Padrões obscuros: o que você sempre quis saber, mas tinha medo de perguntar...

Legal Watch nº 45 – março de 2022.

Este termo inglês difícil de traduzir é encontrado em muitas publicações sobre tecnologia da informação. 

Semelhantes ao "nudging", que visa encorajar sutilmente os usuários da Internet a adotarem o comportamento desejado, os "dark patterns" visam o mesmo objetivo por meio do design de interfaces da web.

Em 14 de março, o Conselho Europeu de Proteção de Dados adotou diretrizes sobre "padrões obscuros" nas interfaces de plataformas de mídia social. 

O documento, que está sujeito a consulta pública, é direcionado aos usuários para ajudá-los a identificar essas técnicas, e aos designers, a quem oferece as melhores práticas para facilitar a conformidade com o GDPR. 

O documento lista, no que se assemelha a um inventário no estilo Prévert, diferentes práticas: 

• Sobrecarga de informação confronta o usuário com uma avalanche de dados ou opções (por exemplo, uma lista infinita de destinatários de cookies), levando-o a compartilhar mais informações do que deseja. 

• Pular leva o usuário a esquecer de verificar certas condições de uso de seus dados, por exemplo, desviando sua atenção para outro lugar.

• Mexendo influencia as escolhas dos usuários ao jogar com suas emoções (por exemplo, para encorajá-los a não cancelar a assinatura de uma rede social)

• Obstrução (dificultando) impede que os internautas façam suas escolhas por meio de links não funcionais, informações mais longas do que o necessário ou enganosas.

• Inconsistência de design (inconstante) dificultará a navegação pelas ferramentas de controle, por meio de uma apresentação de informações descontextualizada ou não hierárquica.

• Por fim, o design pode deixar o internauta no escuro, uso de informações conflitantes e ambíguas (botões de cores diferentes ativados ou desativados por padrão) ou uma descontinuidade nos idiomas usados (troca do francês para o inglês).

Seria quase possível ficarmos maravilhados com tais técnicas e imaginação, se essas práticas não fossem ilegais porque são contrárias ao princípio de lealdade estabelecido no Artigo 5(1)(a) do RGPD, bem como aos princípios de transparência, minimização de dados, responsabilização, finalidade e validade do consentimento.

As diretrizes do EDPB fornecem exemplos para cada tipo de técnica e conselhos para simplificar as escolhas dos usuários. 

Boas práticas incluem: 

• Usando atalhos para habilitar ações rápidas (cancelar assinatura de uma conta).

• O uso de banners ou pop-ups em caso de alteração ou risco específico (violação de segurança, por exemplo).

• O uso de uma linguagem simples e consistente.

• Uma lista de definições.

• O uso de exemplos.

• Explicação das consequências das diferentes opções propostas.

• A exibição sistemática do mapa do site e um botão “voltar” que permite ao usuário retomar sua navegação.

Cabe destacar que as decisões da CNIL de janeiro passado contra o Google e o Facebook, que multaram essas empresas em 150 e 60 milhões de euros, respectivamente, punem o uso de padrões obscuros no uso de cookies: as interfaces ofereciam uma opção simples para ativar os cookies, com um clique, enquanto várias ações eram necessárias para recusar todos os cookies. 

Embora a atenção das autoridades de supervisão tenha se concentrado até agora nos cookies, um conjunto mais amplo de práticas está agora em jogo. O papel dos designers de interface está se tornando cada vez mais crucial.

E também

França:

Uma investigação judicial foi aberta pela seção de crimes cibernéticos do Ministério Público de Paris sobre um vazamento massivo de dados médicos. 

Acredita-se que o vazamento de dados tenha afetado aproximadamente 500.000 pessoas e tenha se originado de cerca de trinta laboratórios de biologia médica. Investigações também estão sendo conduzidas pela ANSSI e pela CNIL, em conjunto com a editora do software de gerenciamento utilizado pelos laboratórios.

Outro grande vazamento de dados levou o Fundo Nacional de Seguro de Saúde a emitir uma declaração em 17 de março afirmando que as contas de pelo menos 19 profissionais de saúde no portal Amelipro foram comprometidas por hackers.  

Os dados de identificação e números de previdência social de aproximadamente 500.000 segurados são afetados por esse ataque cibernético.

Ainda no setor da saúde, o prontuário médico compartilhado (PDC) foi integrado ao espaço digital de saúde (ENS, ou “Meu espaço de saúde”) em janeiro de 2022.  

A CNIL disponibiliza em seu site um lembrete sobre como esses dois sistemas funcionam e os direitos das pessoas envolvidas.

Em 28 de junho de 2022, a CNIL organizará a primeira edição do Privacy Research Day em Paris., uma conferência internacional dedicada à pesquisa no campo da privacidade e proteção de dados pessoais.

