Metaverse Fashion Week na Decentraland, um dos mundos virtuais mais populares.

Legal Watch nº 48 – Junho de 2022

Admirável Mundo NovoEm março de 2022, o evento Metaverse Fashion Week aconteceu no Decentraland, um dos mundos virtuais mais populares.

Um show online transmitido pela plataforma de jogos Fortnite atraiu recentemente 12 milhões de espectadores.

Um mundo virtual está se desenvolvendo hoje, sem que suas implicações humanas, econômicas e sociais tenham sido totalmente compreendidas.

O relatório recentemente publicado pelo Parlamento Europeu sobre este tópico afirma que, até 2026, 25% das pessoas passarão pelo menos uma hora por dia no metaverso para trabalho, compras, educação, atividades sociais e/ou entretenimento.

Muitas empresas comerciais começaram a desenvolver suas próprias plataformas lá, mesmo quando suas atividades têm apenas uma conexão muito remota com a tecnologia digital.

O Metaverso pode ser descrito como um mundo virtual 3D imersivo e constante, no qual as pessoas interagem por meio de um avatar para se divertir, fazer compras e transações ou trabalhar sem sair de casa.

O ecossistema do metaverso econômico aproveita tecnologias de blockchain e criptomoedas, como tokens não fungíveis (NFTs), para monetizar transações no ambiente digital.

Essa evolução da web levanta muitas questões, principalmente no que diz respeito à aplicação da lei.

Como podemos regular na prática fusões e aquisições on-line, assédio, transações mais ou menos legais realizadas em criptomoedas, coleta massiva de dados sobre o comportamento de indivíduos por meio de seus avatares ou até mesmo a vigilância de indivíduos on-line pelas autoridades policiais?

Há muita coisa em jogo no que diz respeito ao RGPD, como destacado em um artigo recente publicado em 20 de maio no jornal Le Monde, e como aponta o Parlamento Europeu, dada a qualidade e a quantidade sem precedentes de dados coletados.

Isso pode incluir expressões faciais, gestos ou outros tipos de reações físicas ou emocionais que um avatar pode produzir durante interações, em tempo real e sem perceber.

Dados sensíveis, como dados biométricos, podem ser coletados.

Essas informações permitirão, por exemplo, que as empresas entendam melhor o comportamento do usuário e adaptem campanhas publicitárias de maneira altamente direcionada.

As regras existentes estão adaptadas a esse novo universo?

Como podemos obter o consentimento dos indivíduos para essa coleta de dados e quem é responsável pela coleta em um ambiente onde as funções são múltiplas e onde é ainda mais difícil identificar o controlador de dados?

Como gerenciar as interações com a inteligência artificial, inerentes ao funcionamento do Metaverso, e as decisões automatizadas que dela resultam?

Vários caminhos estão sendo explorados, com base não apenas no GDPR, mas também nas regulamentações europeias propostas sobre inteligência artificial e governança de dados.

Mencionemos o papel dos intermediários de dados, que poderiam centralizar as autorizações dos usuários quanto ao uso de seus dados.

O regulamento de governança de dados proposto prevê a proteção de espaços de dados pessoais, ou portfólios de dados, regulamentando o compartilhamento de dados e controlando o consentimento dos indivíduos.

No entanto, na medida em que os intermediários usam inteligência artificial no gerenciamento de dados, são necessárias salvaguardas para evitar apropriação indevida e abuso.

Recorde-se que estas duas propostas de regulamentação foram objeto de comentários do Supervisor Europeu e do Comité Europeu para a Proteção de Dados, que insistem no respeito pelo princípio da finalidade na utilização dos dados e apelam a medidas que prevejam mais controlos e garantias para o titular dos dados, por exemplo, códigos de conduta ou mecanismos de certificação.

As autoridades também têm reservas sobre a pontuação social no contexto das redes sociais em geral, e ainda mais no Metaverso.

Também deve ser dada atenção especial à proteção de grupos vulneráveis, especialmente crianças, a fim de verificar sua idade e desencorajá-las a fornecer seus dados pessoais.

