Exercício de direitos de acesso, portabilidade: quais são os poderes de um representante?

Legal Watch nº 35 – Maio de 2021

Exercício de direitos de acesso, portabilidade: quais são os poderes de um representante? Alguns responsáveis pelo tratamento de dados conseguiram expressar legitimamente a sua perplexidade ao receberem uma solicitação de uma empresa encarregada de obter dados de seu cadastro de clientes, especialmente quando a solicitação contém requisitos particularmente amplos, por exemplo, relativos à transferência de dados pessoais sem limitação de tempo ou que exijam acesso automático aos dados.

O gestor pode legitimamente questionar os riscos da reutilização dos dados dos seus clientes e as possíveis distorções da concorrência que daí resultariam.

Em princípio, porém, a prática é legal.

Está previsto no RGPD e no artigo 77.º do decreto de execução da Lei de Proteção de Dados e visa facilitar o exercício dos direitos de acesso, oposição ou mesmo portabilidade dos dados, permitindo que os interessados recorram a um representante para exercer os seus direitos.

Como podemos preservar o controle dos indivíduos sobre seus dados, permitindo que terceiros exerçam esses direitos e, ao mesmo tempo, evitando os abusos que podem resultar de mandatos abusivos?

Cabe ao agente definir claramente o alcance do seu mandato, e ao gestor que recebe tal solicitação verificar a validade desse mandato.

A CNIL lançou recentemente uma consulta pública sobre um projeto de recomendação que visa esclarecer a estrutura desta nova prática.

Também publicou um mandato padrão que pode servir como referência para agentes e controladores de dados.

Certos aspectos merecem atenção especial e podem justificar que o controlador de dados solicite detalhes adicionais antes de transmitir os dados em questão.

• Dados que permitam identificar claramente, no mandato, a pessoa em benefício de quem os direitos são exercidos (por exemplo, identificador, data de nascimento, data da última ligação)

• A identificação do destinatário a quem os dados são transmitidos (que pode ser o agente ou o interessado)

• A autenticidade do mandato (existência de assinatura eletrônica), seu escopo e duração. Os dados ou categorias de dados devem ser especificados. A CNIL considera que um mandato estabelecido por tempo indeterminado não atende aos requisitos da lei.

• Se a transferência for realizada eletronicamente, em particular por meio de uma interface de programação de aplicativos (API), esta deve ser estável, ter um alto nível de disponibilidade e integrar medidas de segurança adaptadas aos riscos. A CNIL tem reservas quanto às técnicas de scraping que permitem a recuperação do nome de usuário e da senha da pessoa em questão para a extração automática dos dados.

Caso o responsável pelo tratamento tenha dúvidas sobre a validade de um mandato, deverá justificar a sua recusa em conceder o pedido de acesso, em conformidade com o artigo 12.6 do RGPD.

Este pode ser o caso, por exemplo, se houver dúvidas razoáveis sobre a identidade da pessoa em questão, o que exigirá a coleta de informações adicionais dessa pessoa ou do agente.

No caso de um mandato, como para um pedido de acesso clássico, o prazo de resposta do responsável pelo tratamento é de um mês.

E quanto à possível reutilização desses dados pelo agente para seus próprios fins?

Esta é uma operação de processamento separada que deve estar em conformidade com os requisitos de legalidade do GDPR.

A pessoa em causa deverá, em qualquer caso, ter a opção de aceitar ou não, caso a caso, cada reutilização que seja prevista pelo agente.

Note-se que a CNIL, tal como o Comité Europeu de Proteção de Dados, considera que "os agentes não devem reutilizar dados relativos a terceiros para os seus próprios fins", o que seria considerado uma violação dos direitos e liberdades de terceiros.

E também

França:

No seu relatório de atividades de 2020, a CNIL faz um balanço dos destaques do ano e, em particular, do impacto da crise pandêmica nos direitos fundamentais.

Três anos após a entrada em vigor do RGPD, ela observa uma aumento constante do número de reclamações – mais de 62% este ano, e emitiu 14 sanções, incluindo 11 multas, totalizando 138 milhões de euros.

O Prioridades da Comissão incluir

• As novas regras relativas aos cookies (cerca de vinte organizações foram verificadas recentemente),
• Cibersegurança e
• Soberania digital.

A CNIL também anuncia trabalhos prospectivos dedicados à ligação entre a proteção de dados e as questões ambientais ligadas às mudanças climáticas.

A CNIL também anunciou cheques em farmácias para verificar as condições de coleta de dados de seus clientes pela empresa Iqvia para fins de análise de patologias.

Essas verificações ocorrem após a divulgação, em meados de maio, de um relatório sobre a exploração de dados pessoais que provocou inúmeras reações.

A Comissão indicou finalmente que era a favor da criação de um passe de saúde desde que sejam fornecidas garantias para o tratamento de dados e que o passe seja utilizado apenas enquanto durar a crise sanitária.

Em 3 de junho, publicou seu terceiro parecer sobre medidas de combate à pandemia.

O Conselho Constitucional decidiu em 20 de maio sobre a lei de “Segurança Global”.

Censura o artigo 24.º relativo à criminalização da divulgação “maliciosa” da imagem das forças de segurança, bem como grande parte dos artigos 47.º e 48.º que organizavam a vigilância por drones, nomeadamente durante manifestações, e a utilização de câmaras a bordo. veículos e aeronaves de aplicação da lei.

Europa:

Vários intervenientes da sociedade civil iniciaram em 26 de maio reclamações contra a empresa de reconhecimento facial Clearview, principalmente na França, Áustria, Itália, Grécia e Reino Unido.

Lá Tribunal Europeu dos Direitos Humanos Em 25 de maio, a Suprema Corte do Reino Unido decidiu por unanimidade que o regime de vigilância generalizada do Reino Unido, tornado público por Edward Snowden em 2013, viola o Artigo 8 da Convenção Europeia dos Direitos Humanos relativo à proteção da privacidade.

O Conselho Europeu para a Proteção de Dados adotou dois códigos de conduta em 20 de maio, após o desenvolvimento de decisões das autoridades francesas e belgas sobre a nuvem: para a Bélgica, esta é uma decisão referente ao código de conduta da UE sobre a nuvem, e para a França, o CISPE, referente aos provedores europeus de serviços de infraestrutura de nuvem.

O Comitê também publicou seu relatório de atividades de 2020 em 2 de junho.

A Autoridade Europeia para a Proteção de Dados inicia duas investigações sobre o uso dos serviços de nuvem da Amazon e da Microsoft por instituições europeias.

Essas investigações visam verificar as condições de processamento e, em particular, as transferências de dados por essas empresas para os Estados Unidos à luz da decisão Schrems II do Tribunal de Justiça Europeu.

A União Europeia anunciou publicamente no início de junho que, para chegar a um acordo sobre transferências de dados para os Estados Unidos, este último teria que adotar leis vinculativas que permitissem aos cidadãos europeus se defenderem em tribunal contra a coleta massiva de seus dados pelo governo americano.

Internacional:

Um estudo recente publicado pela Privacy Laws and Business (G. Greenleaf) faz a atualização global de privacidadeO relatório afirma que o número de países que adotaram leis de proteção de dados aumentou de 132 para 145, enquanto outros 23 países têm projetos de lei em andamento.

Brasil: Assim como várias de suas contrapartes europeias, a autoridade supervisora brasileira está solicitando que o WhatsApp suspenda sua nova política de privacidade até que a investigação sobre suas consequências em termos de proteção de dados e concorrência seja concluída.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.