Observatório Jurídico nº 80 – Fevereiro de 2025. 

Transferência de dados para os Estados Unidos: um quadro legal fragilizado.

Em 5 de fevereiro, 19 eurodeputados de todas as vertentes políticas pediram à Comissão Europeia que analisasse se o "Quadro de Proteção de Dados" (DPF, na sigla em inglês), que rege as transferências transatlânticas de dados, ainda é viável.

Em 6 de fevereiro, o presidente da Comissão de Liberdades Civis, Justiça e Assuntos Internos fez-lhe uma pergunta semelhante.

Essas questões foram levantadas pela decisão de Donald Trump de encerrar os mandatos dos três membros democratas do Congresso. O Conselho de Supervisão da Privacidade e das Liberdades Civis (PCLOB, na sigla em inglês) não possui mais o quórum necessário para funcionar.

O PCLOB foi considerado, no contexto do acordo transatlântico, um recurso essencial para o respeito aos direitos individuais em matéria de vigilância em massa.

Desde então, as garantias americanas em relação à proteção de dados parecem cada vez mais frágeis.

Segundo um artigo publicado pela Euractiv em 3 de março, um dos juízes do órgão de apelações do PCLOB, o Tribunal de Revisão da Proteção de Dados, desapareceu da lista de juízes no site, e um advogado especial renunciou ao cargo.

Além disso, "se Donald Trump não demitiu os inspetores-gerais responsáveis pela supervisão das agências de inteligência, ele demitiu pelo menos outros 17", e membros da unidade de proteção de privacidade do "Escritório de Administração de Pessoal" também teriam sido demitidos.

Por fim, o "Projeto 2025", um programa político associado ao governo Trump, acredita que o futuro presidente deve realizar um estudo sobre a ordem executiva de Biden relativa ao DPF e "redefinir as expectativas da Europa".

Este projeto também prevê a suspensão de medidas que dificultem indevidamente a coleta de informações.

Vale lembrar que a falta de mecanismos independentes de controle e de recurso em relação às agências de inteligência americanas foi o motivo do cancelamento do acordo anterior, o Privacy Shield. 

Esses diversos fatores não são um bom presságio para a viabilidade do acordo transatlântico. A questão pendente é quando a situação será oficialmente esclarecida.

A Comissão Europeia permanece em silêncio por enquanto, mas espera-se que responda às perguntas parlamentares antes do final do mês.

O Tribunal de Justiça da União Europeia, já a analisar o caso, poderá emitir uma decisão em linha com as suas duas decisões anteriores, que invalidaram, respetivamente, os "Princípios do Porto Seguro" e o "Escudo de Privacidade", mas a data dessa decisão ainda é desconhecida.

E quanto às autoridades de proteção de dados?

A Autoridade Norueguesa de Proteção de Dados (Datatilsynet) emitiu um comunicado sobre o assunto em 26 de fevereiro. Reiterou que a decisão de adequação da Comissão Europeia, que valida o acordo comercial transatlântico, permanece em vigor até que seja potencialmente revogada pela Comissão Europeia ou pelo Tribunal de Justiça da União Europeia (TJUE).

As autoridades de proteção de dados (APD) estão vinculadas a essas decisões e não podem proibir transferências que ocorram de acordo com uma decisão de adequação.

Considerando o contexto atual, Apesar disso, a APD recomenda que os controladores de dados desenvolvam uma estratégia de saída caso a estrutura atual seja invalidada. Porque a mudança poderia ocorrer sem um período de transição.

A primeira recomendação aos controladores de dados hoje é elaborar um inventário completo de todas as transferências de dados realizadas por sua empresa.

A tarefa é árdua porque os Estados Unidos estão agora onipresentes em nosso mundo digital e, como Monsieur Jourdain, transferimos dados diariamente sem saber.

