Observatório Jurídico nº 84 – Junho de 2025. 

Câmeras de realidade aumentada: a CNIL estabelece novas diretrizes.

Em 11 de julho, a CNIL considerou que o uso de câmeras "aumentadas" para estimar a idade de clientes em tabacarias, com o objetivo de controlar a venda de produtos proibidos a menores, não é necessário nem proporcional.

Essas câmeras são apresentadas como uma ferramenta de tomada de decisão. Elas se baseiam em um algoritmo de inteligência artificial, ativado por padrão, que escaneia o rosto de todas as pessoas em seu campo de visão para estimar se são menores de idade ou adultos.

A CNIL (Autoridade Francesa de Proteção de Dados) observa que, como a câmera "aumentada" realiza apenas uma estimativa, os tabacarias devem solicitar sistematicamente a comprovação de idade de seus clientes para cumprir suas obrigações. "Consequentemente, a análise facial prévia por câmera para estimar a idade não parece necessária: apenas aumentaria as verificações exigidas por lei."

A CNIL aponta para um uso desproporcional em relação ao objetivo pretendido, o que leva à filmagem de todas as pessoas, mesmo daquelas que são claramente adultas, e impede que as pessoas exerçam seu direito de objeção.

Ela também acredita que a instalação de câmeras em espaços residenciais, como tabacarias, contribui para o risco de banalização e habituação a uma forma de vigilância reforçada pela multiplicação dessas ferramentas.

Esta não é a primeira vez que a autoridade reguladora se posiciona sobre esta questão. No final de maio, atraiu a ira do prefeito de Nice ao proibir a instalação de câmeras de realidade aumentada em frente às escolas da cidade, destacando a coleta de dados pessoais e reiterando a necessidade de reduzir ao mínimo a vigilância de pessoas em espaços públicos.

Em alguns contextos, porém, o uso de câmeras com realidade aumentada encontra aceitação aos olhos da CNIL: esta considerou que a implantação dessas câmeras nos caixas automáticos de supermercados poderia constituir um interesse legítimo para atingir o objetivo de limitar as perdas de receita causadas por erros ou furtos nos caixas, mas sob certas condições: que o sistema seja necessário para o objetivo pretendido, que não infrinja desproporcionalmente os direitos das pessoas e que não possa ser alcançado de forma menos intrusiva.

Devem ser implementadas medidas de minimização de dados, como limitar a área de captura aos caixas de autoatendimento e restringir a duração, a resolução e a frequência da captura. Além disso, os usuários devem ser informados sobre o sistema e ter à disposição uma alternativa sem câmera.

A CNIL pretende regulamentar o uso desses sistemas, garantindo sua necessidade e proporcionalidade caso a caso. Recomenda também a aplicação do princípio da privacidade desde a concepção.

Vale lembrar que o quadro regulatório para a vigilância por vídeo algorítmica é um tema em constante evolução, sujeito a uma estrutura regulatória complexa.

Essa estrutura difere da das câmeras biométricas, que processam sistematicamente dados relacionados às características físicas das pessoas, com o objetivo de identificá-las ou autenticá-las de forma única.

Essas operações de processamento, que envolvem dados sensíveis, são proibidas, exceto em circunstâncias excepcionais.

Com relação às câmeras "aumentadas", atualmente não existe nenhum texto específico, exceto pelo quadro experimental previsto na lei sobre os Jogos Olímpicos e Paralímpicos de 19 de maio de 2023.

A CNIL lembra-nos que "os mecanismos suscetíveis de afetar as garantias fundamentais concedidas aos cidadãos para o exercício das liberdades públicas só podem ser utilizados se estiverem autorizados e regulamentados especificamente por lei".

Para outros sistemas, devem ser implementadas fortes medidas de segurança.

O período de teste da lei dos Jogos Olímpicos foi recentemente prorrogado até 2027, apesar de uma avaliação considerada controversa.

Esta lei autoriza o uso experimental de dispositivos de câmera com realidade aumentada para garantir a segurança de certos eventos esportivos, recreativos e culturais importantes, sob condições muito específicas: apenas os eventos especificados pela lei podem ser monitorados, e nenhum reconhecimento facial pode ser realizado.

De um ponto de vista mais político, a CNIL apela às autoridades públicas para que estabeleçam uma linha divisória entre o que deve ou não ser permitido numa sociedade democrática: nem tudo o que é tecnicamente viável é necessariamente desejável do ponto de vista ético e social.

