Alerta Jurídico nº 88 – Outubro de 2025. 

 

Videovigilância, o principal alvo das sanções da CNIL.

A CNIL fez o ponto em outubro, sobre seu procedimento de sanção simplificado.

As 16 sanções impostas desde maio passado foram acompanhadas de multas que totalizam € 108.000, além dos € 104.000 das 10 decisões. pronunciado desde janeiro.

Além da videovigilância, as sanções abrangem práticas de prospecção comercial realizadas sem o consentimento das pessoas em causa e a falta de cooperação no pedido de exercício dos direitos previstos no RGPD (direito de acesso, retificação ou oposição).

A vigilância por vídeo continua sendo o principal tema das sanções, especialmente quando ocorre no ambiente de trabalho.

A CNIL destaca sistematicamente a falha dos controladores de dados em cumprir o princípio da minimização de dados.

Uma empresa farmacêutica e um hospital foram sancionados por filmarem instalações sindicais e o acesso direto a elas, em violação ao Artigo 5.1.c do RGPD, que especifica que os dados devem ser adequados, pertinentes e limitados ao necessário para a finalidade pretendida.

A CNIL lembra que as câmeras de segurança instaladas em locais de trabalho, sejam eles abertos ao público ou não, devem respeitar a privacidade dos funcionários.

"Em nenhuma circunstância as câmeras devem filmar as instalações do sindicato ou seus pontos de acesso direto."

Qualquer violação excessiva da privacidade das pessoas filmadas contraria, portanto, esse princípio da minimização, como também observou a CNIL em um internato cujo sistema de videovigilância filmava os alunos durante o café da manhã e no pátio.

Não é permitida a instalação de câmeras no local de trabalho.

• Somente se perseguirem um objetivo legítimo, como a segurança da propriedade e das pessoas,
• Em áreas delimitadas e não intrusivas, como entradas e saídas de edifícios, corredores ou armazéns.

Também são exigidas obrigações de segurança e transparência:

• O acesso às imagens deve ser seguro e restrito a pessoal autorizado, e os dados devem ser mantidos por um período limitado, geralmente de alguns dias a um mês.
• A pessoa responsável deve informar e consultar os representantes dos funcionários com antecedência e providenciar a exibição de um aviso para os funcionários e o público.

Exceções podem ocorrer em relação às obrigações de transparência: em circunstâncias excepcionais e sob certas condições, o controlador de dados pode instalar temporariamente câmeras não visíveis aos funcionários, desde que a compatibilidade do dispositivo com o RGPD seja analisada e que ele possa justificá-la.

Foi devido à ausência de uma análise de impacto e à falta de envolvimento do seu DPO na implementação de um sistema oculto de videovigilância que a La Samaritaine foi sancionada pela CNIL em setembro passado.

A empresa havia relatado a ocorrência de furtos nas reservas e explicado que o sistema era temporário, mas não realizou nenhuma análise prévia nem documentou a natureza temporária da instalação.

Essa falha em manter o equilíbrio entre o objetivo perseguido e a proteção da privacidade dos funcionários resultou em uma multa de € 100.000 para a empresa.

Por fim, cabe ressaltar que, em locais acessíveis ao público, o dispositivo deve ser autorizado pelo prefeito do departamento ou pelo prefeito de polícia de Paris.

 

      

O Tribunal de Contas publicou um relatório em 31 de outubro sobre "as questões de soberania dos sistemas de informação civis do Estado".

Ela faz diversas observações:

• Alguns ministérios utilizam soluções de TI não europeias, por vezes para dados sensíveis, em detrimento da soberania digital.

O relatório cita, a este respeito, a plataforma de dados de saúde, que está hospedada há mais de cinco anos por uma empresa americana.

Ele observa ainda que os operadores privados oferecem aplicações de serviços públicos sem estarem sujeitos às mesmas obrigações que o Estado.

• Não existe um mapeamento de dados sensíveis por administração, o que constituiria um quadro de referência que permitisse identificar aqueles cuja soberania deve ser preservada como prioridade.
• A adoção da computação em nuvem soberana por agências governamentais permanece limitada, as nuvens estatais internas têm dificuldades para atingir escala suficiente e conciliar os requisitos de soberania com os imperativos de desempenho se mostra complexo.
• A DINUM gere duas infraestruturas soberanas: a rede interministerial do Estado (RIE) e o sistema de identidade digital (FranceConnect), consideradas sucessos, embora ainda sejam necessários progressos, sobretudo em termos de resiliência.
• Além de controlar dados sensíveis, o Estado não busca a soberania total, mas sim estabelecer um nível suficientemente alto de confiança por meio de compras públicas, agrupamento de aquisições e validação pela ANSSI para limitar os riscos.

