Boletim Jurídico nº 57 – Março de 2023.

Câmeras inteligentes e biometria – qual será o impacto da legislação relacionada aos Jogos Olímpicos?

Em 23 de março, a Assembleia Nacional aprovou o Artigo 7º da lei sobre os Jogos Olímpicos.

O projeto de lei, aprovado em uma assembleia com pouca participação (apenas 73 dos 577 membros estavam presentes), já gerou muita discussão e certamente provocará muitas outras reações nos próximos meses.

Na prática, isso legaliza o uso da vigilância algorítmica até dezembro de 2024, em um contexto descrito como excepcional, exceto para eventos que vão além do âmbito estrito dos Jogos Olímpicos.

A vigilância pode abranger "eventos desportivos, recreativos ou culturais" em geral, "expostos a riscos de atos terroristas ou ameaças graves à segurança das pessoas".

Portanto, pode ser testado em eventos esportivos como a Copa do Mundo de Rugby deste outono.

 

O que é vigilância algorítmica? Trata-se de uma forma de vigilância biométrica sujeita às rigorosas obrigações do RGPD e à futura regulamentação europeia sobre inteligência artificial?

O projeto planeja usar "câmeras aumentadas" com auxílio de inteligência artificial, pilotadas por drones, que serão usadas para analisar automaticamente imagens em tempo real por meio de algoritmos, a fim de detectar eventos predeterminados, como movimentos de multidões, bagagens, gestos ou comportamentos suspeitos.

Ao destacar os principais problemas das câmeras com realidade aumentada em termos de privacidade e proteção de dados pessoais, a CNIL, em suas observações de 8 de dezembro, parece não ter considerado que o processamento biométrico estaria envolvido.

Ela observou que diversas medidas estavam em consonância com suas recomendações:

• Implantação experimental, limitada no tempo e no espaço, para determinados fins específicos e que corresponde a riscos graves para as pessoas.
• Falta de processamento de dados biométricos e de cruzamento de informações com outros arquivos, e
• Decisões sujeitas a intervenção humana prévia.

Para a sociedade civil, no entanto, a tecnologia utilizada se enquadra claramente na categoria de biometria.

De fato, ele "identifica, analisa e classifica constantemente corpos, atributos físicos, gestos, silhuetas e padrões de marcha, que são inegavelmente dados biométricos".

A Quadrature du Net e cerca de quarenta organizações internacionais desenvolveram essa perspectiva em uma carta aberta à Assembleia Nacional, coordenada e publicada pelo ECNL (Centro Europeu de Direito das Organizações Sem Fins Lucrativos).

O RGPD define dados biométricos como "dados pessoais resultantes de um processamento técnico específico relacionado com as características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a sua identificação única" (artigo 4.14).

A carta aberta observa que as câmeras inevitavelmente capturarão e analisarão características fisiológicas e comportamentos de pessoas presentes em espaços públicos monitorados, e que isolar essas pessoas de seu ambiente, o que se mostra essencial para atingir o objetivo do sistema, constitui uma "identificação única".

De acordo com o RGPD e a interpretação do Comité Europeu para a Proteção de Dados sobre esta matéria, a capacidade de isolar uma pessoa de uma multidão ou do seu ambiente, independentemente de o seu nome ou identidade serem conhecidos ou não, constitui um "identificador único".

Classificar pessoas em categorias que agrupam comportamentos "de risco" com base nesses dados constituiria, portanto, uma categorização biométrica que provavelmente contradiria as disposições da futura regulamentação europeia sobre inteligência artificial.

A este respeito, convém destacar o parecer de 18 de junho de 2021 das autoridades europeias de proteção de dados, que apela a uma proibição geral de qualquer utilização de IA para o reconhecimento automático de características humanas em espaços de acesso público.

Esses argumentos também constam de uma carta enviada à Assembleia Nacional por 41 membros do Parlamento Europeu, que destacam que, com essa lei, a França se tornaria o primeiro país da Europa a legalizar a vigilância em massa de seu espaço público.

A legislação poderá, portanto, ter de passar por um teste de compatibilidade com o direito europeu.

A este respeito, importa salientar que o projeto de Regulamento sobre inteligência artificial consta da agenda da sessão plenária do Parlamento Europeu no final de maio.