 

 

Num contexto de crescente conscientização sobre o combate à discriminação, a CNIL publica uma recomendação sobre a mensuração da diversidade no ambiente de trabalho.

Ela salienta que tal medida é um exercício delicado que implica que os empregadores respeitem rigorosamente a decisão do Conselho Constitucional de 15 de novembro de 2007, frequentemente e erroneamente interpretada como uma proibição absoluta de estatísticas relacionadas com a origem.

A comissão destaca, em particular, que as investigações devem permanecer facultativas e que os funcionários ou agentes devem ser devidamente informados e seus direitos respeitados.

Recomenda-se também priorizar pesquisas anônimas e limitar os dados coletados por meio de perguntas fechadas.

A CNIL também publicou duas FAQs sobre o uso de IA nas escolas e um mangá com o objetivo de conscientizar os jovens sobre a proteção de seus dados pessoais.

Também publicou recomendações sobre ferramentas de medição de audiência na internet e uma ferramenta de autoavaliação para verificar a conformidade dessas ferramentas com o quadro legal.

A entidade publicou recomendações sobre o desenvolvimento de sistemas de IA, que especificam as condições para a utilização do interesse legítimo, particularmente no caso da coleta de dados (web scraping), e em 12 de junho abriu uma consulta pública sobre sua proposta de recomendação relativa ao uso de pixels de rastreamento em e-mails.

O objetivo é ajudar os agentes que utilizam esses rastreadores a compreender melhor as suas obrigações, em particular no que diz respeito à obtenção do consentimento do utilizador.

Segundo uma publicação de 30 de junho do portal de notícias de cibersegurança Cybernews, 16 bilhões de nomes de usuário e senhas roubados estão atualmente acessíveis online.

As informações comprometidas incluem identificadores, como nomes de usuário e endereços de e-mail, bem como senhas.

Os diretórios também contêm tokens de acesso, cookies de login e metadados.

 Isso não seria um novo vazamento de dados, mas sim a agregação de diferentes vazamentos de dados anteriores, o que pode aumentar os riscos de roubo de dados, facilitando a ação de agentes maliciosos.

O Google corre o risco de receber uma multa recorde de 525 milhões de euros por sua gestão de cookies e publicidade em caixas de entrada do Gmail.

Em sua minuta de decisão, a CNIL acusa o Google de ter violado os princípios de implementação da diretiva europeia "privacidade e comunicações eletrônicas", por não obter o consentimento do usuário para o download de cookies ao criar uma conta do Gmail e para a exibição, nas caixas de entrada do Gmail, de anúncios que se disfarçam de e-mails.

Caso a multa seja mantida pelo comitê restrito da CNIL, será a maior multa da história da CNIL e a maior já imposta por violação da Diretiva ePrivacy. A decisão final será anunciada em algumas semanas.

O descumprimento do RGPD é motivo para rescisão contratual, especialmente na área de serviços de desenvolvimento de comunicação digital: seguindo decisões anteriores, em seu acórdão de 11 de junho de 2025, o Tribunal de Recurso de Bordéus confirmou a presença de um dispositivo de proteção reCAPTCHA associado a vários cookies colocados sem o consentimento do usuário final.

Tendo em conta as contínuas violações contratuais por parte do prestador de serviços, o cliente tem o direito de solicitar a rescisão do contrato nos termos dos artigos 1610, 1217 e 1224 do Código Civil.

 

Instituições e órgãos europeus

O cronograma para a implementação do regulamento europeu sobre IA foi publicado em meados de junho.

Na sequência de rumores sobre um possível período de transição, a Comissão esclareceu que o texto seria aplicado de acordo com os prazos estabelecidos.

O regulamento aplica-se aos sistemas de IA com base nos riscos que apresentam e rege os modelos de IA de uso geral (GPAI) com base nas suas capacidades.

As regras relativas ao GPAI entrarão em vigor em 2 de agosto de 2026; para os sistemas existentes, a aplicação terá início em 2 de agosto de 2027.

Além disso, o Código de Boas Práticas para IA de Propósito Geral foi publicado em 10 de julho.

É composto por 3 capítulos.

Os capítulos sobre transparência e direitos autorais fornecem a todos os fornecedores de modelos de IA de uso geral um meio de demonstrar que estão cumprindo suas obrigações de acordo com a seção 53 da Lei de IA.

