Boletim Jurídico nº 76 – Outubro de 2024.  

Ciberataques: um risco crescente e um quadro jurídico em evolução.

 O número de ciberataques direcionados a empresas ou serviços públicos na França neste outono é incontável.

Depois de Boulanger, Cultura, Truffaut, Grosbill e SFR, agora é a vez da Free sofrer um grande ciberataque, justamente quando o mês da conscientização sobre segurança cibernética está terminando.

Em um e-mail enviado aos seus clientes, a empresa afirmou que o ataque resultou no acesso não autorizado a alguns dados pessoais associados às contas dos assinantes, incluindo credenciais de login, informações de contato, detalhes contratuais e, em alguns casos, o IBAN. Estima-se que a violação tenha afetado mais de 19 milhões de clientes.

A Free notificou a CNIL e a ANSSI sobre a violação de dados.

Se levarmos em consideração também os ataques em larga escala que tiveram como alvo duas importantes organizações de pagamento terceirizadas e a France Travail no início de 2024, algumas estimativas apontam que, atualmente, os dados de mais de 40 milhões de franceses estão à venda na dark web.

O aumento desses ataques levou a CNIL a publicar uma ficha informativa para ajudar os interessados a se protegerem.

Ela aconselha, em particular, verificar a atividade da conta bancária, estar atento aos riscos de roubo de identidade e phishing, trocar senhas e usar procedimentos de autenticação multifatorial.

Até agora, a CNIL raramente sancionava empresas vítimas de ciberataques por não protegerem os dados, ao contrário de suas contrapartes europeias.

No entanto, acaba de sancionar a empresa de segurança de criptoativos Ledger por não proteger adequadamente os dados de seus clientes.

Segundo o jornal La Lettre, que divulgou a notícia em 23 de outubro, a multa aplicada é de 750 mil euros. A CNIL (Comissão Nacional de Informática e Liberdades) não confirmou esse valor.

A empresa sofreu diversas violações de dados pessoais em 2020, afetando inúmeros clientes e potenciais clientes.

Novas regras estão sendo adicionadas às disposições do GDPR, exigindo que os controladores de dados protejam os dados.

Estas são as obrigações da diretiva europeia NIS2, que entrou em vigor em 17 de outubro.

Esta diretiva visa mitigar as ameaças às redes e aos sistemas de informação que prestam serviços essenciais em setores-chave, a fim de reforçar a segurança da União Europeia.

O texto amplia seu escopo em comparação com a diretiva NIS1 e se dirige especificamente às infraestruturas e entidades essenciais para o bom funcionamento das atividades econômicas e sociais no mercado interno: administrações públicas, infraestruturas de telecomunicações, serviços de informação e comunicação, provedores de serviços digitais, mas também setores da indústria alimentícia ou química, saúde ou tratamento de águas residuais.

Os requisitos relacionam-se, em particular, com medidas de governança e gestão de riscos cibernéticos, compartimentalização dos sistemas de informação administrativos, obrigação de comunicar qualquer incidente e segurança das cadeias de abastecimento.

A diretiva prevê, tal como o RGPD, a notificação de incidentes e sanções financeiras.

Embora esteja previsto um período de três anos para a conformidade total, é necessário implementar rapidamente um mínimo, nomeadamente o "registo da entidade regulada junto da ANSSI no portal "monespaceNIS2", a notificação de incidentes e a comprovação de investimentos em soluções de segurança".

Independentemente das regras e sanções, é importante lembrar as consequências humanas das violações de segurança.

Foi isso que o Comissário de Informação Britânico (ICO) acaba de fazer em uma publicação de 28 de outubro.

Em um alerta aos controladores de dados, a autoridade destaca os efeitos, por vezes devastadores, das violações de dados.

Ela menciona que 55% dos adultos no Reino Unido tiveram seus dados perdidos ou roubados, o que representa quase 30 milhões de pessoas.

As consequências pessoais e emocionais dessa situação são frequentemente negligenciadas: 301.000 vítimas relatam sofrimento emocional, enquanto 25.000 delas não recebem ajuda das organizações responsáveis.

Além disso, 32% dos afetados ficam sabendo do ocorrido pela mídia, e não pela própria organização, o que acentua o sentimento de traição.

O ICO destaca que muitas organizações não avaliam completamente os danos e negligenciam a proteção de dados pessoais.