 

E também

CNIL    

 A CNIL publicou sua lista de temas de controle de prioridade Para 2023: este ano ela se concentrará em:

• O uso de câmeras "aumentadas" por atores públicos,
• A utilização do arquivo de incidentes de crédito ao consumidor,
• A gestão dos registros de saúde dos pacientes e
• Aplicativos móveis.

Ela também publicou seu primeiro dossiê temático no final de março sobre identidade digital, apresentando os princípios fundamentais e suas posições sobre o assunto.

O dossiê destina-se ao público em geral, bem como a organizações públicas ou privadas e a pesquisadores.

A este respeito, vale lembrar que, em publicação de 22 de fevereiro, a CNIL analisou o experimento realizado desde 2019 com o cartão eletrônico de seguro saúde (“e-carte Vitale”), que será oferecido opcionalmente a todos os beneficiários da previdência social até o final de 2025.

Além do seu uso cotidiano, o "e-Carte Vitale" será uma alternativa ao FranceConnect para o setor de saúde digital.

Em 16 de março de 2023, a CNIL aplicou uma multa de 125.000 euros à empresa. CITYSCOOT.

A CNIL constatou que a empresa estava geolocalizando seus clientes quase que permanentemente durante o aluguel de uma scooter e armazenando esses dados.

A Comissão observou ainda que os contratos de subcontratação não incluíam certas cláusulas essenciais, como a natureza dos dados recolhidos, as medidas de segurança a implementar e o destino dos dados em caso de rescisão dos contratos.

A empresa também utilizou um mecanismo reCAPTCHA que transmitia os dados coletados ao GOOGLE para análise, sem fornecer qualquer informação ao usuário e sem obter seu consentimento prévio.

 

Instituições e órgãos europeus

EDPB

O Conselho Europeu de Proteção de Dados (EDPB) lançou sua ação anual coordenada de inspeção.

Nos próximos meses, 26 autoridades nacionais de proteção de dados do Espaço Econômico Europeu (EEE) participarão desta ação relativa à designação e ao cargo de encarregado da proteção de dados.

As investigações terão como objetivo apurar se os delegados ocupam um cargo que cumpre os requisitos dos artigos 37.º a 39.º do RGPD e se dispõem dos recursos necessários para o desempenho das suas funções.

Questionários serão enviados a eles para mapear sua situação e determinar se uma investigação formal se justifica.

DSA

Nos termos do Regulamento de Serviços Digitais (DSA), a União Europeia estabeleceu novas regras que exigem que as plataformas online de grande porte (Very Large Online Platforms e Very Large Search Engines) com mais de 45 milhões de usuários se registrem na Comissão Europeia até 17 de fevereiro.

Segundo uma análise feita por um professor da London School of Economics and Political Science, 18 atores estariam envolvidos: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing Search e Google Search.

TikTok

A rede social TikTok anunciou em meados de fevereiro sua intenção de cumprir a DSA, que entrará em vigor em meados de 2023.

O TikTok também anunciou a implantação de centros de dados na Europa para limitar o fluxo de dados transfronteiriços.

Este anúncio surge num momento em que as instituições da UE, bem como os governos dos Países Baixos, do Canadá e a Casa Branca, nos Estados Unidos, pediram recentemente aos seus funcionários que desinstalassem a aplicação dos seus equipamentos profissionais e pessoais, alegando preocupações com a proteção de dados pessoais.

DMA

No final de março, a Comissão Europeia criou um grupo de alto nível para garantir a aplicação consistente do Regulamento dos Mercados Digitais (DMA) com outros regulamentos europeus.

Entre os nomeados estão o Supervisor Europeu da Proteção de Dados (SEPD) e o Conselho Europeu da Proteção de Dados (CEPD).

A Lei dos Mercados Digitais aplica-se especificamente às grandes plataformas online designadas como "gatekeepers" (guardiões de acesso).

ENISA 

A agência europeia ENISA publicará um estudo sobre as ameaças à cibersegurança até 2030 no dia 29 de março.

Este estudo tem como objetivo identificar e coletar informações sobre futuras ameaças que possam afetar a infraestrutura e os serviços da União, bem como sua capacidade de garantir a segurança digital da sociedade e dos cidadãos europeus.

