/21) que, quando uma violação de dados é comprovada, as autoridades de proteção de dados não são obrigadas a exercer o poder corretivo ao abrigo do artigo 58.º, n.º 2, do RGPD, quando não for adequado, necessário ou proporcional remediar a deficiência identificada.

Segundo o Tribunal, após analisar todas as circunstâncias do caso, as autoridades de proteção de dados podem abster-se de exercer tal poder corretivo, por exemplo, quando o responsável pelo tratamento tiver implementado medidas técnicas e organizacionais adequadas para garantir que a violação cesse e não volte a ocorrer.

O Tribunal decidiu finalmente, num acórdão de 12 de setembro (Processos Apensos C 17/22 e C 18/22), que não só um ato legislativo, mas também a jurisprudência nacional, pode estipular uma obrigação legal, em conformidade com o artigo 6.º, n.º 1, alínea c), do RGPD, de divulgar a um acionista a identidade de todos os outros acionistas em causa.

Na sequência de iniciativas na França, Dinamarca, Espanha e Alemanha na área da verificação de idade online, a ONG europeia EDRi e 63 organizações, acadêmicos e especialistas em privacidade, criptografia, segurança infantil, direitos das trabalhadoras do sexo e direitos do consumidor publicaram uma declaração conjunta em 16 de setembro.

O documento insta a Comissão Europeia a priorizar medidas eficazes de proteção à infância, ao mesmo tempo que expressa sérias preocupações quanto à adequação, proporcionalidade e impacto negativo sobre os direitos fundamentais das propostas atuais.

 

Notícias dos países membros da União Europeia.

Uma resolução publicada em 11 de setembro pela Conferência das Autoridades Independentes de Proteção de Dados da Alemanha (DSK) fornece recomendações práticas para o quadro para transferências de dados pessoais no contexto de "Negociações de Ativos" referentes a dados pessoais mantidos por empresas: dados de clientes e potenciais clientes da empresa, seus funcionários, parceiros comerciais, etc.

Na Alemanha, a Autoridade de Proteção de Dados de Hamburgo adotou um documento controverso sobre grandes modelos de linguagem (LLM, na sigla em inglês).

A autoridade concluiu, portanto, que as LLMs não armazenam dados pessoais e que essa conclusão está de acordo com o parecer do Tribunal de Justiça da União Europeia.

No entanto, os dados de entrada e saída de um sistema de IA podem constituir dados pessoais, ao contrário da fase de treinamento, com as consequências que isso implica: solicitações de acesso, exclusão ou retificação podem, portanto, estar relacionadas a esses dados.

Na Bélgica, a Flandres está se distanciando do governo federal em questões de proteção à privacidade.

O jornal Le Soir anunciou em 1º de setembro que Jan Jambon, Ministro-Presidente da Flandres, havia ordenado a seus ministros em 20 de setembro, poucos dias antes de deixar o cargo, que não submetessem mais projetos de decretos e decisões à Autoridade Federal de Proteção de Dados (APD), mas sim ao seu órgão regional, a Comissão de Supervisão Flamenga (VTC).

Na verdade, desde 2019, o governo flamengo já vinha sistematicamente contornando o APD, aprovando seus decretos por meio do VTC, apesar de uma decisão do Tribunal Constitucional de março de 2023 ter lembrado que o governo flamengo deveria passar pelo APD para adotar seus textos.

Hoje, o Ministro-Presidente quer formalizar a competência flamenga: enviou uma carta à Comissão Europeia solicitando o reconhecimento das competências da VTC no que diz respeito ao RGPD.

A Autoridade Belga de Proteção de Dados (APD) multou um responsável pelo tratamento de dados em 100.000 euros por não ter respondido em tempo oportuno ao pedido de acesso de um titular de dados.

Apesar disso, a APD rejeitou o pedido da pessoa em questão para receber informações sobre os funcionários específicos que acessaram seus dados.

Também na Bélgica, a Câmara de Litígios da APD rejeitou, em 6 de setembro, a validade do mandato de representação apresentado pela Noyb num caso relativo à integração de scripts do Google Analytics num website, na altura em que o Privacy Shield tinha sido invalidado pelo TJUE.

A Câmara de Contencioso considerou que o mandato constituía um abuso de direito por parte da Noyb.

