Decisões automatizadas: como o GDPR é implementado?

Legal Watch nº 47 – Maio de 2022

Decisões automatizadas: como o GDPR é implementado? Em 17 de maio, o Future of Privacy Forum publicou um extenso relatório sobre a questão das decisões automatizadas.

Este relatório analisa mais de 70 documentos que esclarecem como o Artigo 22 do GDPR é implementado por tribunais e tribunais, autoridades de proteção de dados europeias e do Reino Unido, bem como em diversas diretrizes e recomendações emitidas por reguladores sobre este assunto.

Embora as decisões automatizadas já estivessem regulamentadas na Diretiva Europeia 95/46/CE, o princípio assumiu uma nova dimensão desde a entrada em vigor do RGPD.

Portanto, ela é aplicável em contextos mais variados e frequentes, como os da inteligência artificial, e os APDs agora têm os meios para fazer cumprir a lei.

Este tipo de decisão é encontrado principalmente nas seguintes áreas:

• Controle de acesso e frequência em escolas utilizando tecnologias de reconhecimento facial

• Monitoramento online em universidades e avaliação automatizada de alunos

• Filtragem automatizada de candidaturas a emprego

• Gestão algorítmica de trabalhadores de plataforma

• Distribuição de benefícios sociais e detecção de fraude fiscal

• Avaliação de Crédito Automatizada

• Decisões de moderação de conteúdo em redes sociais

Vamos relembrar brevemente o princípio: O artigo 22.º do RGPD confere aos indivíduos o direito de não serem sujeitos a uma decisão baseada exclusivamente no tratamento automatizado, incluindo a criação de perfis, produzindo efeitos jurídicos a seu respeito ou afetando-o significativamente de forma semelhante.

A este respeito, importa referir que o Conselho Europeu para a Proteção de Dados esclareceu que os responsáveis pelo tratamento de dados não podem evitar a aplicação do artigo 22.º fazendo com que um ser humano simplesmente aprove as decisões tomadas pela máquina, sem ter a autoridade ou competência real para modificar o resultado.

Por outro lado, se o processo automatizado em questão apenas fornecer dados para uma decisão que será, em última análise, tomada por um ser humano, o processamento subjacente não se enquadra no âmbito do Artigo 22.

Nos termos do artigo 22(2), as decisões automatizadas continuam a ser possíveis quando são necessárias para a execução de um contrato, previstas por lei ou baseadas no consentimento explícito do indivíduo.

Nesses casos, o responsável pelo tratamento deverá, no entanto, fornecer medidas adequadas para salvaguardar os direitos, liberdades e interesses legítimos do titular dos dados, bem como o seu direito de obter pelo menos intervenção humana por parte do responsável pelo tratamento, de expressar o seu ponto de vista e de contestar a decisão.

Essa limitação estrita às decisões automatizadas deve ser lida no contexto mais amplo do GDPR e, em particular, seus requisitos relativos à legitimidade de qualquer processamento, à existência de uma base legal e às regras relativas aos chamados dados sensíveis — incluindo dados biométricos.

Os documentos analisados demonstram que as autoridades de supervisão e os tribunais aplicam rigorosamente estes princípios.

Eles insistem em particular nos seguintes elementos:

• A obrigação de transparência quanto aos parâmetros que conduzem a uma decisão automatizada;

• A aplicação do princípio da lealdade, para evitar a discriminação;

• As condições estritas para obter o consentimento da pessoa em questão.

Além disso, para decidir se uma decisão é exclusivamente automatizada, todo o contexto do processo de tomada de decisão será levado em consideração: estrutura organizacional do gestor, linhas hierárquicas, conscientização dos funcionários.

Para avaliar o impacto da decisão sobre o indivíduo, as autoridades examinam, em particular, se os dados de entrada de uma decisão automatizada incluem inferências sobre o comportamento dos indivíduos e se a decisão afeta o comportamento e as escolhas dos indivíduos em questão.