Alguns defendem ainda um Metaverso aberto e descentralizado, controlado pelos próprios usuários na forma de organizações autônomas descentralizadas (DAOs).

Nesse tipo de modelo, diferente de um modelo de negócio centralizado, os usuários teriam mais controle sobre seus dados e seu compartilhamento.

Aqui, novamente, além de diretrizes regulatórias, códigos de conduta e mecanismos de certificação contribuiriam para maior segurança jurídica.

Algumas respostas para um grande número de perguntas...

De qualquer forma, a aplicação da lei não será alcançada sem uma maior responsabilização dos atores envolvidos.

E também

França:

Em 7 de junho, a CNIL publicou perguntas e respostas sobre o uso do Google Analytics.

A Comissão ordenou que diversas organizações cumpram o GDPR, pois nenhuma das salvaguardas adicionais apresentadas a ela foi suficiente para impedir que os serviços de inteligência dos EUA acessassem os dados pessoais de usuários europeus.

Uma solução que permita a utilização de um proxy para evitar qualquer contacto direto entre o terminal do internauta e os servidores da ferramenta de medição poderá, segundo ela, ser possível, desde que este servidor cumpra um conjunto de critérios respeitando as recomendações do Comité Europeu para a Proteção de Dados (CEPD), publicadas a 18 de junho de 2021.

O Conselho de Estado confirmou que a CNIL era competente para impor sanções fora do mecanismo de janela única europeia.

O caso em questão diz respeito à empresa Amazon online France, que tem um estabelecimento em território francês e processa dados de pessoas residentes na França.

Foi assim confirmada a multa de 35 milhões de euros aplicada em 2020, que penaliza a utilização de cookies sem o consentimento do utilizador.

Em 30 de junho, a CNIL aplicou uma multa de 1 milhão de euros à empresa Total Energies Electricité et Gaz de France. em particular por não ter respeitado as obrigações relativas à prospecção comercial e os direitos dos indivíduos.

Em 13 de junho, a CNIL lançou um estudo sobre dados de geolocalização coletados por aplicativos móveis.

Conforme anunciado em seu plano estratégico 2022-2024, a CNIL deseja conscientizar o público e os profissionais sobre as questões relacionadas à coleta de dados de geolocalização por aplicativos móveis.

Trata-se também de verificar a conformidade com o RGPD dos profissionais do setor de prospecção comercial.

Europa:

A Autoridade Europeia para a Proteção de Dados (AEPD) expressa a sua preocupação com as alterações ao Regulamento Europol, que entraram em vigor em 28 de junho de 2022.

A AEPD salienta que elas enfraquecem o direito fundamental à proteção de dados, não garantem uma supervisão adequada da agência e expandem significativamente o mandato da Europol no que diz respeito à troca de dados pessoais com entidades privadas, ao uso de inteligência artificial e ao processamento de grandes conjuntos de dados.

Em 14 de junho, o Conselho Europeu para a Proteção de Dados (EDPB) publicou sua resposta ao Consulta da Comissão Europeia sobre a criação de um euro digital.

Em 16 de junho, oEDPB diretrizes adotadas sobre a certificação como ferramenta para transferências de dados pessoais para países terceiros que não ofereçam um nível adequado de proteção.

A conferência organizada em junho pelaAEPD, acompanhado online e pessoalmente por mais de 2.000 pessoas, concluiu com observações críticas sobre a Cooperação europeia em investigações.

Para a AEPD, qualquer bom modelo deve incluir mecanismos fortes de colegialidade, e inquéritos estratégicos podem ser conduzidos a nível central, o que superaria "problemas decorrentes de legislações nacionais incompatíveis ou tentativas díspares de harmonização".

O Conselho da Europa publica um estudo sobre a Spyware Pegasus e seu impacto nos direitos fundamentais. Vale lembrar que este spyware também é objeto de investigação pelo Parlamento Europeu.

O Rede de Cooperação em Defesa do Consumidor (CPC), em cooperação com as autoridades de protecção de dados, aprovou 5 princípios-chave para uma publicidade justa para criançase.