Em 15 de outubro, o Conselho de Estado confirmou a multa de 8 milhões de euros imposta pela CNIL à Apple pelo processamento de dados de usuários franceses para fins de publicidade personalizada sem o seu consentimento.

• O Conselho de Estado considerou que a sanção não era desproporcional, tendo em conta o número de pessoas envolvidas — cerca de 27,5 milhões de utilizadores entre julho de 2020 e julho de 2021 — e o peso económico do grupo.
• Ele também confirmou a jurisdição da CNIL para decidir sobre as atividades da empresa na França, rejeitando assim o argumento da empresa de que apenas sua entidade irlandesa estava sujeita à jurisdição do regulador europeu.

O Ministério do Trabalho e da Solidariedade, a CNIL e a AFCDP incumbiram a AFPA da realização de um novo levantamento no observatório da profissão de OPD (Organização de Pessoas com Deficiência), referente ao impacto da IA (Inteligência Artificial) nessa profissão.

A pesquisa explora os modelos de governança de IA dentro das organizações, o papel do Encarregado de Proteção de Dados (DPO), os principais desafios enfrentados pelos DPOs e suas necessidades em termos de ferramentas e treinamento. Os resultados serão publicados no primeiro semestre de 2026.

Em 28 de outubro, a CNIL publicou o relatório do seu evento de 20 de maio, intitulado "RGPD: qual o impacto económico?". 

O evento reuniu economistas, bem como reguladores franceses (CNIL) e europeus (autoridade de proteção de dados do Reino Unido, Comissão Europeia), contribuindo para a avaliação ex post da implementação do RGPD.

Abordada pelas demandas do setor de distribuição sobre a portabilidade de dados relacionados a programas de fidelidade, a legislação também especificou, em meados de outubro, quais informações devem ser transmitidas, em particular no que diz respeito ao código de barras e aos dados relativos às promoções às quais os clientes tiveram acesso.

 

Instituições e órgãos europeus

As alterações ao RGPD previstas na Lei Digital Omnibus podem ir mais longe do que o inicialmente anunciado, de acordo com uma versão informal do documento divulgada pela imprensa.

A proposta, que deverá ser publicada oficialmente em 19 de novembro, esclareceria (embora limitando) certas definições-chave, flexibilizaria algumas regras relativas à confidencialidade e autorizaria o uso de dados pessoais para treinamento de IA.

A sociedade civil já reagiu, destacando os perigos de tal simplificação para os direitos fundamentais.

Na quinta-feira, 9 de outubro, a Comissão Europeia anunciou o lançamento de uma consulta pública sobre o projeto de diretrizes relativas à interação entre o Regulamento dos Mercados Digitais (DMA) e o RGPD.

Este projeto foi desenvolvido em colaboração com o Conselho Europeu de Proteção de Dados (EDPB).

O artigo 5(2) está no cerne destas orientações: a DMA exige que os "gatekeepers" obtenham o consentimento do utilizador para partilhar os seus dados entre diferentes serviços, mas não define as condições precisas deste consentimento.

O texto agora especifica que esse consentimento deve ser válido nos termos do RGPD, mas sobretudo que deve ser solicitado separadamente para cada finalidade de processamento distinta (personalização de conteúdo e publicidade direcionada).

A consulta pública estará aberta até 4 de dezembro.

Em 24 de outubro, a Comissão Europeia concluiu, em caráter preliminar, que a Meta e o TikTok violaram a Lei de Serviços Digitais (DSA).

As empresas não permitem que os pesquisadores tenham acesso adequado aos dados disponíveis publicamente.

A Comissão conclui também, numa base preliminar, que o Facebook e o Instagram não cumpriram as suas obrigações (1) de fornecer aos utilizadores mecanismos simples para denunciar conteúdos ilegais, como pornografia infantil ou conteúdos terroristas, e (2) de permitir que os utilizadores contestem eficazmente as decisões de moderação de conteúdos tomadas pela Meta.

O TikTok e a Meta têm a capacidade de acessar e responder ao arquivo da investigação.

A Comissão Europeia publicou o seu quadro de referência para uma nuvem soberana para as autoridades de contratação pública.

O documento baseia-se em diversas iniciativas europeias, incluindo o quadro europeu de certificação de cibersegurança (ENISA, NIS2, DORA).

Refere-se também a políticas nacionais como a "nuvem no centro" na França, com a SecNumCloud da Anssi, e a Nuvem Soberana alemã.

A Comissão propõe uma pontuação de soberania para ofertas de nuvem, baseada em diferentes critérios, o que está gerando reações diversas.

O método não satisfaz particularmente os provedores de nuvem europeus reunidos na associação Cispe, que o consideram opaco e, da forma como está, favorece os participantes estrangeiros.

Membros do Parlamento Europeu estão pedindo uma investigação da DSA sobre a Shein, a Temu e a AliExpress.

Após a abertura de uma investigação pelo Ministério Público de Paris contra essas quatro empresas pela venda de "bonecas sexuais com aparência infantil", mais de 40 eurodeputados instaram a Comissão Europeia a iniciar uma investigação, de acordo com uma reportagem da Euractiv.

A proposta da CSAM para um regulamento destinado a prevenir e combater o abuso sexual infantil voltou a estar na agenda da reunião do Conselho Europeu em 14 de outubro.

A Alemanha, que anteriormente havia sido uma forte apoiadora do projeto de lei, retirou seu apoio à proposta de regulamentação, e a votação foi adiada.

A proposta controversa previa a análise das comunicações no terminal do usuário antes do envio, um elemento removido pela Presidência dinamarquesa do Conselho para obter apoio suficiente dos Estados-Membros.

A Dinamarca pretende, no entanto, prorrogar indefinidamente a atual autorização temporária para análises “voluntárias” de CSAM (Abuso Sexual Infantil e Adolescente) e “os prestadores de serviços de alto risco […] ainda poderão ser obrigados a tomar medidas para desenvolver tecnologias relevantes para mitigar o risco de abuso sexual de crianças identificadas em seus serviços”.

Os ministros do Interior da UE devem se reunir novamente no início de dezembro.

Na sua reunião plenária de outubro, o CEPD escolheu o tema da sua quinta ação coordenada sobre controlos, que se centrará no cumprimento das obrigações de transparência e informação previstas no RGPD.

O regulamento garante que as pessoas em causa sejam informadas quando os seus dados são tratados (nos termos dos artigos 12.º, 13.º e 14.º).

O CEPD reitera que este direito à informação é um elemento central da transparência e garante aos indivíduos um maior controlo sobre os seus dados.

As autoridades de proteção de dados participantes aderirão a esta ação de forma voluntária nas próximas semanas, e a própria ação será lançada durante o ano de 2026.

Uma investigação sobre corretores de dados pessoais, conduzida pelo jornal belga L'Echo, pela publicação especializada alemã Netzpolitik.org, pela rádio holandesa BNR, pela rádio alemã BR e pelo jornal Le Monde, mostra a extensão da vigilância possibilitada por dados publicitários geolocalizados.

Esses dados, obtidos pelo "Le Monde" e seus parceiros, possibilitaram identificar e rastrear diversas autoridades da União Europeia, por vezes até mesmo em suas residências.

 

Notícias dos países membros da União Europeia.

O estado alemão de Schleswig-Holstein abandonou seus sistemas governamentais de e-mail e calendário em favor de software de código aberto.

A migração, que durou seis meses, substituiu o Microsoft Exchange e o Outlook pelo Open-Xchange e pelo Mozilla Thunderbird.

A transferência envolveu mais de 40.000 contas de e-mail e mais de 100 milhões de mensagens e entradas de calendário.

Na Áustria, a ONG Noyb relata que a autoridade de proteção de dados emitiu uma decisão concluindo que o Microsoft 365 Education rastreia ilegalmente os alunos e usa seus dados para os próprios fins da Microsoft.

A gigante do software também não respondeu a um pedido de acesso relacionado ao Microsoft 365 Education, amplamente utilizado em escolas europeias.

Um tribunal austríaco confirmou a multa de 1.500.000 euros imposta à IKEA por vigilância por vídeo ilegal e excessiva dentro e nos arredores de uma de suas filiais, que gravava, entre outras coisas, clientes digitando seus códigos PIN.

Dessa forma, ele anulou uma decisão da APD que responsabilizava apenas o vendedor pelas irregularidades cometidas durante a compra.

Na Bélgica, a Autoridade Belga de Proteção de Dados (APD) também repreendeu uma empresa por reter ilegalmente o endereço de e-mail e o número de telefone de um ex-funcionário após o término do contrato de trabalho. A APD constatou que o responsável pelo tratamento dos dados violou diversas disposições do RGPD, incluindo o princípio da limitação da finalidade, os princípios da minimização e limitação do armazenamento de dados, o princípio da informação ao titular dos dados e o direito ao apagamento.