Em um caso separado, a Autoridade Belga de Proteção de Dados (APD) acatou diversas reclamações apresentadas pela Noyb em 2023 e ordenou que quatro dos principais sites de notícias belgas adequassem seus banners de cookies ao RGPD (Regulamento Geral de Proteção de Dados).

A autoridade espanhola de proteção de dados publicou um relatório em 2 de outubro sobre o tratamento de dados pessoais e a verificação da idade de crianças no ambiente digital.

O documento defende o desenvolvimento de políticas de proteção proativas por parte dos serviços da sociedade da informação.

A Agência Espanhola de Proteção de Dados (APD) multou uma empresa fintech em 72.000 euros por implementar medidas insuficientes de verificação de identidade do cliente, o que permitiu que fraudadores contraíssem empréstimos em nome da vítima sem o seu conhecimento.

Em 27 de setembro, a Comissão Irlandesa de Proteção de Dados (DPC) multou a Meta em 91 milhões de euros.

A decisão diz respeito às medidas tomadas pela empresa para garantir um nível de segurança adequado aos riscos associados ao processamento de senhas e à obrigação de documentar e notificar a Autoridade de Proteção de Dados em caso de violação de dados.

A autoridade lembra aos responsáveis pelo tratamento de dados que devem avaliar os riscos inerentes ao armazenamento de senhas de usuários e implementar medidas para mitigar esses riscos.

Em 12 de setembro, a APD também anunciou a abertura de uma investigação contra o Google relativa à utilização de dados pessoais de utilizadores europeus para desenvolver um modelo de inteligência artificial na área das traduções.

A investigação diz respeito ao modelo de IA "Pathways Language Model 2" (PaLM 2), lançado pelo Google em 2023, sem que tenha sido realizada uma análise de impacto sobre a proteção de dados.

Na Itália, a APD multou um fornecedor de energia em 5 milhões de euros por não implementar medidas adequadas para garantir o cumprimento do RGPD por parte dos seus subcontratados.

Isso permitiu que eles concluíssem contratos com as pessoas envolvidas sem o conhecimento delas.

A Autoridade Portuguesa para a Proteção de Dados (APD) multou um responsável pelo tratamento de dados em 107.000 euros por enviar repetidamente comunicações comerciais não solicitadas.

O responsável pelo tratamento dos dados foi responsabilizado, mesmo que os despachos tivessem sido realizados por uma subcontratada utilizando sua própria base de dados.

 

Um relatório da Comissão Federal de Comércio dos EUA (FTC, na sigla em inglês), publicado em 19 de setembro, revela que as principais empresas de mídia social e de streaming de vídeo têm praticado vigilância generalizada de usuários, com controles de privacidade frouxos e proteção inadequada para crianças e adolescentes.

O relatório recomenda limitar a retenção e o compartilhamento de dados, restringir a publicidade direcionada e fortalecer a proteção aos adolescentes.

O governo chinês publicou em 30 de setembro o "Regulamento sobre Gestão de Segurança de Dados em Rede", que entrará em vigor em 1º de janeiro de 2025. 

O texto tem como objetivo regulamentar as atividades de processamento de dados em rede, proteger os direitos e interesses legítimos de indivíduos e organizações, e salvaguardar a segurança nacional e o interesse público.

Também na China, o Comitê Técnico Nacional de Padronização de Segurança da Informação (TC260) publicou uma estrutura de governança de segurança da informação relacionada à IA.

O documento contém uma série de princípios e fornece uma classificação útil dos riscos relacionados à IA e das medidas tecnológicas para lidar com eles.

A IBM publicou um relatório sobre o custo das violações de dados para 2024.

Entre as conclusões do relatório, vale destacar que:

• O custo total médio de uma violação de dados é de US$ 4,88 milhões, sendo que os Estados Unidos são os locais mais dispendiosos para esse tipo de crime.
• A escassez de profissionais qualificados em cibersegurança se agravou.
• Quase metade das violações diz respeito a dados pessoais (46 %) ou a registos de propriedade intelectual (43 %),
• A intervenção das autoridades policiais reduz os custos dos ataques de ransomware em uma média de US$ 1 milhão.
• São necessários 292 dias para identificar e conter violações envolvendo credenciais roubadas.

O Instagram agora oferece contas para adolescentes com configurações de segurança mais rigorosas, permitindo que os pais restrinjam o uso do aplicativo.

As contas para adolescentes são especificamente projetadas para proteger menores de conteúdo prejudicial e contatos indesejados, além de reduzir o tempo gasto no aplicativo.