Será necessário levar em consideração os destinatários claramente identificados nos Estados Unidos, mas também, por exemplo, o uso de serviços "em nuvem" americanos em território europeu, e os múltiplos serviços de exibição ou conexão, como o Google Fonts, o Google Analytics ou o Google Maps, ou mesmo o Facebook: o Tribunal de Justiça da União Europeia, em sua decisão T-354/22, condenou a Comissão Europeia por violação do RGPD no contexto do registro online para um evento que estava organizando.

Por meio do hiperlink "conectar com o Facebook" exibido na página inicial, a empresa "criou as condições que permitiram a transmissão do endereço IP do solicitante para o Facebook" e, consequentemente, para os Estados Unidos, durante um período em que o Privacy Shield havia sido invalidado.

Onde existirem alternativas europeias, estas podem representar uma solução interessante.Referimo-nos, por exemplo, à nuvem europeia ou à nuvem francesa certificada.

Com relação aos rastreadores, a CNIL publicou uma lista de ferramentas anônimas de medição de audiência.

Nos casos em que a transferência continuar sendo essencial, o exportador terá que recorrer a ferramentas como cláusulas contratuais padrão ou regras corporativas vinculativas, e realizar uma análise de impacto, documentando com precisão os riscos de interceptação de dados transatlânticos pelas autoridades e as salvaguardas previstas, uma tarefa particularmente difícil.

Em 31 de janeiro, a CNIL publicou a versão final de seu guia sobre avaliações de impacto para transferências de dados para fora da União Europeia.

Tal como a sua congénere norueguesa, é provável que publique recomendações relacionadas com os próximos desenvolvimentos internacionais.

 

  

Uma emenda acaba de ser introduzida em um projeto de lei contra o tráfico de drogas, que visa obrigar as plataformas a implementar medidas que permitam às autoridades policiais acessar dados, particularmente os de serviços de mensagens criptografadas.

Em declarações dirigidas ao governo e aos parlamentares, diversas empresas, incluindo Apple, Amazon, Google e Microsoft, opuseram-se a essa alteração, citando as posições do Conselho Europeu de Proteção de Dados (EDPB) e do Supervisor Europeu de Proteção de Dados (EDPS) contra o enfraquecimento da criptografia de ponta a ponta.

A proposta será analisada na sessão plenária que começa em 17 de março.

Esses desenvolvimentos refletem iniciativas governamentais semelhantes em vários países europeus, bem como nos Estados Unidos (ver abaixo, desenvolvimentos nacionais).

A CNIL lembrou o motor de busca Qwant de suas obrigações sob o GDPR em relação à anonimização de dados.

Os dados utilizados pela empresa em relação à venda de espaço publicitário no mecanismo de busca, operado pela MICROSOFT, foram apresentados de forma anônima pela Qwant. 

A CNIL observa que "apesar das fortes precauções tomadas em 2019 para evitar a reidentificação de pessoas, o conjunto de dados transmitido levou à aplicação do RGPD e, em particular, dos seus artigos 12.º e 13.º".

A Comissão considera que se trata de um erro de análise inicial relativamente à classificação dos dados transmitidos, sem intenção de contornar as disposições do RGPD, e, por conseguinte, não aplica qualquer sanção.

A Comissão também multou uma agência imobiliária em € 40.000 por monitorar excessivamente seus funcionários usando um software (Time Doctor) que gravava o tempo de trabalho deles. alegados períodos de inatividade e capturas de tela regulares do computador.

Além disso, os funcionários eram constantemente monitorados.

A CNIL critica, em particular, o responsável pela ausência de uma avaliação de impacto, pela falta de uma base legal para o tratamento dos dados e pelo incumprimento do princípio da minimização de dados.

Também publicou uma atualização das suas Tabelas de Proteção de Dados e os Cadernos de Resumo de 2024, que concentram as suas novas decisões importantes, bem como os aspetos essenciais da jurisprudência nacional e europeia em matéria de proteção de dados.

 

Instituições e órgãos europeus

Na sequência do relatório Digital Fairness Fitness Check, publicado em 3 de outubro de 2024, a Comissão Europeia está a considerar a elaboração de um regulamento sobre equidade digital (“Lei da Equidade Digital”) para abordar questões de proteção do consumidor no ambiente online, tais como a rescisão ou renovação automática de subscrições e a conversão de períodos de teste gratuitos em subscrições pagas.

