Boletim Jurídico nº 68 – Fevereiro de 2024.

Controles da CNIL: quais são as prioridades para 2024? ?

Como todos os anos, a CNIL publicou no início de 2024 um balanço de suas atividades passadas e suas prioridades para os próximos meses.

Isso indica controles cada vez mais rigorosos, que se tornam mais eficientes com a implementação de um procedimento simplificado para determinados casos.

No ano passado, as verificações afetaram diversos setores, como publicidade e comércio online, segurança, geolocalização de veículos, direitos dos trabalhadores e processamento de dados de saúde.

A CNIL sancionou tanto multinacionais quanto PMEs, assim como entidades públicas e privadas.

No entanto, a Comissão parece ter se dado conta dos esforços adicionais necessários para que os responsáveis por pequenas organizações cumpram o RGPD.

Ela observa, em um estudo sobre o impacto econômico do GDPR publicado em 1º de março, que "o GDPR é proporcionalmente mais favorável aos grandes agentes econômicos, que têm mais recursos para dedicar à conformidade".

Ela conclui que "o regulador deve compensar ativamente essa tendência com uma política exigente em relação aos grandes players, e ainda mais em relação aos muito grandes, proporcionalmente aos riscos que representam e aos recursos que têm à sua disposição."

Assim, como também especifica a declaração conjunta da CNIL e da Autoridade da Concorrência de dezembro de 2023, a CNIL já assume, e assumirá ainda mais no futuro, uma dimensão assimétrica em sua atuação regulatória sobre os mercados digitais.aliado a uma compreensão completa dos modelos de negócios, para o benefício dos indivíduos e a proteção de seus direitos fundamentais.

Entre as medidas anunciadas este ano, como era de se esperar, estão os arquivos relacionados aos Jogos Olímpicos e Paralímpicos de 2024 e o direito dos indivíduos de acessar seus dados.

Em relação aos Jogos OlímpicosA CNIL pretende verificar a utilização que será feita dos dispositivos de segurança e, em particular, a utilização de câmaras de realidade aumentada, códigos QR para áreas de acesso restrito e autorizações de acesso.

O volume de dados e o número de parceiros envolvidos no evento também levarão a Comissão a verificar a utilização dos dados de bilhetes, a fim de evitar a reutilização fraudulenta dos dados das pessoas em causa.

Note-se que a questão da utilização do reconhecimento facial pelas autoridades policiais também está incluída nas prioridades do Comité Europeu para a Proteção de Dados (CEPD) no seu programa de trabalho para 2023-2024.

O direito dos indivíduos de acessar seus dados é o tema da ação coordenada do CEPD para 2024 (ver também abaixo).

Em 2023, o CEPD adotou diretrizes sobre este tema para ajudar os responsáveis pelo tratamento de dados a implementar procedimentos de acesso, complementares aos publicados pela CNIL.

A CNIL também se concentrará nos dados coletados online de menores. Será verificado se os mecanismos de controle de idade estão implementados, quais medidas de segurança estão planejadas e se o princípio da minimização de dados está sendo respeitado.

Por fim, analisará o impacto da desmaterialização dos comprovantes de caixa e do uso de programas de fidelidade sobre os direitos individuais..

Substituir recibos em papel por SMS ou e-mail, por exemplo, implica a coleta de dados adicionais.

A CNIL especifica que esses dados, assim como as informações relativas às compras dos indivíduos, só podem ser utilizados para fins de publicidade direcionada com o consentimento prévio das pessoas em questão.

Por fim, é importante notar que a CNIL pode analisar um caso independentemente das prioridades identificadas, com base em uma denúncia, uma publicação na imprensa ou um relatório de uma autoridade de proteção de dados de outro país europeu.

 

    

• Em 31 de janeiro, a CNIL aplicou uma multa de 100.000 euros à prestadora de serviços imobiliários PAP.

A CNIL (Autoridade Francesa de Proteção de Dados) identificou deficiências relativas aos períodos de retenção de dados, à informação prestada aos titulares dos dados, à gestão da relação entre o PAP (Ponto de Acesso Pessoal) e um subcontratado, e à segurança dos dados (armazenamento de senhas em texto simples). As falhas de segurança identificadas expuseram os dados a riscos de ciberataques e fugas de informação.

• Em 31 de janeiro, a autoridade também multou a FORIOU em 310.000 euros por usar dados fornecidos por corretores de dados para fins de prospecção comercial, sem garantir que as pessoas em questão tivessem dado seu consentimento válido para serem contatadas.

A CNIL lembra-nos que é da responsabilidade da empresa que utiliza os dados garantir que as pessoas em causa tenham dado o seu consentimento válido previamente, no momento da recolha.

