Observatório Jurídico nº 79 – Janeiro de 2025. 

Hospedagem de dados profissionais: cuidado com plataformas voltadas para o consumidor.

As obrigações dos provedores de hospedagem de dados em relação ao combate à pornografia infantil têm um impacto muito amplo na confidencialidade dos documentos que lhes confiamos.

Foi isso que um advogado parisiense descobriu recentemente, da pior maneira possível, ao armazenar informações confidenciais extremamente sensíveis no Google Drive no contexto de um processo criminal.

A decisão do Tribunal de Recurso de Paris, de 24 de janeiro, lembra aos advogados – assim como a qualquer profissional que lide com dados sensíveis – que a confidencialidade dos dados não é garantida em serviços de hospedagem como o Google Drive.

De fato, o Google, como qualquer outra empresa sujeita à legislação dos EUA, pode, no contexto do combate ao abuso sexual infantil, excluir uma conta de hospedagem ou uma conta de e-mail em caso de suspeita de ilegalidade dos dados.

Neste caso específico, o advogado que havia armazenado dezenas de imagens de pornografia infantil no Google Drive, processadas no contexto legítimo de um processo criminal, teve sua conta do Drive e sua conta do Gmail excluídas.

Ele também foi denunciado ao NCMEC (Centro Nacional para Crianças Desaparecidas e Exploradas).

Diante do advogado que exigia a devolução de seus dados, bem como indenização por danos do Google, o Tribunal confirmou que a posse dos arquivos, mesmo em um contexto profissional, não justificava sua retenção e que a suspensão da conta e a denúncia eram legítimas em virtude das obrigações legais às quais o provedor de hospedagem está sujeito.

Vale lembrar que os algoritmos de detecção que escaneiam constantemente arquivos armazenados e e-mails não diferenciam entre arquivos sensíveis mantidos legitimamente e conteúdo ilegal, nem entre atividades pessoais e profissionais.

Uma conta pode ser suspensa sem aviso prévio e sem possibilidade de recurso, o que significa que um advogado pode perder o acesso imediato aos seus arquivos e comunicações, mesmo no exercício legítimo de sua atividade profissional.

Além disso, ainda sobre o tema da pornografia infantil, os provedores de hospedagem americanos que já escaneiam o conteúdo armazenado em seus servidores são obrigados a denunciar o usuário ao serviço policial competente da França, ou seja, o OFMIN.

Utilizar serviços seguros é ainda mais essencial ao exercer uma profissão regulamentada.

A este respeito, recordemos o relatório publicado pela ANSSI em 2023 sobre o estado das ameaças cibernéticas contra escritórios de advocacia.

Embora os advogados geralmente tenham um sistema dedicado e seguro (e-Drive) e um endereço (avocat.fr), assim como os médicos, esse não é necessariamente o caso de todas as profissões, especialmente daquelas que não são regulamentadas.

Atualmente, as normas europeias, e em particular a LCEN em França (lei de 21 de junho de 2004 sobre a confiança na economia digital), não preveem uma obrigação de rastreio sistemático dos dados armazenados por parte dos fornecedores de alojamento, mas sim uma obrigação de verificação em caso de notificação e suspeita de infração.

O quadro legal poderá, no entanto, evoluir a nível europeu, com a adoção do futuro regulamento CSAR, que visa prevenir e combater o abuso sexual de crianças.

Embora ninguém conteste a validade dos objetivos, o plano de permitir a análise sistemática de comunicações privadas está causando intenso debate.

Atualmente, recomenda-se fortemente, em qualquer caso:

• Utilizar soluções em nuvem dedicadas a profissionais, concebidas, quando apropriado, para profissões regulamentadas e que garantam o respeito pelo sigilo profissional;
• Separar rigorosamente os usos pessoais dos profissionais;
• Criptografar dados de ponta a ponta;
• Para escolher um provedor de hospedagem soberano com sede na França, ou pelo menos na Europa.

 

Nos dias 10 e 11 de fevereiro, a França sediará o Cúpula de Ação sobre Inteligência Artificial (IA), que reunirá no Grand Palais chefes de Estado e de governo, líderes de organizações internacionais, CEOs de pequenas e grandes empresas, representantes da academia, organizações não governamentais, artistas e membros da sociedade civil.

A CNIL publica seu plano estratégico para 2025-2028.Este último compreende quatro eixos principais:

• Inteligência artificial,
• Direitos dos menores,
• Segurança cibernética
• Usos digitais do dia a dia.

O projeto se concentrará em dois desses usos: aplicativos móveis e identidade digital.

