Às vezes somos mais responsáveis do que pensamos... ou do que queremos ser.

Legal Watch – setembro de 2019.

Este é o caso quando você instala um plug-in simples no seu site, mesmo que não tenha acesso aos dados coletados por esse meio.

Uma decisão recente do Tribunal de Justiça da União Europeia, conhecida como "Fashion ID", confirma essa observação ao esclarecer a responsabilidade dos administradores de sites que inserem um ícone de "curtir" do Facebook em suas páginas.

A inserção deste simples plug-in pode, portanto, ter como consequência tornar o gestor do site solidariamente responsável pelo processamento com a rede social que coleta esses dados.

Do ponto de vista técnico, a simples inserção de um plug-in em uma página da web permite a comunicação automática dos dados de conexão dos visitantes dessa página à rede social em questão, independentemente de os visitantes clicarem ou não no ícone do plug-in. Nesse caso, os dados dos visitantes do site Fashion ID, uma loja online alemã de roupas de moda, foram transmitidos sistematicamente ao Facebook. É o que acontece atualmente com muitos sites, sejam eles de vendas online, sites de notícias ou blogs. E o raciocínio direcionado ao Facebook, neste caso, pode ser estendido a qualquer rede social ou outra entidade que utilize a mesma tecnologia.

O Tribunal de Justiça esclareceu que o fato de o administrador do site não ter acesso aos dados assim transmitidos não diminui sua responsabilidade. O fato de ele determinar, em conjunto com o Facebook, as finalidades e os meios do tratamento continua sendo o fator decisivo. O Tribunal deduz a possível responsabilidade solidária do site e do Facebook dos benefícios econômicos mútuos que derivam dessa cooperação: para o Facebook, o enriquecimento de seu banco de dados, e para o administrador do site, a otimização da publicidade de seus produtos na rede social Facebook assim que um visitante clica no ícone "curtir".

O Tribunal esclarece que as responsabilidades e obrigações legais variam dependendo dos diferentes aspectos do tratamento: neste caso, a Fashion ID não pode ser responsabilizada pela forma como o Facebook processa os dados posteriormente. O Facebook também deve fornecer uma base legal específica para esse tratamento. No entanto, o operador do site é obrigado a informar e obter o consentimento de seus visitantes separadamente sobre a coleta e transmissão desses dados à rede social.

Várias lições podem ser aprendidas com esta importante decisão. Portanto, é aconselhável:

• Verifique sistematicamente as condições de utilização dos plug-ins no seu site, bem como as possíveis condições de transmissão de dados a terceiros,
• Verifique as cláusulas de responsabilidade nos contratos com esses terceiros;
• Informe os visitantes especificamente sobre esta coleta e obtenha seu consentimento separadamente.

Essas precauções são ainda mais relevantes porque a CNIL esclareceu recentemente as condições estritas para a obtenção de consentimento em relação à segmentação de publicidade online e anunciou que concentraria suas atividades de monitoramento em 2019 em questões de distribuição de responsabilidades entre as diferentes partes que processam dados pessoais. 

Essas questões também estão sendo abordadas em nível europeu. O CEPD, que reúne as autoridades de proteção de dados da União Europeia (CNILs), iniciou discussões envolvendo diversas organizações setoriais para atualizar o parecer de referência das autoridades de supervisão sobre a identificação e o papel dos responsáveis pelo tratamento, responsáveis conjuntos pelo tratamento e subcontratantes.

E também:

• na Europa:

Brexit:

Quais seriam as condições para transferências de dados para o Reino Unido caso o país deixasse a União Europeia sem um acordo? O CEPD publicou uma nota no início de 2019 detalhando as condições e as diversas bases legais aplicáveis. A autoridade britânica de proteção de dados também responde a muitas perguntas em seu site oficial.

Biometria:

A Autoridade Sueca de Proteção de Dados emitiu sua primeira sanção sob o GDPR em 21 de agosto. Uma multa de € 20.000 foi imposta a uma escola por implementar um sistema de reconhecimento facial para alunos, violando vários princípios do GDPR: consentimento inválido, dados biométricos sensíveis, falta de avaliação prévia de impacto e falha em consultar a autoridade de proteção de dados.

Nuvem e proteção de dados:

A perspectiva de uma nuvem europeia com regras harmonizadas está cada vez mais próxima. Em 29 de agosto, ocorreu em Haia a primeira reunião de partes interessadas dos setores público e privado, a nível europeu e internacional.

• no mundo:

Provas eletrônicas:

As condições sob as quais as autoridades judiciais podem acessar provas eletrônicas ("e-evidências") mantidas por empresas estão sendo objeto de desenvolvimentos na Europa e internacionalmente. O objetivo é harmonizar essas regras na Europa, mas também chegar a um acordo com os Estados Unidos sobre as condições de acesso a esses dados, como parte do combate à criminalidade. De acordo com o "Cloud Act" americano, os Estados Unidos têm acesso aos dados de empresas americanas sediadas na Europa desde março de 2018. O objetivo é chegar a um acordo sobre essas condições de acesso em ambos os lados do Atlântico, em conformidade com as regras de proteção de dados.

Norma ISO:

A nova norma ISO/IEC/27701 foi publicada no início de agosto. Ela é uma extensão da ISO/IEC 27001 e da ISO/IEC 27002 para abranger a gestão da privacidade e também leva em consideração os requisitos do GDPR.

1 O acórdão aplica a Diretiva 95/46/CE, revogada pelo Regulamento (UE) 2016/679 ou RGPD. As disposições relativas à (co)responsabilidade permaneceram, no entanto, idênticas no novo Regulamento.