A ENISA também publica um relatório sobre cibersegurança e padronização da IA.

O objetivo deste documento é fornecer uma visão geral das normas existentes e futuras, avaliar seu escopo e identificar lacunas na padronização.

Leva em consideração as especificidades da IA, em particular da aprendizagem automática, e adota uma visão ampla de cibersegurança, abrangendo os requisitos de confidencialidade, integridade e disponibilidade, bem como o conceito mais abrangente de confiabilidade da IA.

Por fim, o relatório examina como a padronização pode apoiar a implementação de aspectos de cibersegurança integrados na proposta de regulamentação da UE sobre IA.

COMISSÃO EUROPEIA

Em 6 de março, a Comissão Europeia anunciou que, após um diálogo envolvendo as autoridades de proteção do consumidor da UE, o WhatsApp se comprometeu a ser mais transparente sobre as alterações em seus termos de serviço.

A empresa também facilitará a rejeição de atualizações pelos usuários quando estes discordarem delas e explicará quando essa rejeição resultar na impossibilidade de o usuário continuar utilizando seus serviços.

O WhatsApp também confirmou que os dados pessoais dos usuários não são compartilhados com terceiros ou outras empresas da Meta para fins publicitários.

IAPP

O site da IAPP apresenta uma tabela ("Iniciativas de dados da UE em contexto") que lista os regulamentos europeus de proteção de dados e as iniciativas em curso, desde o RGPD e a DSA até à estratégia europeia de cibersegurança. Esta lista foi atualizada em março de 2023.

 

Notícias nacionais

• REINO UNIDO: Na quinta-feira, 9 de março, o governo britânico apresentou ao Parlamento um projeto de lei "suavizado" sobre proteção de dados e informações digitais. A reforma proposta permitiria, notavelmente, que as empresas coletassem dados com mais facilidade sem o consentimento de seus usuários, por exemplo, como parte de suas políticas de pesquisa e desenvolvimento.

As obrigações relativas ao consentimento para a colocação de cookies também serão flexibilizadas, e a contratação de um encarregado de proteção de dados interno deixará de ser obrigatória.

Ainda no Reino Unido:

• O Centro Nacional de Segurança Cibernética publicou um artigo avaliando os riscos e fazendo recomendações para o uso de LLMs (Modelos de Linguagem de Grande Porte), como o ChatGPT.

Se os dados da consulta não forem usados hoje para alimentar o modelo, isso poderá acontecer em versões futuras.

O artigo aponta para riscos crescentes em termos de crimes cibernéticos, como a produção de e-mails de phishing mais convincentes ou o aprendizado de novas técnicas de ataque.

Ele recomenda não incluir informações sensíveis em solicitações dirigidas a instituições públicas de ensino superior.

• A autoridade de proteção de dados do Reino Unido, por sua vez, atualizou suas diretrizes sobre IA e proteção de dados a pedido do setor.

As diretrizes esclarecem os requisitos de imparcialidade na IA.

• ITÁLIA: Os mestrados em direito (LLMs) estão ganhando destaque no início da primavera. Em 31 de março, a autoridade italiana de proteção de dados emitiu uma ordem contra a OpenAI, bloqueando o ChatGPT na Itália devido à falta de transparência, à ausência de uma justificativa legítima para o processamento, à falha em garantir a precisão dos dados processados, à falta de verificação de idade e a uma violação geral do princípio da "privacidade desde a concepção".
• REPÚBLICA CHECA: A empresa de cibersegurança e antivírus Avast foi multada em 13,7 milhões de euros pela Autoridade de Proteção de Dados da República Tcheca por violar o Regulamento Geral de Proteção de Dados (RGPD).

Os dados dos usuários coletados por meio do Google Maps, YouTube, LinkedIn e, de forma mais ampla, por meio de buscas na web do Google, foram vendidos por meio de sua subsidiária Jumpshot.

A investigação da Autoridade Checa de Proteção de Dados diz respeito ao processamento histórico de dados pessoais anterior a janeiro de 2020, quando a Avast encerrou as atividades da Jumpshot.