A Comissão observou que, embora a empresa impusesse certos requisitos contratuais aos seus fornecedores de dados a montante, não exercia um controle efetivo desses requisitos a jusante.

• Em 30 de janeiro, o Conselho de Estado considerou que as transferências automáticas de dados fiscais entre a França e os Estados Unidos, ao abrigo do acordo FATCA, não infringem os artigos 5.º e 46.º do RGPD, uma vez que a ausência de uma decisão de adequação não impede as transferências de dados "necessárias por importantes razões de interesse público".

A Associação de Americanos Acidentais solicitou ao Conselho de Estado que anulasse a decisão da CNIL, que havia concluído pelo indeferimento de sua queixa.

O Conselho de Estado considerou que a CNIL justificou suficientemente a sua decisão.

Note-se que, sobre o mesmo assunto, a autoridade belga de proteção de dados chegou a uma conclusão diferente e proibiu a transferência de dados fiscais de cidadãos belgas que se tornaram americanos por acidente para os Estados Unidos.

• A startup francesa Mistral, especializada em desenvolvimento de IA, anunciou uma parceria estratégica com a Microsoft em 26 de fevereiro.

Segundo o jornal Le Monde, este anúncio está causando atritos em Bruxelas, na sequência de intensos esforços de lobby, particularmente por parte da França, para favorecer as startups europeias e limitar as obrigações que lhes dizem respeito na futura regulamentação da IA.

Os eurodeputados do Partido Verde enviaram uma carta à Comissão Europeia levantando questões sobre potenciais conflitos de interesses e problemas de transparência relativos ao lobby da Mistral sobre este regulamento.

• Em meados de janeiro, a ANSSI publicou três guias com o objetivo de "gerenciar a remediação de um incidente cibernético".

Esses guias são compostos por três partes: estratégica, operacional e técnica.

A agência destaca que "se um incidente grave for parcialmente ou mal remediado, seus efeitos podem se prolongar ao longo do tempo".

"Este elevado potencial de desestabilização exige (...) experiência na contenção destes ciberataques, na recuperação do controlo do sistema de informação comprometido e na restauração de um estado de funcionamento adequado."

A remediação é uma dimensão fundamental da resposta a incidentes cibernéticos, juntamente com a investigação e a gestão de crises.

• Após oito meses de testes, a carteira de habilitação digital está disponível desde 14 de fevereiro para todos que a solicitarem.

Com o aplicativo de identidade francês, também é possível digitalizar seu documento de identidade e utilizá-lo para determinados procedimentos, como a outorga de uma procuração.

 

Instituições e órgãos europeus

• Em 28 de fevereiro, o CEPD lançou seu "quadro coordenado para investigações" (CFE) para 2024.

Ao longo do ano, as autoridades europeias de proteção de dados (APD) participarão nesta iniciativa sobre a implementação do direito de acesso.

Na sua sessão plenária de outubro de 2023, o CEPD escolheu o direito de acesso para a sua terceira ação de implementação coordenada, "porque está no cerne da proteção de dados e é um dos direitos de proteção de dados mais frequentemente exercidos, e sobre o qual as autoridades de proteção de dados recebem muitas queixas".

• O CEPD (Comitê Europeu para a Proteção de Dados) emitirá em breve um parecer decisivo sobre o modelo de negócios "aceitar ou pagar", que exige pagamento para acesso ao conteúdo de sites por parte de visitantes que recusam cookies.

A Meta adotou essa abordagem em novembro de 2023, o que levou as autoridades de proteção de dados holandesas, norueguesas e de Hamburgo a solicitarem ao CEPD (Comitê Europeu para a Proteção de Dados) a adoção de um parecer vinculativo sobre a legalidade dessa prática.

A sociedade civil teme que, se esse modelo econômico for legitimado, empresas de todos os setores industriais seguirão o exemplo da Meta, o que poderia marcar o fim do consentimento genuíno para o uso de dados.

Vinte e oito ONGs enviaram uma carta ao CEPD (Comitê Europeu para a Proteção de Dados) instando-o a emitir um parecer que proteja o direito fundamental à proteção de dados.

• Durante a sua sessão plenária em meados de fevereiro, o CEPD adotou um parecer que esclarece o conceito de estabelecimento principal no contexto do "balcão único".

As empresas não podem simplesmente criar um estabelecimento principal "colocando uma placa na porta": o estabelecimento deve ser o local onde as decisões de tratamento de dados são tomadas e, se essas decisões forem tomadas no exterior, não pode haver um estabelecimento principal: o princípio do balcão único não se aplica. O CEPD também adotou uma declaração apelando aos legisladores da UE para que garantam que o regulamento CSAM, destinado a proteger os direitos das crianças online, respeite os direitos à privacidade e à proteção de dados. 

• O Parlamento Europeu, e mais especificamente a subcomissão da defesa, estava em alerta máximo no final de fevereiro, após a descoberta de vestígios de invasão cibernética nos telefones de dois dos seus membros, aumentando os receios de ciberataques e interferência estrangeira na preparação para as eleições europeias de junho.

Em dezembro passado, o Politico noticiou que a cibersegurança da instituição "ainda não atingiu os padrões da indústria" e "não está totalmente em conformidade com o nível de ameaça" representado pelos hackers.

Essas novas revelações seguem incidentes anteriores em que outros membros do Parlamento Europeu foram alvo dos spywares Pegasus e Predator.

• Em 19 de fevereiro, a Comissão Europeia iniciou uma investigação sobre os direitos das crianças no TikTok.

Ela suspeita, em particular, de violações relativas à transparência e às obrigações de proteção de menores ao abrigo do Regulamento de Serviços Digitais (DSA), incluindo design viciante, verificação de idade inadequada e configurações de privacidade padrão insuficientes. O DSA está em vigor na UE desde 17 de fevereiro.

• Os Estados-Membros da UE, com o apoio da Comissão Europeia e da Agência da União Europeia para a Cibersegurança (ENISA), publicaram um relatório em 21 de fevereiro sobre a cibersegurança e a resiliência das infraestruturas e redes de comunicação europeias.

Este relatório surge na sequência de uma avaliação feita pelos Estados-Membros sobre os riscos associados a estas infraestruturas e redes.

A avaliação identificou diversas ameaças, como wipers, ataques de ransomware, ataques à cadeia de suprimentos, ataques físicos e sabotagem.

• Em 13 de fevereiro, o Tribunal Europeu dos Direitos Humanos (TEDH) proferiu sua decisão no caso Podchasov sobre a coleta e o acesso da Rússia às comunicações privadas dos cidadãos.

Em meio ao debate sobre os supostos perigos das comunicações criptografadas, o Tribunal indicou claramente que enfraquecer a criptografia das comunicações para todos os cidadãos não era justificado.

Segundo E. Tuchtfeld, "esta decisão envia uma mensagem importante não só ao Estado russo, mas também a outros governos europeus que estejam a considerar instalar 'portas traseiras' em serviços de mensagens encriptadas como o Telegram, o Signal ou o WhatsApp."

• O Tribunal Europeu dos Direitos Humanos também considerou, em acórdão de 15 de fevereiro, que a retenção sistemática e indiscriminada de dados de telecomunicações utilizados na Eslovênia contra um ex-juiz durante seu julgamento deveria ser considerada uma violação de seu direito à privacidade.

Na época da condenação do requerente, os provedores de serviços de comunicação eram obrigados a reter dados de telecomunicações de forma sistemática e indiscriminada por um período de 14 meses.

O Tribunal considerou que tal conservação não se enquadrava nos limites do que é necessário numa sociedade democrática.

A retenção, o acesso e o processamento de dados no contexto do processo penal contra o requerente violaram, portanto, o seu direito ao respeito pela vida privada.

 

Notícias dos países membros da Europa.

• Na Bélgica, a Autoridade Belga de Proteção de Dados (APD) disponibilizou em seu site uma seção intitulada "Documentos para o DPO".

Inclui, em particular, decisões judiciais e da APD relacionadas com os DPOs, por exemplo, sobre temas como conflito de interesses e proteção contra despedimento.

• A Autoridade Belga de Proteção de Dados também considerou que, independentemente da retirada de uma queixa, ainda tinha o poder de declarar uma violação dos direitos da pessoa em causa e de impor uma multa devido ao incumprimento do RGPD.
• A Autoridade Italiana de Proteção de Dados (APD) anunciou em 29 de fevereiro que aplicou uma multa de mais de 79 milhões de euros à Enel Energia por graves violações no tratamento de dados pessoais de numerosos utilizadores do setor de eletricidade e gás, realizado para fins de telemarketing.
• A APD também multou o município de Siracusa em 5.000 euros por não fornecer os dados de contato do DPO, em conformidade com o Artigo 37 do RGPD.
• A Autoridade Grega de Proteção de Dados (APD) multou um controlador de dados em 5.000 euros porque seu encarregado de proteção de dados (EPD) não respondeu, apesar de vários lembretes, ao questionário que lhe foi enviado no contexto da ação europeia coordenada das APDs em 2023.
• Na Espanha, a APD (Autoridade de Proteção de Dados) recusou-se a permitir que as obrigações de diligência devida contra a lavagem de dinheiro fossem usadas como desculpa para que um banco obrigasse um reclamante a fornecer detalhes sobre a origem do seu dinheiro por meio de e-mails não criptografados.