A CNIL também publicará diversas diretrizes para controladores de dados no início deste ano.

Ela publicou a versão final do seu trabalho em 31 de janeiro. Guia sobre avaliações de impacto para transferências de dados fora da União Europeia.

Em uma postagem datada de 23 de janeiro, ela nos lembra de Verificações a serem realizadas ao usar bancos de dados disponíveis gratuitamente na Internet. ou fornecido por terceiros.

O documento também responde às violações de dados em larga escala que afetaram milhões de pessoas em 2024 e propõe medidas para reforçar a segurança e lidar com os riscos de ataques.

Estas normas dizem respeito a procedimentos internos da empresa, bem como às precauções a serem tomadas em caso de subcontratação.

Ela ainda se lembra dela. Recomendações sobre como integrar SDKs (Kits de Desenvolvimento de Software) em aplicativos móveis.e indica que realizará verificações para garantir a conformidade com o RGPD.

Ela finalmente publicou no dia 20 de janeiro. revisão dos seus controlos no âmbito de uma ação europeia coordenada relativa ao respeito pelo direito de acesso.e observa que as medidas implementadas pelos controladores de dados são, por vezes, insuficientes: por exemplo, quando os indivíduos exercem o seu direito de acesso a todos os seus dados, algumas organizações fornecem apenas uma resposta parcial ou incompleta.

A associação de consumidores UFC-Que Choisir perdeu o processo que moveu contra o Google.

Em junho de 2019, ela iniciou uma ação coletiva contra a empresa, denunciando práticas contrárias ao GDPR: geolocalização intrusiva, rastreamento de movimentos sem consentimento e publicidade direcionada não solicitada.

A ação coletiva teve como base uma decisão da CNIL, que impôs uma multa recorde de 50 milhões de euros ao Google.

A associação exigia 1000 euros por usuário afetado, totalizando 27 bilhões de euros.

O tribunal judicial de Paris rejeitou o pedido, alegando falta de provas suficientes, e ordenou que a associação pagasse 10.000 euros em custas judiciais ao Google.

 

Instituições e órgãos europeus

Em 16 de janeiro, o O Conselho Europeu de Proteção de Dados adotou diretrizes relativas à pseudonimização.

Estas normas especificam a definição e as condições de aplicação da pseudonimização, bem como as suas vantagens.

Eles também fornecem vários exemplos.

Embora a pseudonimização não isente os dados da aplicação do RGPD, ela reduz, sem dúvida, os riscos associados ao processamento (por exemplo, no caso de ransomware).

As diretrizes estão abertas para comentários até 28 de fevereiro.

Na quarta-feira, 29 de janeiro, o Tribunal Geral da União Europeia (TG) decidiu a favor do Conselho Europeu de Proteção de Dados (CEPD) em uma disputa com a Autoridade Irlandesa de Proteção de Dados (APD).

A decisão do Comitê, contestada pela Irlanda, solicitou à Autoridade de Proteção de Dados (DPA) que ampliasse sua investigação sobre as violações do GDPR por parte da Meta.

O tribunal observa “que uma ampliação da investigação, necessariamente solicitada por pelo menos metade das autoridades de supervisão (...), não se destina, ao contrário do que alega o requerente, a complicar a tarefa da pessoa que apresentou a queixa ou a do responsável pelo tratamento visado, mas constitui uma medida para defender os seus respectivos direitos” (§56).

Na sua decisão T-354/22, o Tribunal Geral da União Europeia condenou a Comissão Europeia por violar o RGPD no contexto do registo online de um evento por ela organizado.

Por meio do hiperlink "conectar com o Facebook" exibido na página inicial, a Comissão "criou as condições que possibilitaram a transmissão do endereço IP do requerente para o Facebook" e, consequentemente, para os Estados Unidos.

Naquela altura, o Privacy Shield tinha sido invalidado e, por conseguinte, a transmissão foi considerada contrária ao artigo 46.º do Regulamento 2018/1725.

O Tribunal considerou que "o dano moral alegado pelo requerente deve ser considerado real e certo", uma vez que a transferência "colocou o requerente numa situação de insegurança relativamente ao tratamento dos seus dados pessoais, em particular do seu endereço IP".

Essa decisão poderá ter consequências caso o "Quadro de Privacidade de Dados" seja invalidado, pois reconhece que a simples conexão de um usuário da Internet a um serviço dos EUA constitui uma transferência de dados pessoais para os Estados Unidos.

Na sentença "Mousse" de 9 de janeiro de 2025 (C-394/23), o Tribunal de Justiça da União Europeia (TJUE) considera que não é necessário perguntar aos compradores de bilhetes de trem se devem ser chamados de "Senhor" ou "Senhora".