O capítulo sobre segurança diz respeito apenas a um pequeno número de fornecedores de modelos altamente avançados, sujeitos às obrigações estabelecidas para fornecedores de modelos de IA de uso geral que apresentem risco sistêmico, conforme o Artigo 55 da Lei de IA.

A proposta da Comissão Europeia para um "pacote digital" é atualmente esperada até 10 de dezembro, de acordo com um documento interno consultado pela MLex.

Fará parte de um pacote que inclui o Regulamento das Redes Digitais, a revisão do Regulamento da Cibersegurança e a carteira eletrónica europeia.

A regulamentação relativa ao desenvolvimento em nuvem e inteligência artificial está provisoriamente agendada para a próxima semana.

No final de junho, as instituições europeias adotaram uma posição comum sobre regras processuais adicionais relativas à implementação do RGPD. O texto precisa agora ser formalmente aprovado por votação do Parlamento Europeu.

Em uma reunião de dois dias realizada em Helsinque, nos dias 1 e 2 de julho, o Conselho Europeu de Proteção de Dados (EDPB) anunciou que ajudaria as organizações a compreender melhor suas obrigações perante o RGPD, publicando diretrizes simplificadas. Em sua declaração, a presidente do conselho indicou que "por meio de diretrizes concisas e oportunas e ferramentas prontas para uso, como um modelo comum de notificação de violação de dados, listas de verificação, guias práticos e perguntas frequentes, continuaremos a tornar a conformidade com o RGPD alcançável e acessível a todos".

Os fluxos de dados transatlânticos permanecem válidos, por enquanto, sob a "estrutura de proteção de dados", apesar das medidas tomadas pelo governo Trump que enfraquecem a estrutura de proteção de dados nos Estados Unidos.

A Comissão Europeia confirmou em meados de junho, em resposta a uma pergunta parlamentar, que a destituição dos membros do PCLOB (Comité de Supervisão da Privacidade e das Liberdades Civis) não afeta a validade do quadro de proteção de dados entre a UE e os Estados Unidos, uma vez que o PCLOB continua a funcionar.

 

Notícias dos países membros da União Europeia.

A Autoridade de Proteção de Dados (APD) do Estado de Berlim Em decisão datada de 27 de junho, concluiu-se que as transferências de dados da DeepSeek para a China são ilegais e solicita-se ao Google e à Apple que bloqueiem o aplicativo.

Segundo relatos, a DeepSeek não conseguiu fornecer à Autoridade de Proteção de Dados (DPA) provas convincentes de que os dados dos usuários alemães estão protegidos na China em um nível equivalente ao da União Europeia.

"As autoridades chinesas têm amplos direitos de acesso aos dados pessoais detidos por empresas chinesas. Além disso, os utilizadores do DeepSeek na China não têm direitos exigíveis nem recursos legais eficazes, como os garantidos na União Europeia."

APD belga Rejeitaram, em 26 de junho, 16 queixas apresentadas pela ONG Noyb em 5 casos diferentes, sob a alegação de que não havia mandato real (e não fictício) das pessoas em questão.

Em seu comunicado de imprensa, a APD destaca a diferença entre os artigos 80(1) e 80(2) do RGPD e o facto de o legislador belga ter optado por não permitir que as organizações de defesa dos direitos dos consumidores apresentem queixas sem um mandato.

Ela concluiu afirmando que "dada a importância dessas organizações, (ela) é a favor de uma alteração legislativa que também permita essa opção na Bélgica".

Na DinamarcaUma alteração na lei de direitos autorais concederá aos cidadãos o direito sobre sua voz, rosto e corpo, mesmo quando estes forem reproduzidos digitalmente por inteligência artificial generativa.

O Ministro da Cultura da Dinamarca declarou a este respeito que "os seres humanos correm o risco de serem transformados em fotocopiadoras digitais e usados para todo o tipo de fins abusivos, e eu não estou disposto a aceitar isso".

Na EspanhaA APD multou o Carrefour em 3.200.000 euros após uma série de violações de dados.

Ela constatou que o Carrefour não havia implementado medidas de segurança adequadas e não havia comunicado a violação às pessoas envolvidas.

A APD também impôs uma multa de 12.000 euros a um subcontratado por contratar um subcontratado secundário sem a autorização do responsável pelo tratamento dos dados, em violação do artigo 28.º, n.º 2, do RGPD.