Em França, uma das decisões de referência é a da CNIL no processo Arquivo Clearview, em relação ao reconhecimento facial: a Comissão ordenou que a Clearview AI parasse de coletar imagens faciais de pessoas na França da internet para alimentar o banco de dados que treina seu software de reconhecimento facial e excluísse as imagens coletadas anteriormente, dentro de dois meses.

Itália e Reino Unido adotaram decisões semelhantes em relação à mesma empresa.

Uma sentença proferida em Fevereiro de 2020 pelo tribunal administrativo de Marselha anulou uma decisão da região da Provença-Alpes-Côte d'Azur de realizar dois pilotos de reconhecimento facial nas entradas das escolas de Nice e Marselha.

Enquanto o caso estava pendente, a CNIL expressou preocupações sobre a implementação de tal sistema, dado o público-alvo (crianças) e a sensibilidade dos dados biométricos envolvidos.

A decisão do Tribunal de anular os pilotos foi tomada com base no fato de que o consentimento obtido dos alunos do ensino médio não foi dado de forma livre, específica, informada e inequívoca, e que meios menos intrusivos estavam disponíveis para as escolas controlarem o acesso de seus alunos às suas instalações (por exemplo, controles de crachás/cartões de identificação, combinados com vigilância por vídeo).

Acrescentemos que, na maioria dos casos, o responsável pelo tratamento não poderá evitar uma análise de impacto, conforme previsto no artigo 35.º do RGPD, quando a decisão se referir a uma definição de perfis com efeitos significativos sobre o indivíduo: por exemplo, em Itália, a recente decisão da APD relativa à empresa Deliveroo: a empresa deveria ter efetuado uma análise de impacto do seu algoritmo, o tratamento com recurso a tecnologias inovadoras, sendo de grande escala (tanto em termos do número de ciclistas – 8.000 – como dos tipos de dados utilizados), respeitante a indivíduos vulneráveis (trabalhadores da “gig economy” remunerados por tarefa) e envolvendo uma avaliação ou classificação destes últimos.

E também

França:

A CNIL publica seu relatório de atividades referente ao ano de 2021: Entre suas atividades destacamos a renovação de sua política de apoio, o aumento da mobilização em torno da segurança cibernética e o fortalecimento da ação repressiva.

Ele também publica uma série de critérios para avaliar a legalidade dos cookies de parede.s (paredes traçadoras).

Fornece informações que permitem verificar a legalidade da "paywalls", que exigem que o internauta que recusa os cookies forneça uma quantia em dinheiro para acessar o site.

O editor que deseja implementar um paywall deve ser capaz de justificar a razoabilidade da compensação monetária oferecida e demonstrar que seu cookie wall é limitado aos propósitos que permitem uma remuneração justa pelo serviço oferecido.

O governo francês implantará um sistema que permitirá que os cidadãos se autentiquem on-line escaneando sua carteira de identidade com seu smartphone.

O Diário Oficial publicou de fato o decreto n.º 2022-676 de 26 de abril de 2022 que autoriza a criação de um aplicativo de identificação eletrônica denominado “Serviço de Garantia de Identidade Digital”.

Esta aplicação será vinculada ao novo cartão de identificação equipado com chip e permitirá que seus dados sejam armazenados em um celular.

Europa:

Em 12 de maio, o Conselho Europeu para a Proteção de Dados adotou duas diretrizes, uma sobre métodos de cálculo de multas em conformidade com o RGPD e outra sobre reconhecimento facial.

O Comité defende que as ferramentas de reconhecimento facial só devem ser utilizadas em estrita conformidade com a Diretiva Europeia sobre Justiça Policial.

Lá Comissão Europeia publicou em 11 de maio sua proposta de regulamento visando prevenir e combater material de abuso sexual infantil (CSAM).

As implicações para empresas como WhatsApp e Instagram, que são obrigadas a monitorar e apagar comunicações privadas ou transferi-las para as autoridades policiais, estão preocupando a sociedade civil.

