Decisão do WhatsApp: Fim da impunidade para as GAFAM na Europa?

Legal Watch nº 38 – Agosto de 2021

Decisão do WhatsApp: Fim da impunidade para as GAFAM na Europa? Em uma notícia anterior, relatamos as dificuldades em chegar a um acordo em nível europeu sobre a implementação do Regulamento Geral de Proteção de Dados. 

A recente decisão do regulador irlandês em relação ao WhatsApp demonstra mais um progresso na cooperação entre autoridades de supervisão estabelecida pelo GDPR.

A multa administrativa de 225 milhões de euros aplicada ao WhatsApp em 2 de setembro pela Irlanda segue várias reviravoltas dentro do Conselho Europeu de Proteção de Dados (EDPB).

No âmbito do procedimento de resolução de litígios previsto no artigo 65.º do RGPD, o Comité obrigou a Irlanda a rever as suas conclusões : teve, assim, que ampliar os elementos da infração, aumentar significativamente o valor da multa e encurtar os prazos concedidos ao Whatsapp para cumprir a decisão.

No cálculo da multa, o Comitê considerou que não só o faturamento do WhatsApp, mas também o de sua controladora, o Facebook, deveria ser levado em consideração.

Considerou ainda que, em caso de múltiplas infrações para o mesmo tratamento de dados, as infrações deveriam ser somadas – mantendo-se, no entanto, abaixo do limite de 4% de volume de negócios previsto no RGPD.

Vale ressaltar que a multa, por mais substancial que pareça, representa apenas 0,08% do faturamento do Facebook.

O que é instigante quando consideramos que as autoridades irlandesas estavam inicialmente planejando uma multa de 50 milhões de euros.

Lembremo-nos disso A autoridade de proteção de dados de Luxemburgo multou a Amazon em € 746 milhões no início de agosto., a maior multa já imposta pelo GDPR.

A questão principal da investigação era se o WhatsApp estava cumprindo com suas obrigações de informação para com seus usuários, bem como para com não usuários cujos dados também são coletados.

Os avisos informativos foram considerados complexos, impossibilitando a compreensão adequada dos interesses legítimos perseguidos pela empresa.

O uso da funcionalidade "acesso aos contatos" pelos usuários é completamente opaco para os referidos contatos, cujos dados são processados mesmo que eles próprios não necessariamente utilizem o aplicativo.

Além de uma violação dos artigos 12.º, 13.º e 14.º do RGPD relativamente às obrigações de informação, o Comité conclui, assim, que as violações são suficientemente graves para constituir uma violação do artigo 5.º(1)(a) do RGPD relativamente ao princípio geral da transparência.

A decisão da autoridade irlandesa, reforçada pelo Comité, constitui um marco útil para os responsáveis pelo tratamento de dados no que diz respeito às obrigações de informação do RGPD.

As seguintes diretrizes são mantidas:

–           Evite espalhar informações em páginas diferentes, exigindo que o usuário clique em vários links, além de menus suspensos infinitos e concentrando informações em um só lugar.

–           Descreva as operações de processamento, os dados coletados e a base legal para cada finalidade identificada.

Especifique também essas informações para cada terceiro que tenha acesso aos dados.

Exibir esses diferentes elementos em forma de tabela pode ajudar a entendê-los claramente.

–           Disponibilizar informaçõesn referente a “não usuários” de forma separada e facilmente acessível.

–           Especifique as circunstâncias em que os dados serão retidos / suprimido, com ilustrações concretas.

–           Indique a base jurídica permitindo a transferência de dados para fora da União Europeia, especificando, caso não haja decisão de adequação, a base jurídica alternativa.

Uma referência genérica a uma página web da Comissão Europeia não é suficiente.

.

E também

França:

A CNIL continua suas ações de conformidade em relação aos cookies.

Ela abordou uma segunda série de avisos formais durante o verão, contra vários players de vendas online, grandes plataformas da economia digital, autoridades locais e o setor bancário.