A Microsoft enfrenta a primeira ação coletiva na Irlanda. O Conselho Irlandês para as Liberdades Civis (ICCL) iniciou um processo no Tribunal Superior de Dublin no final de maio. Esta ação judicial, movida ao abrigo da nova diretiva europeia sobre reparação coletiva, alega que o sistema de licitação em tempo real (RTB) utilizado pela Microsoft para veicular publicidade online direcionada é incompatível com o RGPD (Regulamento Geral sobre a Proteção de Dados).

Os documentos relativos a pedidos de acesso não podem ser guardados indefinidamente: após uma investigação iniciada pelo utilizador, AOD da Lituânia ordenou a um prestador de serviços médicos que definisse prazos de retenção para documentos relacionados ao processamento de pedidos de acesso.

Cuidado com os pixels de rastreamento: Ajuda Oficial ao Desenvolvimento Norueguesa Foi imposta uma multa de 250.000 coroas norueguesas (21.600 euros) ao município de Kristiansand por processar ilegalmente dados pessoais de crianças através dos pixels Snap e Meta no seu site de apoio a vítimas de abuso infantil.

A APD também considerou que as informações relativas às visitas a páginas de um website com conteúdo sobre questões médicas específicas constituíam dados sensíveis e repreendeu uma empresa por processar ilegalmente essas informações sensíveis através do pixel Meta.

 

No Reino Unido, a Lei de Uso e Acesso a Dados (DUAA) recebeu a sanção real em 19 de junho. Esta lei inclui disposições destinadas a promover o desenvolvimento de serviços de verificação digital, novos programas de dados inteligentes como o Open Banking e um novo registo nacional de ativos ilegais.

Inclui também alterações significativas à legislação de proteção de dados do Reino Unido.

A DUAA não substituirá o GDPR do Reino Unido, mas fará algumas alterações "para simplificar as regras para as organizações, incentivar a inovação, ajudar as agências de aplicação da lei a combater o crime e permitir o compartilhamento responsável de dados, mantendo altos padrões de proteção de dados".

Nos Estados Unidos, a recente decisão da Suprema Corte no caso Free Speech Coalition v. Paxton causou grande impacto no cenário digital.Um artigo da IAPP expressa preocupação com o questionamento das noções de verificação de idade, liberdade de expressão e as implicações para a privacidade.

A decisão de 27 de junho mantém em vigor uma lei do Texas que exige que sites com conteúdo adulto verifiquem a idade dos visitantes usando técnicas potencialmente invasivas, como a biometria. Embora essa decisão vise proteger menores de conteúdo explícito, ela também levanta questões sobre os riscos associados à coleta de informações pessoais sensíveis.

Nos Estados Unidos, o Congresso também votou no início de julho a favor da adoção do "One Big Beautiful Bill Act".A lei codifica a agenda nacional do presidente Trump, com uma exceção fundamental: a moratória sobre a regulamentação da IA que estava inicialmente incluída no projeto de lei. Essa moratória teria paralisado mais de mil projetos de lei sobre regulamentação da IA que estavam tramitando nos órgãos legislativos das capitais estaduais desde janeiro.

A Meta, proprietária do WhatsApp, anunciou em 16 de junho o lançamento de novos recursos na aba "Atualizações" do WhatsApp, incluindo publicidade direcionada e um modelo de assinatura.A empresa afirmou que esses recursos serão implementados gradualmente para os usuários "nos próximos meses". Para isso, a Meta utilizará as "preferências e informações de publicidade" das contas do Facebook e do Instagram dos usuários que estão vinculadas ao WhatsApp.

A Comissão Irlandesa de Proteção de Dados (DPC) afirmou ter sido informada pelo WhatsApp de que seu modelo de publicidade não será implementado na UE até 2026 e que o assunto será discutido com outras autoridades de proteção de dados para que estas, enquanto reguladoras europeias, possam expressar suas preocupações.

Segundo o jornal L'Express de 26 de maio, a Rússia planeja implementar, a partir de 1º de setembro de 2025, um projeto experimental que exigirá que estrangeiros em estadias temporárias em Moscou e região utilizem um aplicativo de geolocalização móvel e se submetam a verificações biométricas.Os usuários precisarão se cadastrar no aplicativo, "concordar com a coleta de seus dados pessoais, incluindo geolocalização, indicar seu local de residência ao Ministério do Interior e atualizá-lo em até três dias caso mudem de endereço."