"Quando ocorre uma violação de dados, não se trata simplesmente de um erro administrativo, mas sim de uma falha na proteção de alguém."

 

        

Em 26 de setembro, a CNIL (Autoridade Francesa de Proteção de Dados) multou a Cosmospace e a Telemaque, prestadoras de serviços psíquicos, em € 250.000 e € 150.000, respectivamente, por não obterem o consentimento explícito dos indivíduos em questão. antes do processamento de dados sensíveis no contexto de sessões de consulta gravadas.

Anunciou ainda que emitiu onze novas sanções simplificadas desde junho de 2024, relativas a infrações como a coleta excessiva de dados, a falta de cadastro, o desrespeito aos direitos das pessoas ou a falta de cooperação.

Finalmente, em 17 de outubro de 2024, ela chamou a atenção do Ministério do Interior e dos Territórios Ultramarinos e do Ministério da Justiça para a má gestão do processo de antecedentes criminais.

No dia 19 de novembro, a CNIL está organizando um evento "Air" dedicado à vigilância e suas implicações éticas.

Os debates serão organizados em conjunto com a Comissão Nacional para o Controle de Técnicas de Inteligência (CNCTR).

A Procuradoria Pública de Paris anunciou que, em 18 de outubro de 2024, durante uma reunião da Eurojust, as autoridades judiciais belgas e francesas formaram uma equipe conjunta de investigação (JIT) para apurar as investigações sobre o Telegram.

Na França, uma investigação preliminar foi aberta em fevereiro de 2024, o que levou à abertura de um inquérito judicial e, posteriormente, à prisão de Pavel Durov neste verão.

A seção de crimes cibernéticos da Procuradoria de Paris já havia consultado diversas procuradorias e serviços de investigação, bem como seus parceiros estrangeiros na Eurojust, sobre a dificuldade em obter respostas às solicitações.

Em 3 de outubro, o Tribunal de Cassação anulou uma decisão do Tribunal de Apelação de Caen e reiterou que um tribunal deve respeitar o princípio da minimização de dados ao ordenar que um empregador apresente provas de possível discriminação salarial no contexto de processos cíveis.

Os dados pessoais solicitados como prova devem limitar-se ao estritamente necessário para o procedimento.

Em 22 de outubro, a ONG Noyb apresentou uma queixa à CNIL contra a plataforma de mídia social Pinterest..

Noyb indica que, apesar de uma decisão do Tribunal de Justiça da União Europeia (TJUE) de 4 de julho de 2023 condenar essa prática, a plataforma utiliza os dados pessoais dos usuários sem solicitar o seu consentimento, com base em seu legítimo interesse, e que ativa o rastreamento por padrão.

A plataforma também está sendo criticada por não fornecer informações sobre os terceiros com quem compartilha dados.

 

Instituições e órgãos europeus

A Comissão Europeia publicou, em 9 de outubro, o relatório da sua primeira análise relativa à decisão de adequação do quadro de proteção de dados (DPF) entre a UE e os Estados Unidos.

A Comissão conclui que as autoridades dos EUA "implementaram todos os elementos constitutivos da estrutura".

Isso inclui a implementação de salvaguardas para limitar o acesso a dados pessoais pelos serviços de inteligência dos EUA ao que for necessário e proporcional para proteger a segurança nacional, bem como o estabelecimento de um mecanismo de reparação independente e imparcial.

O relatório contém recomendações para garantir que a estrutura continue a funcionar eficazmente, tais como o desenvolvimento de orientações comuns sobre os principais requisitos do DPF (Filtro de Partículas Diesel).

Durante a sua sessão plenária de 8 e 9 de outubro, o Comité Europeu para a Proteção de Dados (EDPB) adotou um parecer sobre processadores e processadores subsequentes, bem como orientações sobre interesse legítimo. uma declaração sobre regras processuais adicionais para a aplicação do RGPD e o programa de trabalho do CEPD para o período 2024-2025.

Em 4 de novembro, o Comitê também adotou seu primeiro relatório sobre o quadro de proteção de dados UE-EUA, bem como uma declaração sobre o acesso aos dados por parte das autoridades policiais.

Ele destaca os progressos alcançados e incentiva as autoridades americanas a desenvolverem novas diretrizes, bem como a Comissão Europeia a monitorar o mecanismo de reparação para os cidadãos da UE.