Segundo informações, estão sendo preparadas uma consulta pública e uma análise preliminar de impacto.

A Comissão finalmente decidiu retirar sua proposta de Regulamento ePrivacy, que visava modernizar e esclarecer as obrigações da diretiva atual, harmonizando-as com os princípios do RGPD.

O texto gerou controvérsia, particularmente no que diz respeito ao alcance das exceções aos princípios da confidencialidade das comunicações.

Novas propostas legislativas estão em discussão, com o objetivo de abordar questões de privacidade e, ao mesmo tempo, separar a vigilância comercial da vigilância estatal.

A Diretiva de Responsabilidade por IA, que visava atualizar as normas de segurança de produtos da UE para abranger IA e automação, também está na lista de propostas legislativas retiradas.

Fazendo eco às conclusões da cúpula de IA de Paris, realizada em fevereiro passado, o programa de trabalho da Comissão Europeia para 2025 enfatiza a competitividade, com o objetivo explícito de fomentar o crescimento econômico através do apoio à inovação.

Em 2 de fevereiro, entraram em vigor as primeiras disposições do regulamento sobre IA, incluindo o Artigo 5, que trata das práticas de IA proibidas.

Dois dias depois, a Comissão Europeia publicou diretrizes que descreviam as práticas de IA consideradas inaceitáveis devido aos riscos que representam para os valores europeus e os direitos fundamentais.

Diversas autoridades de proteção de dados (APD), presentes na cúpula de IA, emitiram uma declaração conjunta após uma mesa redonda "sobre o estabelecimento de estruturas confiáveis de governança de dados para incentivar o desenvolvimento de IA inovadora e que proteja a privacidade", enfatizando a necessidade de integrar os princípios de privacidade desde a fase de projeto dos sistemas de IA e de implementar estruturas internas robustas de governança de dados.

Ao mesmo tempo, o CEPD anunciou em 12 de fevereiro que estava ampliando o escopo de seu grupo de trabalho ChatGPT para a aplicação de IA e criando uma "equipe de resposta rápida para coordenar as ações das autoridades de proteção de dados" em relação a questões sensíveis urgentes relacionadas à IA.

O CEPD anunciou no início de março o lançamento da sua ação coordenada de controlos para 2025 sobre o direito ao apagamento.

Esta ação segue ações coordenadas sobre o uso da nuvem pelo setor público (2022), a designação e o papel dos DPOs (2023) e o direito de acesso (2024).

O serviço de pesquisa do Parlamento Europeu publicou uma nota informativa em 26 de fevereiro sobre a tensão entre a prevenção da discriminação algorítmica e o tratamento de categorias especiais de dados.

O documento identifica incertezas relativas à aplicação conjunta do regulamento sobre IA e do RGPD, que podem exigir reforma legislativa ou orientações adicionais.

Em 27 de fevereiro, o Tribunal de Justiça da União Europeia (TJUE) emitiu uma importante decisão relativa ao alcance dos direitos das pessoas afetadas por uma decisão automatizada.

No Caso C 203/22 Dun & Bradstreet Áustria, o Tribunal esclarece que o artigo 15.º, n.º 1, alínea h), do RGPD «oferece ao titular dos dados um direito genuíno a uma explicação do funcionamento do mecanismo subjacente a um processo de tomada de decisão automatizado a que essa pessoa foi submetida e do resultado a que essa decisão conduziu» (n.º 57).

Os dados de terceiros protegidos ou segredos comerciais não isentam o controlador de explicações concretas: este é "obrigado a comunicar esta informação alegadamente protegida à autoridade de controlo ou tribunal competente, que é responsável por ponderar os direitos e interesses envolvidos a fim de determinar o âmbito do direito de acesso do titular dos dados previsto no artigo 15.º do RGPD" (n.º 67).