O tribunal impôs uma multa de 2.500.000 euros ao responsável pelo tratamento de dados.

• A Autoridade Dinamarquesa de Proteção de Dados, em sua quinta decisão relacionada ao Chromebook, constatou que 53 municípios compartilharam ilegalmente dados pessoais de estudantes com o Google para fins de desenvolvimento do próprio Google, em violação ao Artigo 6(1)(e) do GDPR.
• No Reino Unido, a Autoridade de Proteção de Dados (DPA) multou o Ministério da Defesa britânico em 409.080 euros (350.000 libras esterlinas) por divulgar 265 endereços de e-mail de pessoas que tentavam deixar o Afeganistão após a ascensão do Talibã ao poder em 2021.
• O Serviço Federal de Inteligência Suíço (FIS) está sendo implicado pela revista Republik, que publicou uma investigação em meados de janeiro alegando que o FIS tem acesso aos e-mails de todos os cidadãos suíços e que monitora massivamente suas comunicações sob uma lei de 2016.

Os dados seriam coletados diretamente dos cabos de comunicação, por meio de equipamentos instalados na infraestrutura dos provedores de serviços de internet. A SRC nega essas acusações (por meio da carta da AFCDP).

• Um ciberataque contra uma empresa americana levou à divulgação de informações sensíveis sobre a Força Aérea Suíça na dark web.

O grupo de hackers ALPHV reivindicou a autoria do ataque, que resultou na divulgação de documentos confidenciais, incluindo um contrato de 5 milhões de dólares entre a Suíça e a Ultra Intelligence & Communications, uma fornecedora de tecnologias de criptografia e comunicação para o setor de defesa.

Em julho de 2023, um ataque semelhante atingiu a empresa suíça Xplain, seguido, em novembro, por um ataque à empresa de software Concevis, que também trabalha para o setor de defesa e a administração tributária.

 

• Em 28 de fevereiro, o governo Biden adotou uma ordem executiva com o objetivo de proteger os dados pessoais sensíveis dos americanos contra a exploração por certos países terceiros ("países de preocupação").

Este decreto autoriza o Procurador-Geral a impedir a transferência em larga escala de dados pessoais de cidadãos americanos para países que suscitem preocupações e prevê salvaguardas para outras atividades que possam permitir que esses países tenham acesso a dados sensíveis de cidadãos americanos.

Esses dados incluem, em particular, dados genômicos, biométricos, de saúde, de geolocalização e financeiros.

• Em fevereiro, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) publicou medidas concretas para integrar a segurança em todas as fases do ciclo de desenvolvimento de software.

O guia recomenda que os fabricantes priorizem uma série de medidas concretas, incluindo o estabelecimento de requisitos básicos de segurança para a integração de software de código aberto e a ampliação do monitoramento de "dados de procedência".

• Nos Estados Unidos, a Comissão Federal de Comércio (FTC) também acaba de proibir a Avast de vender os dados de navegação de seus clientes para fins publicitários.

A FTC estava investigando alegações de que a Avast vendia dados de navegação enquanto afirmava que seus produtos bloqueavam o rastreamento online. A Avast foi multada em US$ 16,5 milhões.

Note-se que a Autoridade de Proteção de Dados Checa já havia sancionado a empresa em abril de 2023 pelos mesmos motivos.

• As alterações à lei de proteção de dados da Geórgia entraram em vigor em 1º de março.

Essas alterações visam garantir uma proteção mais próxima daquela prevista no RGPD (Regulamento Geral sobre a Proteção de Dados). 

As operadoras de telefonia móvel e seus provedores de serviços de SMS agora estão proibidos de usar dados pessoais dos cidadãos para fins de marketing direto sem o seu consentimento prévio.

Além disso, agora é obrigatório que instituições públicas e certas empresas privadas nomeiem um encarregado de proteção de dados.

• O Comissário de Proteção de Dados Pessoais de Hong Kong (PDPC) realizou verificações de conformidade em 28 organizações locais entre agosto de 2023 e fevereiro de 2024, relativamente ao processamento de dados pessoais no contexto da utilização de IA.

O exercício abrangeu diversos setores, incluindo telecomunicações, finanças e seguros, serviços de beleza, varejo, transporte, educação e ministérios governamentais.

O PCPD não encontrou nenhuma violação, embora tenha observado que um número crescente de organizações, tanto públicas quanto privadas, está implementando IA para melhorar sua eficiência operacional diária.