Ela também tem sancionado No dia 27 de julho, a empresa Figaro pagou 50.000 euros para o depósito de cookies de publicidade sem o consentimento dos usuários da Internet.

Ela aproveita a oportunidade para relembrar a divisão de responsabilidades entre os editores do site e seus parceiros comerciais.

Uma falha no computador ocorreu tornado acessível os dados pessoais de cerca de 700.000 pessoas que fizeram um teste de Covid.

Essa violação de segurança destaca a confiabilidade variável dos serviços de transferência usados pelos farmacêuticos para alimentar a plataforma SI-DEP do governo.

Embora a plataforma SI-DEP em si seja segura, nem todo middleware é.

A Direção-Geral da Saúde (DGS) enviou um e-mail aos farmacêuticos para relembrar o software homologado e compatível com o SI-DEP.

O do Francetest, identificado na falha tornada pública em 31 de agosto, não fazia parte dela.

A CNIL lembrar no contexto atual de início do ano letivo, as exigências a cumprir no âmbito da utilização da biometria nas escolas.

Ele examina o reconhecimento do contorno das mãos para acesso a cantinas escolares e descreve os requisitos de informação, consentimento e segurança de dados.

Ela acrescenta que a recusa em processar dados biométricos e, portanto, em acessar o refeitório por outro meio, não deve causar danos ao aluno em questão.

Europa:

Crédito ao consumidor: A Autoridade Europeia para a Proteção de Dados (EDPS) publicou um parecer sobre a proposta de Diretiva da Comissão Europeia em 26 de agosto.

A causa são novos métodos de avaliação de crédito usando tecnologias digitais.

Se tais avaliações forem essenciais para a concessão de crédito ao consumidor, a AEPD solicita que determinados dados sejam excluídos dos procedimentos de avaliação.

Além dos dados de saúde e de mídia social, o EDPS quer que a proibição seja estendida a todos os dados sensíveis (por exemplo, relativos à religião e opiniões políticas), bem como aos dados de navegação dos usuários da Internet.

O Controlador também aponta a necessidade de melhor regulamentar a atuação de terceiros que prestam serviços de análise de crédito e a certificação de sistemas de inteligência artificial neste setor.

Reconhecimento facial: Conselho da Europa publica orientações destinadas a fornecer um conjunto de medidas de referência para governos, desenvolvedores de reconhecimento facial, fabricantes, provedores de serviços e entidades que usam tecnologias de reconhecimento facial.

O objetivo é garantir que, quando forem mobilizados, não infrinjam a dignidade humana, os direitos humanos e as liberdades fundamentais, incluindo o direito à proteção de dados pessoais.

Itália: A Autoridade de Proteção de Dados (Garante) multou a Deliveroo em € 2,5 milhõess por uso não transparente de um algoritmo para gerenciar seus motoristas de entrega e coleta desproporcional de seus dados pessoais em violação aos princípios de legalidade, transparência, minimização e limitação do GDPR.

Internacional:

A República Popular da China adotou em 20 de agosto uma lei sobre a proteção de informações pessoais (PIPL).

Esta lei entrará em vigor em 1º de novembro de 2021. 

Seu objetivo não é apenas proteger dados individuais, mas também a segurança do Estado e os interesses econômicos do país em relação aos GAFAM.

A lei contém obrigações rígidas quanto ao armazenamento local de dados e restrições às transferências internacionais.

A tomada do Afeganistão pelo Talibã também tem repercussões na área da proteção de dados.

Vários arquivos, incluindo aquele administrado pelos Ministérios do Interior e da Defesa, conteria informações particularmente sensíveis.

Os dados em questão incluem dados policiais e do exército sobre meio milhão de pessoas: sobrenome, nome, mas também número de identificação vinculado a um perfil biométrico, dados de carreira e relações familiares, bem como dados pessoais de dois "anciãos" das tribos, que atuam como fiadores durante o recrutamento.

Todas essas informações, quando mudam de mãos, podem ajudar a mapear conexões entre comunidades locais e grupos étnicos.