DSA – DMA: dois pilares da estratégia digital europeia.

Legal Watch nº 46 – Abril de 2022

DSA – DMA: dois pilares da estratégia digital europeiaDesde a conclusão de um acordo político na noite de 22 para 23 de abril, a DSA ou Lei de Serviços Digitais tem sido objeto de muitos comentários no mundo digital.

Esta legislação sobre serviços digitais está, de fato, juntamente com a legislação sobre mercados digitais (Digital Markets Act), no centro do sistema europeu apresentado pela Comissão Europeia em 15 de dezembro de 2020.

O objetivo desta estratégia é criar condições mais equitativas e tornar as plataformas online mais responsáveis pelo conteúdo que publicam.

A DSA, em particular, visa tornar o ambiente digital mais transparente e seguro, definindo as responsabilidades dos provedores de serviços digitais.

Ela complementará a diretiva europeia sobre comércio eletrônico e outros textos, como o regulamento "plataforma para negócios", bem como disposições específicas do setor que regulam, por exemplo, a moderação de discurso de ódio on-line, terrorismo, discriminação ou direitos autorais.

O DSA será aplicado a plataformas como mecanismos de busca, mídias sociais ou plataformas de comércio eletrônico. 

Este texto foi alvo de inúmeros debates e pressões, tanto da sociedade civil, que reivindicava um âmbito de aplicação suficientemente amplo, como de agentes económicos digitais, cujas solicitações iam no sentido oposto.

Em particular, surgiu a questão do escopo da regulamentação de "padrões obscuros" e outros mecanismos destinados a influenciar o comportamento dos visitantes (ver nossa carta nº 45).

O acordo político alcançado parece encontrar um equilíbrio entre o controle de uma economia de plataforma hipercentralizada, por um lado, e o respeito aos direitos fundamentais, à liberdade de expressão e à não discriminação de indivíduos, por outro.

Os seguintes elementos são particularmente dignos de nota:

• Um mecanismo de recurso deve permitir que as pessoas que identificaram conteúdo potencialmente ilegal obtenham uma resposta do anfitrião, de acordo com um procedimento transparente e sem transformar este último em auxiliares da polícia.

• A publicidade direcionada será limitada, sem o uso de dados sensíveis do usuário.
• Padrões escuros também serão banidos – a inclusão de cookies nessa proibição é incerta.
• Um mecanismo de resposta a crises, introduzido no contexto da guerra na Ucrânia, permite que a Comissão declare estado de emergência digital em consulta com os reguladores nacionais.

Observe que essas medidas se aplicam às plataformas e, portanto, não alteram a situação em relação aos sites em geral.

No entanto, estes continuam sujeitos às disposições do RGPD e da diretiva europeia sobre comunicações eletrónicas.

O DMA complementa a estratégia digital ao visar especificamente os "controladores de acesso" nos mercados digitais, ou "gatekeepers". que têm uma forte posição econômica na União Europeia e que conectam uma grande base de usuários a um grande número de empresas.

Um acordo político também foi alcançado sobre este texto em 25 de março, que esclareceu o escopo do DMA: o conceito abrange mercados digitais, lojas de aplicativos, mecanismos de busca, redes sociais, serviços em nuvem, serviços de publicidade, assistentes de voz e navegadores da web.

O DMA visa garantir que essas plataformas se comportem de forma justa online.

Por exemplo, eles terão que garantir a interoperabilidade das funcionalidades básicas de seus serviços de mensagens instantâneas.

Além disso, eles não poderão mais:

• Promover os seus próprios produtos ou serviços em detrimento dos de terceiros (autorreferência)
• Reutilizar dados privados coletados durante um serviço para fins de outro serviço
• Estabelecer condições injustas para usuários profissionais
• Pré-instalar determinados aplicativos de software
• Exigir que os desenvolvedores de aplicativos usem determinados serviços (por exemplo, sistemas de pagamento ou provedores de identidade) para serem listados nas lojas de aplicativos

No entanto, vale destacar as preocupações expressas desde então por mais de 40 representantes do setor de concorrência e proteção de dados: durante a semana de 21 de abril, eles publicaram uma carta explicando seus receios em relação a um texto muito vago, que permitiria às empresas envolvidas combinar todos os dados em sua posse usando um único consentimento, enquanto o GDPR exige uma base legal para cada tipo de processamento realizado.