O Tribunal recorda que "para que o tratamento de dados pessoais seja considerado necessário para a execução de um contrato, na acepção desta disposição, deve ser objetivamente indispensável para atingir uma finalidade que seja parte integrante do serviço contratual a que o interessado se destina".

Neste caso, o Tribunal indica que parece existir uma solução prática e menos intrusiva: a empresa em causa poderia optar por uma comunicação baseada em fórmulas genéricas, inclusivas e educadas, não correlacionadas com uma identidade de género presumida.

Em um acórdão de 9 de janeiro, o TJUE também esclareceu os critérios para definir pedidos "excessivos" na acepção do artigo 57.º, n.º 4, do RGPD, salientando que não se trata apenas do número de pedidos feitos pelo titular dos dados, mas sobretudo da intenção abusiva subjacente a esses pedidos.

Essa decisão diz respeito a APDs (dispositivos de processamento automático de áudio), mas o raciocínio por trás dela é interessante para controladores de dados.

O Tribunal de Justiça da União Europeia considera que cabe às autoridades de supervisão o ônus da prova, devendo estas demonstrar a intenção abusiva por parte da pessoa que fez o pedido.

A decisão do Tribunal de Justiça da União Europeia (TJUE) de 19 de dezembro de 2024 (processo C-65/23) esclarece que, embora os contratos empresariais possam constituir uma base jurídica específica, os empregadores devem garantir que esse tipo de contrato esteja em conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).

Neste caso específico, uma empresa alemã e seu conselho de trabalhadores haviam celebrado acordos relativos ao tratamento de dados dos funcionários.

A disputa dizia respeito ao uso de um novo software baseado em nuvem, por meio do qual dados pessoais eram transferidos para servidores nos Estados Unidos.

O Tribunal de Justiça da União Europeia (TJUE) enfatiza que os tribunais nacionais são obrigados a verificar o cumprimento de todos os princípios do RGPD, mesmo que o tratamento de dados se baseie num acordo coletivo.

 

Notícias dos países membros da União Europeia.

Na Bélgica, a Autoridade Belga de Proteção de Dados (APD) repreendeu um empregador em 7 de janeiro por lidar ilegalmente com denúncias de agressão a um menor por um de seus funcionários.

O gerente de segurança do empregador havia solicitado à Autoridade Nacional de Segurança Francesa a prorrogação da autorização de segurança de um de seus funcionários, pedido que foi rejeitado por uma decisão fundamentada da Autoridade, transmitida à gerência e ao funcionário.

No entanto, a gerência repassou essa informação ao supervisor direto da pessoa, que iniciou um processo disciplinar contra ela.

A APD aponta para múltiplas violações, incluindo a falta de fundamento jurídico, a transmissão de dados sem finalidade compatível, o tratamento ilícito de dados sensíveis e a falta de transparência para com a pessoa em causa.

Na Dinamarca, a APD (Autoridade de Proteção ao Futebol) aceitou o pedido do FC Copenhagen para usar tecnologia de reconhecimento facial durante partidas de futebol, de acordo com a legislação nacional, sob o argumento de que a aplicação pretendida de suspensões constitui um interesse público substancial.

Não foi concedida autorização para eventos que não sejam partidas de futebol.

A associação dinamarquesa "Danes je nov dan" lançou uma ferramenta criada para testar a capacidade dos usuários de identificar conteúdo gerado por IA, ao mesmo tempo que os informa sobre os riscos associados ao seu uso indevido.

Apresentada em formato de questionário interativo, a ferramenta abrange diversas áreas, como o reconhecimento de imagens sintéticas, textos e vídeos.

Ao contrário da sua congénere dinamarquesa, a Agência Espanhola de Proteção de Dados (APD) considerou que a implementação de um sistema opcional de reconhecimento facial, utilizado para gerir o acesso a um estádio de futebol, violava o princípio da minimização de dados, uma vez que existiam alternativas menos invasivas, e com base nisto impôs uma multa de 200.000 euros aos responsáveis.

A Autoridade Espanhola de Proteção de Dados (APD) também multou a operadora CI Postal em 200.000 euros por ter, entre setembro e outubro de 2022, abandonado cerca de 8.000 cartas que lhe foram confiadas por diversas empresas em espaços públicos.

A APD constata uma violação dos artigos 5.º, n.º 1, alínea f), e 32.º do RGPD relativamente à confidencialidade e segurança, e aponta para a ausência de um sistema de rastreabilidade da correspondência e para a formação insuficiente dos funcionários sobre as regras de proteção de dados.