Europa: 

Um acordo está em vista entre a Europa e os Estados Unidos sobre a transferência de dados pessoais. 

Ursula Von der Leyen e Joe Biden anunciaram um acordo político sobre o assunto em 25 de março, anúncio esclarecido pelo comissário europeu para a Justiça, Didier Reynders, que indicou que se tratava de um acordo sobre os "princípios" de um futuro acordo transatlântico. 

O novo quadro legal sucederia os "Princípios Safe Harbour" e o "Privacy Shield", ambos declarados obsoletos pelo Tribunal de Justiça Europeu por não conformidade com os princípios europeus de proteção de dados. 

A extensão proposta pela Comissão Europeia dos regulamentos do certificado Covid (EUDCC) está na mira das autoridades de proteção de dados. 

O AEPD e o CEPD expressaram reservas quanto à falta de uma avaliação de impacto antes das propostas da Comissão para renovar esses certificados por um ano.  

O Comité e a Autoridade Europeia para a Proteção de Dados reconheceram, contudo, que a extensão dos tipos de testes aceites e a inclusão no certificado do número de doses administradas não alteraram substancialmente as disposições atuais.

Em meados de março, funcionários da Amazon entraram com uma solicitação em massa de acesso aos dados que a empresa mantém sobre eles, a fim de verificar as condições de vigilância em seus locais de trabalho.  

Os requerentes, da Alemanha, Reino Unido, Itália, Polônia e Eslováquia, fizeram sua solicitação nos termos do Artigo 15 do GDPR em cooperação com o Sindicato Global dos Trabalhadores (UNI) e a ONG NOYB.  

Além das suas diretrizes sobre “padrões obscuros” nas redes sociais, O Conselho Europeu para a Proteção de Dados adotou diretrizes sobre a aplicação do Artigo 60 do GDPR referente à cooperação entre autoridades de proteção de dados em sua reunião plenária de 14 de março. 

Este documento visa melhorar a aplicação das disposições da janela única. 

O sistema prevê uma autoridade de contato para empresas estabelecidas na União Europeia com base em seu principal local de estabelecimento e um procedimento de cooperação com todas as outras autoridades envolvidas devido a reclamações ou estabelecimentos anexados em seu país. 

A Autoridade Italiana de Proteção de Dados multou a Clearview IA em € 20.000.000 em 10 de fevereiro. por usar sistemas de reconhecimento biométrico em fontes públicas da internet, em violação ao GDPR. Ordenou a exclusão dos dados. A Autoridade de Proteção de Dados do Reino Unido multou um escritório de advocacia em € 117.000 em 28 de fevereiro. por violação dos artigos 5(1)(f) e 32 do RGPD e, em particular, por não implementação de medidas de segurança adequadas. 

Espanha aprovou código de conduta em 17 de fevereiro sobre proteção de dados no contexto de ensaios clínicos e farmacovigilância.

A Autoridade Irlandesa de Proteção de Dados multou a Meta (antiga Facebook) em € 17 milhões em 15 de março após várias violações de segurança. : a autoridade de supervisão considerou que a empresa não havia tomado as medidas técnicas e organizacionais necessárias para garantir a segurança dos dados. 

A decisão foi tomada após um procedimento de cooperação com as outras autoridades europeias de supervisão envolvidas no caso (art. 60 do RGPD).

Na Alemanha, a Autoridade de Proteção de Dados de Bremen multou uma empresa de administração de imóveis (Brebau GmbH) em € 1.900.000 em 3 de março por processar ilegalmente dados confidenciais. envolvendo mais de 9.500 inquilinos candidatos. 

Cor da pele, religião, orientação sexual, estado de saúde, penteado e odor corporal estavam entre os dados processados.

Internacional: 

Em uma ordem de liquidação datada de 4 de março, A Comissão Federal de Comércio dos Estados Unidos exige que a WW International (Weight Watchers) destrua algoritmos ou modelos de inteligência artificial projetados usando dados pessoais de menores. sem consentimento prévio dos pais. 

A empresa também foi multada em US$ 1,5 milhão e obrigada a destruir os dados coletados ilegalmente. 

Esta é a terceira vez que a FTC exige a destruição de um algoritmo de inteligência artificial em uma ordem de acordo.  

O Sri Lanka adotou uma lei sobre a proteção de dados pessoais em 19 de março de 2022.

A Nokia, que anunciou que estava interrompendo suas operações na Rússia devido à guerra na Ucrânia, é acusada de deixar para trás um sistema de telecomunicações que permitia a vigilância da população russa. 

De acordo com documentos internos revelados pelo New York Times, a Nokia vem fornecendo à Rússia equipamentos e serviços há mais de cinco anos para conectar o sistema de vigilância russo SORM (Sistema para Atividades Investigativas Operacionais) ao maior serviço de telecomunicações da Rússia, o MTS.

Ana Cristina Lacoste  Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.