O DMA, assim como o DSA, ainda não são definitivos: eles precisam ser aprovados em sessão plenária do Parlamento Europeu antes de serem adotados.

Enquanto isso, e considerando o que está em jogo, a Europa não está perdendo tempo: segundo relatos, está planejando abrir um escritório em São Francisco para interagir com os gigantes da tecnologia do Vale do Silício, as mesmas empresas que estarão sujeitas a controles rígidos sob as novas regras digitais.

E também

França:

• Um estudo publicado em meados de abril pela escola de jornalismo Sciences Po indica que 184 sites da administração pública francesa usam o Google Analytics, apesar das implicações destacadas pela CNIL e seus homólogos em relação às transferências para os Estados Unidos.

Esses locais incluem os do Conselho de Estado, da alfândega e da presidência.

• A CNIL publica recursos sobre inteligência artificial para diferentes públicos : para os profissionais, um lembrete dos princípios, das posições da CNIL e um guia de autoavaliação; para o público em geral, recursos para melhor compreender o problema; finalmente, para os especialistas, informações e estudos sobre os problemas e o estado da arte.
• No início de abril, a CNIL modificou seus procedimentos repressivos e criou um procedimento simplificado para casos menos complexos: nenhuma reunião da faculdade ou sessão pública, exceto a pedido da organização envolvida.

As sanções que podem ser impostas neste contexto são limitadas: advertências, multas de até € 20.000 e uma injunção com uma multa máxima de € 100 por dia de atraso.

Essas sanções não são tornadas públicas.

• Em 15 de abril de 2022, o comitê restrito da CNIL emitiu uma Multa de 1,5 milhões de euros contra a Dedalus Biologie por falhas de segurança que levaram ao vazamento de dados médicos de quase 500.000 pessoas.

Deficiências de segurança técnica e organizacional foram identificadas durante as operações de migração de software.

Europa:

A Comissão Europeia lançou o seu proposta para um Espaço Europeu de Dados de Saúde (EHDS).

A Proposta visa facilitar o acesso dos cidadãos aos seus dados de saúde em formato eletrônico e compartilhá-los com outros profissionais de saúde na UE, permitindo ao mesmo tempo o acesso a esses dados sob condições estritas a pesquisadores, inovadores, instituições públicas ou empresas.

Cada Estado-Membro terá de designar uma autoridade de saúde digital que participará numa infraestrutura digital transfronteiriça (MyHealth@EU).

Conselho Europeu para a Proteção de Dados (CEPD)

• Em 6 de abril de 2022, o Conselho Europeu para a Proteção de Dados (CEPD) publicou uma declaração sobre o projeto de quadro transatlântico para a proteção de dados.

Esta declaração segue o acordo de princípio entre a Comissão Europeia e os Estados Unidos anunciado em 25 de março de 2022.

O CEPD ressalta que este anúncio não constitui um quadro jurídico no qual os exportadores de dados possam basear suas transferências.

Devem continuar a implementar as ações necessárias para cumprir, em particular, a decisão Schrems II do Tribunal de Justiça da União Europeia.

• O CEPD publicou também uma posição comum em 28 de Abril relativa à cooperação entre autoridades de proteção de dados em questões de controle conformidade com o RGPD.

O documento confirma a disposição das APDs de fortalecer sua cooperação identificando questões transfronteiriças de importância estratégica, promovendo investigações conjuntas, trocas de informações e aprimorando certas regras processuais.