O Tribunal de Justiça da União Europeia (TJUE) também considerou, em 13 de fevereiro, que as autoridades de supervisão e os tribunais devem levar em conta o fato de um responsável pelo tratamento de dados fazer parte de uma empresa, nos termos dos artigos 101.º e 102.º do Tratado sobre o Funcionamento da União Europeia (TFUE), ao fixar o valor das multas.

Além disso, devem basear o valor máximo das multas no volume de negócios da empresa e não no do responsável pelo tratamento dos dados.

O Advogado-Geral do Tribunal de Justiça da UE partilhou as suas conclusões sobre o caso EDPS contra SRB (C-413/23 P) a 6 de fevereiro.

O caso questiona se os dados pseudonimizados transmitidos por uma agência da UE, o Conselho Único de Resolução, à sua empresa de consultoria Deloitte constituem dados pessoais do ponto de vista da Deloitte.

A Assembleia Geral centra-se nos meios razoáveis ao alcance do destinatário para identificar os indivíduos em causa, adotando uma interpretação significativamente mais restritiva do conceito de dados pessoais do que o CEPD e o CEPD. A decisão final é esperada antes do verão.

 

Notícias dos países membros da União Europeia.

Uma decisão judicial alemã (OLG Dresden/Alemanha (Az.: 4 U 940/24)) confirma que os controladores de dados são responsáveis não apenas por suas próprias ações, mas também pelas ações de seus subcontratados.

O Tribunal salientou que não basta confiar no subcontratado sem verificar, como neste caso, se ele efetivamente apagou os dados subcontratados no final do contrato.

As consequências da verificação insuficiente podem persistir muito tempo depois do incidente inicial, como foi o caso aqui, após um ataque cibernético que causou um vazamento de dados, seguido de processos judiciais e danos à reputação do controlador de dados.

Na Espanha, a APD multou a operadora de telefonia móvel Orange em 1,2 milhão de euros por não ter impedido a emissão de um cartão SIM duplicado para um terceiro, que o utilizou para acessar a conta bancária da pessoa em questão.

A APD considerou que o operador não havia implementado medidas de proteção adequadas.

Ainda em Espanha, a APD impôs várias multas ao grupo bancário cooperativo Caja Rural por violação do RGPD na sequência de uma violação de dados causada por medidas de segurança inadequadas e uma vulnerabilidade no sistema informático.

Neste caso, a APD considerou cada banco membro do grupo cooperativo como individualmente responsável, embora todos utilizassem o mesmo fornecedor de serviços de TI, e impôs sanções que variaram de 6.200 euros a 400.000 euros, dependendo do número de clientes e da rapidez de reação dos bancos.

A Autoridade Grega de Proteção de Dados (APD) tomou uma decisão com o objetivo de facilitar o exercício dos direitos individuais junto ao Google.

Ela ordenou que a empresa removesse os links que apareciam nos resultados de busca para o nome da pessoa e ordenou que o Google alterasse seu procedimento de solicitação de remoção, permitindo anexos, fornecendo informações de contato direto e interrompendo as respostas automatizadas.

Nos Países Baixos, uma captura de tela compartilhada por um especialista em cibersegurança (e ex-supervisor do serviço de inteligência civil) na plataforma Bluesky revela que o Google Analytics está coletando dados de candidatos a vagas nos serviços de inteligência civil e militar do país.

Essa informação levou um membro do parlamento a solicitar esclarecimentos ao Ministro do Interior.

A Autoridade Polonesa de Proteção de Dados (APD) multou o operador de um site em 350.000 euros (1.527.855 PLN) e seu subcontratado em 4.590 euros (20.037 PLN) por violação da segurança de dados após uma configuração incorreta do site ter levado a uma violação de dados que afetou 21.453 pessoas.

Na Romênia, a empresa Unicredit foi multada em 15.000 euros (74.652 lei) por duas violações de dados devido a aplicativos internos.

Esses dispositivos não haviam sido testados antes de sua implementação, e a APD está penalizando o descumprimento do Artigo 25(1) do GDPR, que exige proteção de dados desde a concepção ("privacidade desde a concepção").

Na sequência de uma ordem do governo britânico para quebrar a criptografia do iCloud, a Apple acaba de retirar completamente seu recurso avançado de segurança do Reino Unido.

A ordem dizia respeito especificamente à funcionalidade introduzida em 2023, que permite aos utilizadores do iCloud optar pela encriptação de ponta a ponta de todos os dados armazenados na nuvem da empresa e garante que nenhuma entidade terceira, incluindo a Apple, possa aceder aos dados.

A empresa teve que escolher entre remover o recurso de criptografia ou criar uma porta dos fundos que comprometeria a criptografia para todos os usuários do mundo, sendo a segunda opção excluída para a Apple.

Ao mesmo tempo, a Suécia também exige backdoors, o que levou a Signal a alertar que deixaria o país caso tal legislação fosse adotada.

Vale acrescentar que os Estados Unidos estão buscando, segundo um artigo da Forbes de 24 de fevereiro, o mesmo objetivo de acessar dados criptografados.

 

A Coreia do Sul acaba de aprovar uma lei sobre inteligência artificial que entrará em vigor em janeiro de 2026.

A lei está alinhada com a regulamentação europeia sobre IA: ela introduz obrigações para empresas de IA, particularmente para IA de alto impacto e IA generativa, com ênfase na gestão de riscos, proteção do usuário e transparência.

A IAPP relata que um grupo de senadores americanos que integram o "Comitê Seleto de Inteligência do Senado" enviou uma carta à Casa Branca em 5 de fevereiro para "expressar alarme com os riscos à privacidade e à segurança nacional representados pelo recém-criado Departamento de Eficiência Governamental" (DOGE).

A carta argumenta que as ações do DOGE correm o risco de expor informações confidenciais e outras informações sensíveis, comprometendo a segurança nacional e violando a privacidade dos americanos.

Diversos processos judiciais estão em andamento relacionados ao acesso ilegal a dados processados por essas agências.

Nos últimos anos, os pedidos de serviços de inteligência por dados detidos pelas empresas GAFAM aumentaram exponencialmente.

É o que conclui um estudo publicado pela empresa Proton, baseado nos relatórios de transparência da Apple, Meta e Google entre 2014 e 2024.

Conforme aponta a 01net, essas empresas são obrigadas pela legislação dos EUA (FISA, Cloud Act) a responder a solicitações de autoridades que desejam acessar gravações telefônicas, mensagens de texto, e-mails ou backups na nuvem.

“Os pedidos de acesso a dados de usuários (de qualquer nacionalidade), como e-mails ou mensagens, enviados às autoridades americanas pelo Google, Apple e Meta nos últimos dez anos (...) aumentaram em média, para essas três empresas, em... 600 %.”

A legislação da Malásia sobre a proteção de dados pessoais foi reforçada para aumentar significativamente os poderes da autoridade reguladora e fortalecer os direitos dos indivíduos.

A implementação ocorrerá em três fases durante o primeiro semestre de 2025, ou seja, em 1º de janeiro, depois em 1º de abril e em 1º de junho.

A investigação sobre os "arquivos de rastreamento", conduzida por diversos meios de comunicação internacionais, incluindo o Le Monde, a France Info e o telejornal das 20h na França, revela a extensão do rastreamento e os detalhes dos dados pessoais processados por empresas de coleta e processamento de dados.

Os dados pessoais geolocalizados de milhões de usuários são agregados em condições que muitas vezes não são muito transparentes: por exemplo, jogar online em seu smartphone usando um aplicativo pode gerar a transmissão de dados como horários de conexão, modelo do smartphone ou localização geográfica, elementos coletados em arquivos gigantescos vendidos por corretores como o grupo americano Datastream.

Mais de 47 milhões de pessoas estão incluídas neste último arquivo.

Os dados de todos podem ser afetados, incluindo os de diplomatas, militares e jornalistas.