• NORUEGA: A Autoridade Norueguesa de Proteção de Dados (APD) multou a Argon Medical Devices em 220.000 euros por atrasar a notificação de uma violação de dados devido ao uso sistemático e extensivo de consultores externos.

Considerou-se que o recurso a terceiros atrasava indevidamente o processo de notificação de violação de segurança.

Noruega novamente:

• Na sequência de uma das 101 reclamações da ONG NOYB relativas a transferências para os Estados Unidos, a Autoridade Norueguesa de Proteção de Dados notificou um responsável pelo tratamento de dados da sua intenção de o repreender pela utilização do Google Analytics e pela subsequente transferência de dados pessoais para os Estados Unidos, em violação do artigo 44.º do RGPD.
• Também na Noruega, o Conselho de Recursos de Privacidade confirmou a decisão da Autoridade de Proteção de Dados de multar um município em 352.555 euros por violar o artigo 5.º, n.º 1, alínea f), e os artigos 24.º e 32.º do RGPD, na sequência de um ataque de ransomware que resultou na perda irrecuperável de dados pessoais altamente sensíveis e na sua venda na dark web.
• ÁUSTRIA: A Autoridade Austríaca de Proteção de Dados (APD) decidiu que o uso do pixel de rastreamento do Facebook viola o RGPD e a decisão "Schrems II" do Tribunal de Justiça da União Europeia sobre fluxos de dados transatlânticos.
• BÉLGICA: Na Bélgica, uma autoridade pública foi autorizada a invocar o artigo 6.º, n.º 1, alínea e), do RGPD para geolocalizar os carros da empresa dos seus funcionários, porque não existiam outras soluções menos invasivas e o rastreio era necessário para uma utilização eficiente dos seus recursos limitados.

Neste caso, porém, o responsável pelo tratamento dos dados foi repreendido por diversas outras violações do regulamento.

• IRLANDA: O Bank of Ireland foi multado em € 750.000. A Autoridade de Proteção de Dados (DPA) constatou que o controlador de dados não havia avaliado adequadamente os riscos associados ao processamento, nem implementado medidas de segurança apropriadas.
• ESPANHA: A Agência Espanhola de Proteção de Dados (APD) multou a Orange Espanha em 100 mil euros por violar o princípio da minimização de dados ao exigir uma foto da frente e do verso do documento de identidade do cliente para entregar um celular comprado online.
• Ainda em Espanha, um responsável pelo tratamento de dados que não responda a um pedido de acesso devido a um erro do seu funcionário é, no entanto, passível de ser responsabilizado pela violação do artigo 15.º do RGPD.

 

• ESTADOS UNIDOS: Em 25 de março, a Comissão Federal de Comércio publicou um artigo em seu blog intitulado "Chatbots, deepfakes e clones de voz", ou seja, engano por meio de IA.

A FTC aponta para uma ameaça emergente preocupante que as empresas do ecossistema digital devem enfrentar.

O escritório de tecnologia da FTC também divulgou uma análise e orientações sobre pixels de rastreamento de terceiros, com base em suas decisões recentes relativas a provedores de serviços de saúde digital.

• O NIST (Instituto Nacional de Padrões e Tecnologia) está lançando um Centro de Recursos para inteligência artificial confiável e responsável.

O objetivo é apoiar as partes interessadas em IA no desenvolvimento dessas tecnologias.

É acompanhado por uma estrutura de gestão de riscos e um guia prático, e tem como objetivo proporcionar acesso a uma ampla gama de recursos relevantes sobre o assunto.

• CORÉIA DO SUL: A Comissão de Proteção de Informações Pessoais da Coreia do Sul multou o McDonald's, a British American Tobacco e a Samsung por violações de privacidade.

O McDonald's foi multado em 484.000 euros por armazenar arquivos de backup relacionados a usuários de seu serviço McDelivery em um servidor com compartilhamento ativado, o que permitiu que hackers acessassem os dados de 4.876.106 clientes.

Em outro incidente, os dados de 766.846 compradores de hambúrgueres foram roubados, resultando em uma multa inicial de 7.000 euros para a empresa.

• ARGÉLIA: A Lei nº 18-07 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais entrará em vigor em agosto de 2023.