Autoridade Europeia para a Proteção de Dados (AEPD)

O Autoridade Europeia para a Proteção de Dados (AEPD) está organizando uma conferência em Bruxelas nos dias 16 e 17 de junho focada na conformidade com o GDPR no mundo digital.

CPDP

Destaca-se também a conferência acadêmica anual CPDP (Computadores, Privacidade e Proteção de Dados), adiada para 23 a 25 de maio deste ano. A programação é estruturada em torno do tema “A era das máquinas inteligentes”.

Parlamento Europeu

Em 19 de abril, o Comissão de Inquérito Pegasus O Parlamento Europeu iniciou o seu trabalho.

A comissão tem doze meses para preparar seu relatório sobre spyware usado por vários governos para espionar inúmeras figuras públicas, políticos, jornalistas e ativistas.

Tribunal de Justiça da União Europeia

Duas paradas importantes do Tribunal de Justiça da União Europeia foram publicados no mês passado:

• Em 5 de abril, o Tribunal confirmou sua jurisprudência de que dados de comunicações eletrônicas (incluindo dados de localização) não podem ser retidos de forma geral e indiscriminada para combater crimes graves.
• Em 28 de abril, o Tribunal reconheceu explicitamente que as associações de proteção ao consumidor podem mover ações representativas contra violações da proteção de dados pessoais, independentemente da violação real do direito do titular dos dados à proteção de dados e na ausência de um mandato para fazê-lo.

Autoridade Espanhola de Proteção de Dados aplicou uma multa de € 1.500 a uma pessoa que instalou uma câmera de vigilância de vídeo voltada para a via pública e perto de residências particulares, sem um cartaz informativo e em violação aos artigos 5(1)(c) e 13 do RGPD.

A DPA holandesa multou o Ministério das Relações Exteriores em € 565.000 por medidas de segurança insuficientes e falta de informação adequada às pessoas em causa no contexto dos pedidos de visto.

A autoridade húngara de proteção de dados multou um banco em € 670.000 por uso ilegal de inteligência artificial.O banco realizou análises automáticas de gravações de áudio de seu atendimento ao cliente.

A Autoridade Dinamarquesa de Proteção de Dados multou o Danske Bank em € 1.345.000 por não garantir procedimentos de retenção e exclusão de dados. em mais de 400 sistemas de computador envolvendo milhões de pessoas. O caso também é objeto de investigação policial.

Na Bélgica, a DPA impôs uma multa de 200.000 euros ao Aeroporto de Bruxelas Zaventem e de 100.000 euros ao Aeroporto de Bruxelas Sul Charleroi. para verificações de temperatura de passageiros realizadas como parte da luta contra a COVID-19 sem uma base legal válida.

Internacional:

Há preocupações sobre as capacidades de audição e gravação dos alto-falantes inteligentes.

Um estudo acadêmico publicado no final de abril detalha o uso de dados coletados pela Alexa pela Amazon para fins de segmentação de anúncios e a avaliação desses dados, que são revendidos por trinta vezes mais do que outros dados.

Em meados de abril, o Comissário Irlandês para os Direitos Humanos expressou as mesmas reservas ao Ministro da Justiça, desta vez em relação à reutilização desses dados no contexto de investigações policiais.

Em 21 de abril, a Secretária de Estado dos EUA, Gina M. Raimondo, emitiu uma declaração sobre a criação do “Fórum Global CBPR”.

Este fórum tem como objetivo facilitar a transferência de dados pessoais e atividades comerciais entre os Estados Unidos, Canadá, Japão, República da Coreia, Filipinas, Cingapura e Taiwan.

Observe que as CBPRs (Regras de Privacidade Transfronteiriças) existem há cerca de dez anos, com empresas certificadas principalmente nos Estados Unidos.

A OCDE planeja desenvolver uma estrutura para acesso confiável do governo aos dados do setor privado.

Este tema é uma das prioridades da organização internacional para 2022, juntamente com a localização de dados e as transferências internacionais de dados pessoais.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.