Vers une Europe de la protection des données

Rumo a uma Europa de proteção de dados: o caminho é longo.

Legal Watch nº 36 – Junho de 2021

Rumo a uma Europa da protecção de dados: o caminho é longoO Regulamento Geral de Proteção de Dados gerou muitas esperanças em termos de clareza e eficácia quando entrou em vigor.

Embora a Diretiva Europeia que substituiu já fornecesse uma estrutura jurídica relativamente precisa e vinculativa, o GDPR pretendia permitir uma implementação harmonizada desses princípios, onde quer que as empresas em questão estivessem localizadas na União Europeia.

As sanções aplicáveis, revistas em alta, também tiveram de ser avaliadas pelas autoridades de supervisão através de uma grelha de análise coerente.

Na verdade, parece haver muitas armadilhas que ainda limitam essa harmonização tão esperada.

O comissário alemão Johannes Caspar, que está chegando ao fim de seu mandato após doze anos à frente da autoridade supervisora do estado de Hamburgo, persiste e assina em junho deste ano denunciando as falhas na implementação do GDPR.

A causa são procedimentos longos e complexos antes que uma posição comum possa ser encontrada por todas as autoridades reunidas no Conselho Europeu de Proteção de Dados (CEPD).

O RGPD estabeleceu um procedimento denominado "balcão único", que prevê a competência de uma autoridade líder, a do país do estabelecimento principal da empresa objeto da investigação.

Esta autoridade principal deve, no entanto, trabalhar com as outras autoridades nacionais envolvidas nas várias fases do procedimento.

Na prática, há uma centralização das investigações sob a autoridade irlandesa, que é competente para conduzir a maioria dos casos contra a GAFAM estabelecida em seu território. Vinte e oito procedimentos estão supostamente em andamento com a referida autoridade, que é criticada por seus procedimentos lentos e brandos em relação a grandes empresas de tecnologia como Facebook e Twitter, o que supostamente está dando origem a longas e difíceis discussões com seus homólogos dentro da AEPD.

O Comissário da Autoridade de Hamburgo solicita que as autoridades de supervisão dêem sinais claros e dissuasivos em tempo hábil para que os controladores de dados cumpram as regras de forma semelhante, onde quer que estejam localizados na União Europeia, e sem distorção da concorrência.

Cabe ressaltar que essa questão foi identificada pelo próprio Comitê em seu relatório anual de 2020, e que melhorar a cooperação entre as autoridades é uma de suas prioridades para 2021-2022.

Acrescentemos que, embora sofra de complexidade processual, o sistema de "balcão único" tem, no entanto, a vantagem de permitir que qualquer cidadão da União Europeia apresente uma reclamação à sua autoridade nacional de controlo, mesmo que o responsável pelo tratamento de dados esteja estabelecido noutro país, sendo as autoridades competentes responsáveis por cooperar no tratamento da reclamação.

Se o reclamante não estiver satisfeito com o resultado da investigação, ele ou ela também poderá buscar reparação em seu próprio país.

O Tribunal de Justiça Europeu também lembrou, em um julgamento de 15 de junho, a margem de manobra de autoridades que não são as principais autoridades no tratamento de uma reclamação transfronteiriça.

No contexto de uma disputa entre o Facebook (estabelecido na Irlanda) e a autoridade belga de proteção de dados, o Tribunal considerou que a autoridade belga, embora não fosse a autoridade principal, poderia levar certas violações do RGPD pelo Facebook aos tribunais belgas.

No entanto, essas condições limitam-se a casos que representem uma emergência (Artigo 66 do RGPD) ou a casos locais (Artigo 56.2 do RGPD). Esta decisão, portanto, não sinaliza o fim do balcão único, mas tende a especificar as exceções à sua aplicação. O princípio da cooperação entre autoridades permanece, portanto, a norma.

E também

França:

Em 30 de junho, a CNIL publicou a terceira versão de seu software projetado para facilitar análises de impacto na privacidade.

Esta nova versão orienta os gestores na realização de suas análises de impacto e permite o desenvolvimento de bases de conhecimento paralelas às fornecidas pela CNIL.

A comissão restrita da CNIL aplicou uma multa de 500 mil euros à empresa Bricoprivé para

  • Enviar e-mails de prospecção sem o consentimento dos indivíduos e não cumprir com diversas outras obrigações do GDPR:
    • O não cumprimento dos prazos de conservação de dados que a empresa estabeleceu para si,
    • O incumprimento das obrigações de informação e do direito ao apagamento de dados, e
    • Falta de senhas fortes em relação aos aspectos de segurança de dados.

A CNIL também constatou o uso de cookies sem o consentimento do usuário.

Europa:

Em 4 de junho, a Comissão Europeia publicou uma nova versão das cláusulas contratuais padrão, destinadas a facilitar as transferências internacionais de dados.

Estas cláusulas levam em consideração as consequências da decisão Schrems II do Tribunal de Justiça Europeu sobre os riscos de acesso a dados por autoridades de países terceiros, particularmente em um contexto de segurança nacional.

Ao mesmo tempo, o Conselho Europeu de Proteção de Dados emitiu recomendações em 18 de junho com o objetivo de orientar os controladores de dados na análise de tais riscos de interceptação de dados e permitir que eles adotem medidas de proteção adicionais.

Inteligência artificial:

A Autoridade Europeia para a Protecção de Dados e o Comité Europeu para a Protecção de Dados publicaram conjuntamente um apelo à proibição da utilização da IA para

  • Reconhecimento automático de dados biométricos em espaços públicos,
  • Pontuação social, inclusive por meio de mídias sociais, e
  • O uso da IA para identificar o estado emocional das pessoas.

Esta posição ecoa a publicação da proposta da Comissão Europeia sobre IA em 21 de abril.

Transferências internacionais de dados:

A Comissão Europeia publicou as suas recomendações em 28 de junho decisões de adequação relativas ao Reino Unido.

Uma diz respeito aos requisitos do RGPD e a outra à diretiva europeia sobre o tratamento de dados pela polícia.

Um novo elemento é que a Comissão está a inserir uma "cláusula de caducidade" que limita o período de validade das decisões a quatro anos.

As decisões podem ser renovadas se o nível de proteção no Reino Unido ainda atender aos requisitos europeus.

As áreas de preocupação incluem os planos da Grã-Bretanha para novos acordos de livre fluxo de dados e comércio com economias emergentes.

Bélgica está na mira da Comissão Europeia, que iniciou um procedimento de violação do RGPD relativamente à independência da sua autoridade de proteção de dados.

O motivo é a filiação de vários de seus membros a entidades governamentais.

Internacional:

Uma coligação internacional de mais de 55 organizações de protecção do consumidor, de liberdades civis e não governamentais está a apelar à a proibição de publicidade baseada em rastreamento e criação de perfis de indivíduos.

O motivo dessa posição foi um relatório do Conselho Norueguês do Consumidor, que revelou as consequências das práticas de vigilância em questões comerciais para a sociedade.

Em 16 de junho, a Comissão Europeia iniciou um procedimento destinado a reconhecer a adequação da proteção de dados na Coreia do Sul.

As autoridades chinesas anunciaram em 10 de junho a adoção de uma lei relativa à segurança de dados, que também visa proteger os direitos e interesses das pessoas cujos dados são processados.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT