Boletim Jurídico nº 63 – Setembro de 2023.

Brexit: uma visão geral da proteção de dados.

Desde que o Reino Unido deixou a União Europeia em 31 de janeiro de 2020, diferenças cada vez mais significativas têm surgido entre os quadros de proteção de dados em ambos os lados do Canal da Mancha.

O país ainda aplica a lei que transpôs o RGPD para o nível nacional, denominada "RGPD do Reino Unido", e desde 28 de junho de 2021, o Reino Unido beneficia de um nível adequado de proteção, que autoriza a troca de dados com a UE.

A decisão de adequação é válida até 27 de junho de 2025, mas poderá ser revista antes dessa data caso o quadro jurídico do Reino Unido sofra alterações significativas até lá.

Entre os desenvolvimentos que podem causar preocupação na Comissão Europeia está a ambição do Reino Unido de se tornar um "centro de dados", facilitando a troca internacional de dados, e a atual proposta de revisão do "Regulamento Geral de Proteção de Dados do Reino Unido" (RGPD), que visa flexibilizar as obrigações das empresas britânicas.

Em 21 de setembro, o Reino Unido formalizou a "ponte de dados" concluída em junho com os Estados Unidos.

O acordo entrará em vigor em 12 de outubro.

O Reino Unido também concluiu acordos com vários países que a UE já considera adequados: Canadá, Israel, Japão, Nova Zelândia, Suíça e Uruguai.

Sua lista de prioridades também inclui Austrália, Colômbia, Dubai, República da Coreia e Singapura.

Essa facilitação das trocas internacionais levanta a questão das subsequentes transferências de dados europeus que, após passarem pelo Reino Unido, seriam recebidos posteriormente por um país que a UE não considera garantir proteção de dados equivalente.

O Reino Unido está, de fato, caminhando para uma avaliação mais pragmática das garantias oferecidas por países terceiros, baseada mais no risco.

Paralelamente a essas iniciativas relativas à transferência de dados, o Reino Unido está preparando um projeto de lei sobre proteção de dados e informações digitais ("Projeto de Lei de Proteção de Dados e Informações Digitais (nº 2)") com o objetivo de substituir o atual GDPR do Reino Unido.

Este texto já foi lido duas vezes no parlamento na primavera passada e ainda precisa ser debatido em uma terceira leitura.

O projeto mantém o respeito pelo princípio da limitação da finalidade, mas modifica seu escopo: autoriza o processamento posterior quando os dados tiverem sido coletados sem consentimento, por exemplo, em casos de uso com base no interesse público.

O impacto dessa regra no uso de cookies ainda não está claro, embora o governo afirme que deseja limitar os "pop-ups" indesejados que solicitam o consentimento do usuário.

A definição de pesquisa científica foi atualizada e ampliada, e suas condições de prática foram flexibilizadas.

Isso poderia permitir que as empresas processassem dados com mais facilidade para fins comerciais, argumentando que essas práticas comerciais consistem em pesquisa e desenvolvimento tecnológico. 

O projeto também reduz as exigências impostas às empresas em relação à manutenção de registros e ao controle proativo de suas atividades de processamento de dados, exceto para aquelas cujo processamento represente alto risco aos direitos dos indivíduos.

O texto também apresenta uma estrutura para a utilização de "serviços de verificação digital confiáveis e seguros", que parece responder ao projeto de identidade digital da União Europeia.

Para as empresas que operam em toda a UE, alguns dos benefícios da reforma destinada a reduzir a carga administrativa serão limitados: elas ainda terão que, por exemplo, nomear um encarregado da proteção de dados e não poderão se beneficiar da flexibilização de certas regras relativas à retenção de dados.

O plano inclui também a substituição do atual órgão regulador, o ICO, por um conselho, e a atribuição ao Secretário de Estado do poder de orientar certas atividades da instituição, designando prioridades estratégicas.

A existência de uma entidade reguladora independente para a proteção de dados será um dos elementos-chave que a UE considerará ao reavaliar a "equivalência essencial" do Reino Unido com as suas normas de proteção de dados.

Esta questão já suscitou questionamentos no Parlamento Europeu.

A lei poderá ser aprovada na próxima primavera.

 

• Em 18 de setembro de 2023, a CNIL multou a empresa de transporte aéreo de carga SAF LOGISTICS em 200.000 euros por coletar dados em excesso de seus funcionários, incluindo dados sensíveis e extratos de antecedentes criminais.

Ela também está sendo sancionada por não cooperar suficientemente com os serviços da CNIL.

• No final de setembro, ocorreu a Semana Europeia do Desenvolvimento Sustentável, proporcionando à CNIL a oportunidade de divulgar seu livreto dedicado ao tema: ele explora as interseções entre proteção de dados, liberdades e meio ambiente: "Proteger dados protege o planeta? Nossas liberdades estão em transição? Devemos compartilhar dados para proteger o meio ambiente?"

O documento procura responder a essas questões e propõe recomendações para conciliar dois objetivos.

• Neste verão, a CNIL publicou um guia preliminar sobre a reutilização de dados públicos.

O guia incorpora a posição da CNIL, das suas congéneres, bem como decisões judiciais francesas e europeias, enriquecidas por uma série de consultas com vários intervenientes diretamente envolvidos no desenvolvimento de abordagens à abertura, partilha e reutilização de dados publicamente acessíveis (parceiros institucionais, associações e empresas, advogados, investigadores).

• Em 29 de agosto, a CNIL (Autoridade Francesa de Proteção de Dados) ordenou à Boursorama que cumprisse as disposições do RGPD, "em particular, cessando o processamento das credenciais de login para o site impots.gouv.fr": a Boursorama estava, de fato, solicitando acesso ao nome de usuário e senha do site impots.gouv.fr daqueles que desejavam obter um empréstimo ou abrir um plano de poupança em ações.

A CNIL indica que a empresa tem um prazo de dois meses para se adequar.

• A Mozilla está lançando uma campanha pública para chamar a atenção para a futura lei SREN, que prevê a implementação de um "filtro antifraude" na internet.

A fundação argumenta, no título de sua petição, que a França está forçando os navegadores da web "a censurar sites".

Um mecanismo obrigatório exigiria que os intermediários implementassem todas as medidas apropriadas para impedir que os usuários da internet acessassem endereços considerados prejudiciais, por um período de pelo menos sete dias.

Em princípio, a fundação considera louvável a iniciativa de combater a fraude online.

No entanto, ela contesta os métodos escolhidos para atingir esse objetivo, que criam um precedente, já que a estratégia de filtragem, uma vez implementada, poderia ser estendida a outras questões.

 

 

Instituições e órgãos europeus

• A Comissão Europeia publica orientações sobre a nova diretiva europeia em matéria de cibersegurança, NIS2.

Esta diretiva impõe obrigações relativas à segurança, notificação de incidentes e governança a entidades em diversos setores críticos, incluindo energia, transportes, finanças, saúde e infraestrutura digital.

Os dois documentos de orientação ajudam a determinar se os requisitos do NIS2 ou os requisitos setoriais se aplicam e visam garantir que os requisitos de registo sejam consistentes em toda a União.

• Durante o mês de outubro, a Comissão das Liberdades Cívicas do Parlamento Europeu iniciará a análise do regulamento relativo à "proteção das crianças na Internet" (CSAM).

Este texto é alvo de críticas cada vez mais virulentas, particularmente no que diz respeito à medida que visa obrigar as principais plataformas a analisar proativamente o conteúdo privado trocado com os seus serviços para detetar pornografia infantil.

Muitos atores da sociedade civil, todas as autoridades europeias de proteção de dados, bem como juristas do Conselho da UE, acreditam que o regulamento imporia "limitações particularmente significativas ao direito à privacidade" e que existe um "sério risco" de ser contrário a textos fundamentais da UE.

• O Mês da Cibersegurança é uma oportunidade para a ENISA, a Agência da União Europeia para a Segurança da Informação, publicar recomendações sobre ransomware.

Entre os documentos disponíveis, encontram-se dicas para operadores do setor elétrico, um dos principais alvos dos hackers.

• Em 7 de setembro, o deputado Philippe Latombe, membro da CNIL (Comissão Nacional de Informática e Liberdades), contestou o Quadro de Proteção de Dados perante o Tribunal da União Europeia, que permite a troca de dados entre a UE e os Estados Unidos desde o verão.
• Latombe apresentou dois recursos, um para suspender o acordo imediatamente e o outro referente ao conteúdo do texto.

Ele está solicitando ao Tribunal a suspensão urgente do acordo, invocando um regulamento europeu de 1958 que exige que os textos europeus de âmbito geral sejam escritos nas quatro línguas oficiais, enquanto que, desde 10 de julho, o DPF existe apenas em inglês.

• A utilização de ferramentas de videoconferência levanta questões sobre a proteção de dados, especialmente porque os dados são frequentemente transferidos para fora da UE.

O Tribunal de Justiça da UE realizou uma "avaliação de impacto sobre a transferência (AIT)" relacionada com a utilização do Cisco Webex e submeteu o tratamento de dados à autorização do Supervisor Europeu da Proteção de Dados (SEPD).

A decisão do EDPS e a avaliação de impacto do TJUE são referências úteis para qualquer responsável pelo tratamento de dados que utilize estas ferramentas num contexto profissional.

 

Notícias dos países membros da Europa.

• A Autoridade Belga de Proteção de Dados (APD) rejeitou uma queixa em 16 de agosto, apesar da existência de violações do RGPD (Regulamento Geral sobre a Proteção de Dados).

Ela considerou que as violações não tiveram um "impacto social e/ou pessoal significativo" e que, portanto, os recursos necessários para examinar a denúncia seriam desproporcionais.

• Na sequência da decisão vinculativa de resolução de litígios do CEPD (Comitê Europeu para a Proteção de Dados), a Comissão Irlandesa de Proteção de Dados publicou a sua decisão final em 1 de setembro, concluindo, em particular, que o TikTok violou o princípio da equidade do RGPD (Regulamento Geral sobre a Proteção de Dados) no tratamento de dados pessoais relativos a crianças com idades entre os 13 e os 17 anos.

Na janela pop-up de inscrição, as crianças eram incentivadas a optar por uma conta pública.

A decisão final da APD considera que as configurações públicas padrão também eram contrárias aos princípios da proteção de dados desde a concepção e por padrão, da minimização de dados e da transparência.

Além de uma advertência e uma ordem de conformidade, a autoridade de proteção de dados da Irlanda impôs uma multa de 345 milhões de euros.

• A Autoridade de Proteção de Dados da Baixa Saxônia, em colaboração com outras seis autoridades de proteção de dados, elaborou um guia sobre o uso do Microsoft 365 para fins profissionais.

As autoridades recomendam que seja celebrado um acordo suplementar entre a parte responsável e a Microsoft, o qual deverá prevalecer sobre quaisquer textos contratuais conflitantes.

Este acordo deverá reger, em particular, os períodos de eliminação adaptados às necessidades do responsável pelo tratamento dos dados, os requisitos de informação relativos à utilização de subcontratados, bem como o tratamento de dados pela Microsoft para os seus próprios fins comerciais.

• Em uma portaria de meados de julho relativa ao tratamento de dados para fins de marketing, a Autoridade Italiana de Proteção de Dados (APD) lembra que não se justifica, tendo em vista o princípio da limitação da conservação de dados, a retenção de dados até a data da revogação do consentimento.

Este lembrete já consta das diretrizes 5/2020 do CEPD, segundo as quais o contexto e as legítimas expectativas dos indivíduos devem ser levados em consideração: é uma boa prática exigir o consentimento renovado de forma regular.

• O Supremo Tribunal italiano confirmou a ilegitimidade da demissão de um funcionário por um banco italiano devido ao monitoramento ilegal de seus e-mails e à vigilância a que esse funcionário era submetido.

O Supremo Tribunal declarou que é necessário assegurar um equilíbrio justo entre as exigências de proteção dos interesses e do patrimônio da empresa, vinculadas à liberdade de iniciativa econômica, e a proteção da dignidade e da privacidade do trabalhador, dependendo das circunstâncias.

O monitoramento de todas as comunicações no laptop corporativo do réu foi injustificado porque foi indiscriminado, ilimitado e porque o autor não informou o réu sobre o possível monitoramento das comunicações de seu laptop, nem sobre a natureza e a extensão desse monitoramento.

• Em uma decisão publicada em 21 de agosto, a Autoridade Espanhola de Proteção de Dados (APD) sancionou um controlador de dados por violar os artigos 28(2) e 28(3) do RGPD.

Essa sanção foi imposta mesmo sem haver contrato entre o controlador de dados e os subcontratados, e mesmo sem o controlador de dados ter sido informado do envolvimento dos subcontratados nas atividades de processamento de dados.

• A Agência Espanhola de Proteção de Dados (APD) publica um blog sobre moedas digitais, no qual aborda os maiores riscos representados pelas criptomoedas: volatilidade, especulação, falsa sensação de disponibilidade, segurança e anonimato.
• A Comissão Eleitoral do Reino Unido anunciou em 8 de agosto que havia sido vítima de uma violação de dados.

O ciberataque remonta a agosto de 2021 e foi descoberto em outubro de 2022.

Os hackers, que permanecem não identificados, obtiveram acesso aos dados de 40 milhões de eleitores registrados entre 2014 e 2022.

• O governo britânico suspendeu seus planos de enfraquecer a criptografia online por meio da implementação do Projeto de Lei de Segurança Online.

Este projeto de lei visava obrigar aplicativos de mensagens como o WhatsApp a analisar as conversas de seus usuários em busca de pornografia infantil. As cláusulas controversas permaneceriam no projeto, mas o governo britânico declarou que não forçará as empresas de tecnologia a implementá-las.

• Uma equipe de pesquisa britânica publicou um artigo em agosto de 2023 sobre o desenvolvimento de uma inteligência artificial (IA) capaz de decifrar uma senha simplesmente ouvindo os sons produzidos pelas teclas do teclado.

A IA foi treinada em um conjunto de dados com mais de 100.000 toques de teclado e testada com sucesso em diversos dispositivos, incluindo laptops, smartphones e alto-falantes inteligentes.

 

• A Organização Internacional de Normalização publicou recentemente a norma ISO 22989:2022 – Conceitos e terminologia de IA, que estabelece a terminologia e descreve conceitos na área de Inteligência Artificial.

Este documento pode ser usado para desenvolver outros padrões e para apoiar a comunicação entre diversas partes interessadas. É aplicável a todos os tipos de organizações (empresas comerciais, agências governamentais, organizações sem fins lucrativos).

• Segundo informações, a Meta está se preparando para implementar um sistema de assinatura paga para suas plataformas de mídia social, Instagram e Facebook.

Segundo o Wall Street Journal, os usuários que não desejam ser rastreados para fins de publicidade personalizada devem pagar entre € 10 e € 15 por mês, dependendo do dispositivo utilizado (smartphone, computador).

• A vigilância por vídeo com reconhecimento biométrico está no centro de um escândalo na Argentina: erros, um sistema suscetível a manipulação, acessos não autorizados, falta de transparência…

Setenta e cinco por cento da capital está sob vigilância por vídeo, mas o sistema de reconhecimento facial vem sendo criticado após pelo menos 140 erros terem levado a abordagens policiais ou prisões desde 2019.

Ativistas decidiram processar o governo da cidade e, em abril de 2022, conseguiram a desativação do sistema.

Desde então, a cidade de Buenos Aires vem lutando para colocá-lo de volta em funcionamento.

• Um pesquisador de segurança indonésio revelou no Twitter que um hacker colocou à venda por US$ 10.000 um arquivo contendo os dados de quase 35 milhões de titulares de passaportes.

Sabe-se que o hacker já roubou e colocou à venda, em 2022, os dados de 1,3 bilhão de cartões SIM dos servidores do Ministério das Comunicações e Tecnologia da Informação da Indonésia, e também é suspeito de estar por trás do roubo de informações pessoais de 17 milhões de clientes da companhia elétrica indonésia em 2022 (via AFCDP).

• A Arábia Saudita publicou em meados de setembro suas normas para a implementação da lei de proteção de dados pessoais, bem como normas sobre a transferência de dados pessoais para fora do Reino.
• Em 15 de outubro de 2021, o governo ruandês promulgou uma lei sobre a proteção de dados pessoais e privacidade.

O governo concedeu um período de transição de dois anos para permitir que indivíduos e organizações adequem suas atividades de processamento de dados à legislação. Esse período terminará em 15 de outubro de 2023.