A Comissão também multou a Generali España em € 4.000.000 após constatar deficiências significativas na abordagem da empresa em relação à segurança de dados., que permitiu que terceiros não autorizados acessassem os dados de mais de 25.000 ex-clientes.

A Autoridade de Proteção de Dados da Estônia (APD) multou a Asper Biogene em € 85.000 (10% do faturamento) por não proteger adequadamente dados sensíveis durante um ataque de ransomware..

A empresa realiza testes genéticos, como testes de paternidade e exames para detecção de doenças hereditárias.

Os hackers conseguiram baixar mais de 33 GB de arquivos PDF, sem anonimização ou pseudonimização, referentes a aproximadamente 100.000 estonianos.

Na Grécia, a Autoridade de Proteção de Dados (APD) aplicou uma multa de 50.000 euros ao Ministério da Crise Climática e da Proteção Civil por não ter nomeado um Encarregado da Proteção de Dados (EPD)., violando assim – entre outras coisas – o Artigo 37 do RGPD.

A startup chinesa Deepseek lançou, no final de janeiro, um chatbot semelhante ao ChatGPT da OpenAI e ao Co-Pilot da Microsoft.

Além das acusações de gigantes americanos de que a Deepseek utilizou dados gerados por seus próprios sistemas, o chatbot chinês já atraiu a atenção da Autoridade Italiana de Proteção de Dados (APD): em 30 de janeiro, a APD bloqueou o chatbot na Itália e abriu uma investigação após receber respostas da Deepseek consideradas totalmente insuficientes para suas perguntas.

As autoridades policiais irlandesas, belgas e francesas também indicaram que já haviam abordado a questão.

As decisões relativas aos "padrões obscuros" em cookies estão se multiplicando.Na Suécia, a APD repreendeu uma empresa de jogos de azar pelo design inadequado de seu banner de cookies.

O destaque gráfico da opção de aceitação e as etapas adicionais necessárias para recusar cookies invalidaram o consentimento de acordo com o Artigo 6 do RGPD.

A APD também emitiu três decisões de repreensão contra empresas que, por períodos que variam de alguns meses a vários anos, integraram o serviço de medição de audiência da Meta (Meta Pixel) em suas páginas da web.

Essa integração teve o efeito de redirecionar o tráfego para o Meta de forma invisível para os usuários.

 

A Autoridade de Proteção de Dados do Reino Unido (DPA) anunciou em um comunicado à imprensa em 23 de janeiro que está abordando a questão da conformidade com os cookies nos 1.000 maiores sites do Reino Unido.

O ICO também publica uma "estratégia" para garantir que o rastreamento online ofereça às pessoas "escolhas claras e confiança em como suas informações são usadas", além de novas orientações sobre os modelos de "consentimento ou pagamento".

Nos Estados Unidos, os três membros democratas do Conselho de Supervisão da Privacidade e das Liberdades Civis (PCLOB, na sigla em inglês), um conselho encarregado de revisar os programas de vigilância de segurança nacional sob a perspectiva da privacidade, foram demitidos em 27 de janeiro após se recusarem a renunciar, conforme solicitado pela Casa Branca.

O PCLOB foi considerado, no contexto do "Quadro de Privacidade de Dados" entre a Europa e os Estados Unidos, um recurso essencial para o respeito aos direitos dos indivíduos em matéria de vigilância em massa.

O impacto dessa medida na viabilidade do acordo transatlântico permanece desconhecido até o momento.

Após revogar a ordem executiva sobre IA do ex-presidente Joe Biden, Donald Trump assinou uma nova, que "revoga certas políticas e diretrizes de IA existentes que representam barreiras à inovação americana em IA, abrindo caminho para que os Estados Unidos ajam decisivamente para manter sua posição como líder mundial em inteligência artificial".

Em 23 de janeiro, a OpenAI apresentou seu agente "Operator", descrito como "um agente que pode acessar a web para realizar tarefas para você".

Enquanto as aplicações de IA generativa podem, por exemplo, responder a perguntas, resumir textos e criar imagens e vídeos sintéticos, as aplicações de IA agentiva podem executar tarefas mais complexas, não apenas criando, mas também implementando conteúdo.

O Operator foi projetado para automatizar tarefas como planejar férias, preencher formulários ou fazer compras de supermercado.

Ele é treinado para interagir com os botões, menus e campos de texto comuns da web, e também pode fazer perguntas adicionais para personalizar ainda mais essas tarefas.

A OpenAI esclarece que os usuários podem assumir o controle da tela a qualquer momento.