Em seu acórdão C-507/23, de 4 de outubro, o Tribunal de Justiça da União Europeia (TJUE) considerou que um pedido de desculpas pode constituir uma reparação adequada por danos não patrimoniais, nos termos do artigo 82.º, n.º 1, do RGPD, especialmente quando o retorno à situação anterior ao dano for impossível, desde que esta forma de reparação seja capaz de compensar integralmente o dano sofrido pelo titular dos dados.

 

Notícias dos países membros da União Europeia.

A Autoridade Belga de Proteção de Dados (DPA) publicou online, no dia 9 de outubro, os documentos resultantes do seu dia de estudos sobre "cidades inteligentes".

O objetivo era fornecer uma plataforma de discussão onde as partes interessadas pudessem compartilhar suas experiências, melhores práticas, desafios, soluções e visões para o futuro das "cidades inteligentes".

O relatório do dia de estudo, as intervenções dos participantes e as sequências de vídeo estão disponíveis no site da APD.

Em uma decisão datada de 11 de outubro referente à RTL Bélgica, a APD também lembra ao responsável pelo tratamento de dados que este deve tornar tão fácil para os visitantes do seu site recusar a colocação de cookies quanto aceitá-los, constituindo isto uma aplicação concreta das condições para a validade do consentimento.

A APD também aprova o design dos botões apresentados ao visitante e remete, em particular, ao trabalho do CEPD sobre este assunto.

Neste caso específico, o botão laranja brilhante "Aceitar e fechar" destacou-se particularmente do resto do banner de cookies e, para a APD, "este é o botão para o qual a atenção dos usuários irá se voltar principalmente".

Em resposta ao argumento da RTL sobre "liberdade artística", a APD retruca que "Os responsáveis pelo tratamento de dados devem garantir que a utilização de uma cor não incentive, de forma óbvia, os utilizadores a consentir na colocação de cookies nos seus navegadores."

No entanto, nada impede que os controladores de dados usem uma cor de botão que, da mesma forma, incentive os usuários a recusar a instalação de cookies.

Note-se que a Autoridade Austríaca de Proteção de Dados (APD) tomou uma decisão na mesma direção em 28 de outubro relativamente à empresa de radiodifusão pública Österreichischer Rundfunk: ordenou à empresa que adaptasse o banner de cookies no seu website, porque o destaque gráfico da opção "aceitar todos os cookies" invalida o consentimento da pessoa em causa nos termos do artigo 6.º, n.º 1, alínea a), do RGPD.

Esses dois casos fazem parte de uma série de denúncias apresentadas pela ONG Noyb em diversos países da UE, e novas decisões sobre o assunto podem ser esperadas em breve.

A Agência Irlandesa de Proteção de Dados (DPA) anunciou sua decisão final em 24 de outubro, após uma pesquisa realizada no LinkedIn., investigação iniciada na sequência de uma queixa apresentada inicialmente à CNIL pela La Quadrature du net em 2018.

O estudo focou no processamento de dados pessoais pelo LinkedIn para fins de análise comportamental e publicidade direcionada aos usuários, abordando a legalidade, a equidade e a transparência desse processamento.

A decisão inclui uma repreensão, uma ordem para que o LinkedIn adeque seus processos às normas vigentes e multas administrativas que totalizam € 310 milhões.

A Autoridade Italiana de Proteção de Dados (APD) multou a Postel SpA, principal empresa postal da Itália, em 900 mil euros por não ter respondido a uma vulnerabilidade conhecida e relatada em seus sistemas durante quase um ano.Isso possibilitou uma violação de dados pessoais: em agosto de 2023, a empresa foi alvo de um ataque de ransomware que resultou no bloqueio de seus servidores e de algumas estações de trabalho.

As informações, publicadas na dark web, diziam respeito a dados de identificação e contato, dados de pagamento, bem como dados relativos a condenações e infrações criminais, dados de saúde e informações sobre filiação sindical.

A Autoridade Holandesa de Proteção de Dados (APD) anunciou em 23 de outubro que investigou oito parques de férias que utilizam reconhecimento facial para acesso a piscinas e áreas de lazer, e constatou que todos esses parques violaram as leis de privacidade devido à falta de informações e à ausência de consentimento válido.

Sob pressão do APD, sete dos parques alteraram seus métodos de processamento de dados.

 

Um arquivo do Excel levou à divulgação de informações pessoais de 9.483 policiais e funcionários da polícia da Irlanda do Norte.

Em resposta a dois pedidos de acesso aos dados, a polícia forneceu o arquivo com os dados mascarados, mas não apagados. Considerada responsável pelo vazamento, a polícia foi multada em um valor recorde de € 900.000 pela Autoridade de Proteção de Dados do Reino Unido (DPA).

Em um contexto semelhante, o ICO também sancionou o conselho de Southend-on-Sea: em resposta a um pedido de acesso a documentos administrativos, o conselho forneceu uma planilha que ainda continha dados pessoais.

Autoridades de proteção de dados de 16 jurisdições, incluindo Austrália, Canadá, China, Espanha e Reino Unido, adotaram uma declaração conjunta sobre tecnologias de "raspagem de dados" à margem da conferência internacional de autoridades de proteção de dados.

A declaração enfatiza que as organizações devem cumprir as leis de proteção de dados ao usar informações pessoais, incluindo informações de suas próprias plataformas, para desenvolver grandes modelos de linguagem de IA (LLMs).

A declaração, publicada em 28 de outubro, descreve outras expectativas, incluindo a de que as organizações:

• Eles implementam uma combinação de medidas de segurança, revisam e atualizam-nas regularmente para acompanhar os avanços nas técnicas e tecnologias de extração de dados; e
• Eles garantem que a extração de dados autorizada para fins comerciais ou socialmente benéficos seja realizada em conformidade com a lei e com rigorosas condições contratuais.

Em meados de outubro, realizou-se na Itália a reunião do G7, grupo de autoridades de proteção de dados, com o objetivo de fortalecer a colaboração entre as autoridades em nível global.

Foi adotada uma declaração sobre o papel das autoridades para garantir que a IA seja usada de forma responsável.

Também foi divulgada uma declaração que destaca a importância de um mecanismo robusto para fluxos de dados transfronteiriços que proteja os dados pessoais globalmente.

Em 20 de outubro, a Agência Australiana de Proteção de Dados (DPA) publicou dois documentos de orientação sobre proteção de privacidade e inteligência artificial:

• Um guia sobre o uso de produtos de IA disponíveis comercialmente;
• Um guia sobre como desenvolver e treinar modelos generativos de IA.

Entre os pontos principais relativos ao primeiro guia, a APD destaca que

• As obrigações de privacidade aplicam-se a quaisquer informações pessoais inseridas em um sistema de IA, bem como aos dados de saída gerados por IA (quando estes contêm informações pessoais).
• Se sistemas de IA forem usados para gerar ou inferir informações pessoais, incluindo imagens, isso constitui uma coleta de informações pessoais que deve estar em conformidade com os princípios de proteção de dados.

Como prática recomendada, a APD aconselha que as organizações não insiram informações pessoais, e em particular informações sensíveis, em ferramentas de IA generativa disponíveis publicamente, devido aos riscos significativos e complexos de privacidade envolvidos.

Comunicações internas do TikTok tornadas públicas em outubro mostraram que a empresa não estava preocupada com os efeitos nocivos do aplicativo sobre os adolescentes americanos, embora sua própria pesquisa tenha destacado diversas preocupações.

Esses documentos confidenciais fazem parte de uma investigação de mais de dois anos conduzida por 14 procuradores-gerais dos Estados Unidos.

O processo alega que o TikTok foi projetado com a intenção expressa de viciar os jovens no aplicativo e que a empresa enganou o público sobre os riscos envolvidos.

Segundo a NPR, que teve acesso aos documentos, o TikTok determinou o número exato de visualizações (260) necessárias para que uma pessoa fosse considerada propensa a se tornar viciada na plataforma.

Segundo investigadores estaduais, "embora isso possa parecer significativo, os vídeos do TikTok podem ter apenas 8 segundos de duração e são reproduzidos pelos espectadores em rápida sucessão automática. (...) Assim, em menos de 35 minutos, o usuário médio provavelmente se torna viciado na plataforma."

O Internet Archive está atualmente sofrendo uma onda de ataques cibernéticos.

A primeira série de ataques, divulgada em meados de outubro, consistiu em diversos ataques DDoS. Os hackers também revelaram que haviam obtido acesso aos dados de 31 milhões de usuários.

No final de outubro, a organização foi novamente vítima de uma intrusão, desta vez em sua plataforma de suporte por e-mail Zendesk, após ter sido repetidamente alertada sobre um roubo de tokens de autenticação.