Comissão Europeia publica perguntas e respostas sobre novas cláusulas contratuais padrão para transferências internacionais de dados

A "Lei de Dados" da Comissão Europeia também provocou uma reação do Conselho Europeu de Proteção de Dados e da Autoridade Europeia para a Proteção de Dados (EDPS). : em parecer conjunto, eles se mostram preocupados com o alcance do regulamento.

Embora tenha como alvo principalmente dados transmitidos por objetos conectados, dados pessoais sensíveis também são afetados.

As autoridades estão exigindo limites claros no uso de dados para marketing direto ou publicidade, monitoramento de funcionários, prêmios de seguro e relatórios de crédito.

A autoridade espanhola de proteção de dados multou a Google LLC em € 10 milhões. por ter transferido ilicitamente dados pessoais a terceiros e por ter impedido o exercício do direito ao apagamento.

O Google também está sendo processado no Reino Unido por uso ilegal de dados médicos de 1,6 milhão de pessoas: o DeepMind, sistema de inteligência artificial da empresa, teria recebido esses dados em 2015 do Royal Free NHS Trust em Londres para testar um aplicativo móvel.

Google – ainda assim, decidiu finalmente, após ser condenada pela CNIL e seus homólogos europeus, facilitar a recusa de todos os cookies em seu mecanismo de busca e no YouTube. A opção “Personalizar” será substituída por dois botões “Aceitar todos” e “Rejeitar todos” do mesmo formato, acompanhados por um terceiro “Mais opções”.

De acordo com a Autoridade Belga de Proteção de Dados, Enviar um e-mail com a lista de destinatários em CC, em vez de BCC, não é considerado uma violação de segurança, desde que apenas um pequeno grupo de pessoas (16 pessoas) seja afetado.

A autoridade dinamarquesa está considerando impor uma multa de DKK 100.000 contra uma agência do Ministério da Justiça pela perda de uma unidade USB não criptografada e pela falha em relatar a violação de segurança à autoridade de proteção de dados.

O Tribunal de Apelação Irlandês considera que os dados recolhidos por um sistema de videovigilância para efeitos de prevenção de infrações não podem ser utilizados para monitorizar os trabalhadores e instaurar contra eles processos disciplinares, sendo esta finalidade incompatível com a primeira.

Autoridade Norueguesa de Proteção de Dados pretende aplicar uma multa de € 486.700 à administração trabalhista por divulgar online os currículos de 1.800.000 pessoas sem base legal.

Internacional:

A Autoridade Europeia para a Proteção de Dados expressou preocupação em um parecer datado de 18 de maio sobre a participação da União Europeia na Convenção das Nações Unidas sobre Cibercrime.

Ele destaca o risco de enfraquecimento dos direitos fundamentais, devido ao grande número de países com diferentes sistemas jurídicos envolvidos.

Autoridade de Proteção de Dados de Hong Kong publicou suas diretrizes sobre o uso de cláusulas contratuais para transferências internacionais de dados em 12 de maio.

Autoridade de Proteção de Dados de Singapura publica um guia para anonimização de dados

Twitter chega a acordo com o Departamento de Justiça dos EUA e a Comissão Federal de Comércio por US$ 150 milhões e se compromete a implementar um programa de conformidade em relação a violações de confidencialidade de dados não públicos de seus assinantes.

Um relatório do Conselho Irlandês para as Liberdades Civis afirma que Licitação em tempo real, que permite a entrega de publicidade direcionada, está por trás da maior violação de dados já registrada no mundo.

Segundo dados, o setor, que vale mais de € 110 bilhões, rastreia e compartilha a atividade online e a localização real dos indivíduos 178 bilhões de vezes por ano nos Estados Unidos e na Europa.

Na Europa, o RTB expõe dados de pessoas 376 vezes por dia e o Google envia 19,6 milhões de transmissões sobre o comportamento online dos usuários alemães da Internet a cada minuto que eles estão online.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.