Por fim, deixou de existir qualquer base legal para continuar a processar esses dados.

Na Espanha, a APD multou uma empresa de serviços financeiros (Servicios Financieros Carrefour) em € 1.500.000 por não garantir a segurança e a confidencialidade do tratamento de dados no contexto de uma violação de dados que resultou no envio de inúmeros e-mails de phishing.

Na Irlanda, a nomeação da ex-lobista da Meta, Niamh Sweeney, como comissária da autoridade irlandesa de proteção de dados atraiu recentemente atenção renovada.

O Conselho Irlandês para as Liberdades Civis (ICCL) apresentou uma queixa contra a Irlanda à Comissão Europeia em 25 de outubro, alegando que a Irlanda não havia fornecido garantias suficientes quanto à independência e imparcialidade do seu processo de nomeação.

A Comissão Europeia teria respondido afirmando que não tinha competência em relação às nomeações nacionais no que diz respeito à AOD (Ajuda Oficial ao Desenvolvimento).

A Autoridade Holandesa de Proteção de Dados (APD) multou a Experian Nederland em 2,7 milhões de euros por múltiplas violações do RGPD (Regulamento Geral sobre a Proteção de Dados).

Até 1º de janeiro de 2025, a Experian fornecia aos seus clientes avaliações de solvência, para as quais coletava dados sobre, por exemplo, histórico de pagamentos, dívidas não pagas ou falências.

A APD observou a falta de uma base legal válida para a coleta de informações e a falha em informar as pessoas envolvidas.

A empresa teve que cessar suas operações no país e prometeu excluir todo o seu banco de dados pessoal antes do final do ano.

 

 

A Autoridade de Proteção de Dados do Reino Unido (DPA) multou um prestador de serviços empresariais especializado em administração de pensões e seu subcontratado em £ 8.000.000 e £ 6.000.000, respectivamente, após um ataque cibernético que permitiu que terceiros não autorizados acessassem os dados de mais de 6 milhões de pessoas.

O Departamento de Polícia de Austin (APD) observou a falta de medidas de segurança adequadas.

A IAPP relata que, pela primeira vez desde 2019, a Organização Internacional de Normalização atualizou sua norma internacional para gerenciamento de programas de conformidade com a privacidade, a ISO 27701.

A norma agora constitui um sistema de gestão independente, o que significa que as organizações não precisarão mais ter um sistema de gestão de segurança da informação certificado pela ISO 27001.

No entanto, aqueles que possuem um SGSI poderão integrar ambos os sistemas de gestão.

A norma detalha os requisitos de alto nível para a implementação de um PIMS, que devem ser atendidos e implementados por qualquer organização que busque a certificação.

Embora não possa ser considerado um substituto para a legislação, permanece em estreita consonância com o RGPD da UE e do Reino Unido.

Nos Estados Unidos, a polícia de imigração examina os rostos das pessoas na rua para verificar sua cidadania.

Segundo o veículo de comunicação americano 404, vídeos que circulam nas redes sociais mostram agentes do ICE (Serviço de Imigração e Alfândega) e do CBP (Alfândega e Proteção de Fronteiras) usando tecnologia de reconhecimento facial em pessoas que passam pelo local.

O aplicativo utilizado, Mobile Fortify, vinculava rostos a um banco de dados com 200 milhões de imagens provenientes de bancos de dados do FBI, do Departamento de Estado e de outras agências.

O aplicativo também poderia realizar buscas cruzadas em veículos, telefones, endereços e armas de fogo.

Embora o Departamento de Segurança Interna se recuse a confirmar ou negar as capacidades do "Mobile Fortify", a CBP supostamente reconhece que utiliza "diversas ferramentas tecnológicas para aumentar a eficácia dos agentes".

A competição está acirrada para integrar a IA nos navegadores de internet e desafiar a posição dominante do já clássico Google Chrome.

Dessa forma, a Microsoft integrou sua ferramenta de IA Copilot ao navegador Edge.

As "ações" propostas permitem que o Copilot preencha formulários ou reserve hotéis, e as "jornadas" permitem que o Copilot rastreie os links entre as abas abertas pelo usuário.

O anúncio da Microsoft ocorreu dois dias após um lançamento semelhante da OpenAI, que apresentou seu novo navegador Atlas, visualmente muito parecido com o da Microsoft.