O Comissário Federal Suíço para a Proteção de Dados e Informação (FDPIC) aconselhou a Suva (Fundo Nacional Suíço de Seguro de Acidentes, que fornece cobertura de saúde para seus funcionários) a reconsiderar a sua decisão de subcontratar o tratamento dos seus dados pessoais aos Estados Unidoss – mais precisamente no serviço de nuvem da Microsoft, embora os dados estejam hospedados em um servidor da MS na Suíça.

As transferências para fora da Europa também estão no centro da recente decisão do Conselho de Estado da Bélgica, que suspendeu a decisão de escolha de um contratante americano no contexto de um procedimento de contratação pública, com base no facto de esta autoridade não ter examinado suficientemente se o contratante cumpria os requisitos do RGPD, em particular as disposições relativas às transferências.

A decisão também questiona o processamento posterior por outra empresa, a Smart Analytics, sediada na Rússia (via GDPRhub).

Dez associações de consumidores, sob a coordenação do Organização Europeia do Consumidor (BEUC), anunciou em 30 de junho que está tomando medidas para garantir que o Google cumpra a lei: a gigante da tecnologia direcionaria os consumidores ao seu sistema de rastreamento quando eles se inscrevessem em uma conta do Google, em vez de fornecer proteção de seus dados por padrão e por design, conforme exigido pelo GDPR.

A reforma pós-Brexit da legislação de proteção de dados do Reino Unido atingiu um novo marco em 17 de junho com a resposta final do governo à sua consulta pública.

O documento inclui diversas reformas, como a remoção da exigência de nomeação de um responsável pela proteção de dados, a substituição da exigência de consentimento pelo direito de se opor ao rastreamento de usuários da internet e mudanças na operação do Information Commissioner's Office.

ODA finlandesa ordenou que um hospital excluísse históricos de funcionários, registros de localização e outros dados pessoais gerados pelo recurso de gravação de localização padrão no Windows 10.

Esta configuração violou o princípio de "proteção de dados por padrão" do Artigo 25(2) do GDPR (via GDPRhub). 

A autoridade italiana de proteção de dados multou um hospital em € 70.000 por enviar em cópia os destinatários de dois boletins médicos. em vez do CCI, revelando seus dados pessoais (incluindo dados de saúde) a todos os destinatários sem base legal (via GDPRhub).

Sobre o mesmo assunto, a APD da Roménia também multou um subcontratado responsável pela implementação de uma campanha de marketing em € 1.000 por enviar um e-mail de marketing para 27 pessoas sem ocultar seus endereços de e-mail.

Lembremo-nos disso A Bélgica decidiu em 29 de abril, em um caso semelhante, que o envio de tal e-mail não constitui uma violação de segurança quando menos de 16 pessoas estão envolvidas.

Internacional:

Rússia: Um tribunal de Moscou multou o Google em RUB 15 milhões por descumprimento reiterado da regra de localização de dados.

O Google já havia sido alvo de uma sanção administrativa em 2021 por violar esse mesmo princípio da lei russa sobre dados pessoais, que obriga as empresas a armazenar dados pessoais de cidadãos russos no território da Federação Russa..

ESTADOS UNIDOS: As implicações da decisão Roe vs. Wade da Suprema Corte se estendem às questões de privacidade de dados. 

A questão diz respeito à atitude dos gigantes da tecnologia em relação ao acesso das autoridades aos dados de fertilidade.

Esses dados podem ser revelados por meio de fontes como histórico do navegador, pesquisas, registros de e-mail e mensagens de texto, uso de aplicativos de fertilidade e outros produtos comerciais com os quais muitos usuários interagem diariamente.

Esse tipo de informação já foi usado pela polícia como prova em casos relacionados ao aborto, como relata o The Register.

China: O New York Times publica uma investigação citando centenas de documentos detalhando softwares comprados pela China para vasculhar seus vastos bancos de dados de vigilância e prever quem se tornará um suspeito ou potencial encrenqueiro.

No Canadá, Desde 16 de junho, uma Carta de Direitos Digitais protege os direitos do consumidor e os dados pessoais, além de regular a inteligência artificial..

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.