Dados sensíveis e categorias especiais de dados: seis de um e meia dúzia do outro?

Legal Watch nº 43 – Janeiro de 2022

Dados sensíveis e categorias especiais de dados: seis de um e meia dúzia do outro?. Ao lidar com dados relacionados à saúde, opiniões políticas ou religiosas, a qualificação que imediatamente vem à mente é a de "dados sensíveis"., que requerem proteção especial no sentido do Regulamento Europeu de Proteção de Dados.

A CNIL também classifica dados sensíveis em seu site como "categorias especiais de dados" regulamentadas pelo GDPR.

Isso significa que essas duas noções são a mesma coisa?

A questão é importante porque sua interpretação leva à aplicação de uma série de disposições legais que são vinculativas para o controlador de dados.

O RGPD especifica que “os dados pessoais que são, pela sua natureza, particularmente sensíveis do ponto de vista das liberdades e direitos fundamentais merecem proteção específica, porque o contexto em que são processados pode dar origem a riscos significativos para essas liberdades e direitos”.

Uma certa quantidade de dados sensíveis foi explicitamente identificada, e seu processamento é proibido, exceto pelas exceções especificadas no Artigo 9 do GDPR.

Estas são categorias especiais de dados, que revelam a alegada origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, bem como o processamento de dados genéticos, dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa física.

Considerando os riscos, nomeadamente de discriminação, suscitados pelo tratamento desses dados, o Regulamento Europeu exige uma maior responsabilização dos responsáveis pelo tratamento e uma utilização cuidadosa dos dados, em conformidade com as exceções previstas na lei.

Elas se referem principalmente a interesses públicos vitais ou importantes, mais propensos a justificar tal intrusão.

Vale ressaltar que outros dados, às vezes também qualificados como sensíveis, mas não incluídos na lista do Artigo 9 do GDPR, também estão sujeitos à proteção específica..

A noção de dados sensíveis é, portanto, por vezes considerada, por exemplo nos documentos oficiais das autoridades britânicas e belgas de proteção de dados, como abrangendo informalmente um conjunto mais amplo de dados cujo processamento pode ser considerado particularmente prejudicial às pessoas em causa.

Além das categorias especiais de dados do Artigo 9, dados relativos a condenações e infrações penais (Artigo 10), mas também dados de telecomunicações ou identificadores únicos também podem estar sujeitos a medidas de proteção específicas, no contexto do GDPR ou da Diretiva de Privacidade Eletrônica.

A nomeação de um DPO, a manutenção de um registo das operações de tratamento e a realização de análises de impacto visam, assim, tanto as categorias especiais de dados do artigo 9.º como os dados judiciais do artigo 10.º do RGPD (no caso de tratamento em larga escala destes dados).

Para evitar qualquer mal-entendido, recomenda-se usar os termos do GDPR e fazer referência às categorias especiais de dados previstas no Artigo 9, ou às outras disposições do GDPR que protegem outros dados específicos e, assim, identificar claramente os princípios aplicáveis..

Mesmo dentro de categorias especiais de dados, determinar o que se enquadra no escopo do GDPR às vezes pode ser um desafio.

Assim, se os resultados de uma análise médica se enquadram, sem discussão, na categoria de dados de saúde, outras informações menos óbvias também podem ser encontradas ali, independentemente da estrutura dos profissionais de saúde e dos caminhos de cuidado.

Por exemplo, estamos pensando em dados registrados por um relógio conectado, analisando a frequência cardíaca ou possíveis distúrbios do sono.

Tais dados transmitidos e analisados on-line por terceiros estão, portanto, sujeitos à estrutura estrita do Artigo 9 do GDPR.

É diferente se a informação permanece armazenada no terminal do usuário e só é acessível a ele.

Além da natureza dos dados, o elemento determinante é o contexto em que esses dados serão processados e as informações que serão deduzidas deles.

Assim, uma foto pode revelar a cor da pele da pessoa fotografada, e também constituir um dado biométrico.

Um sobrenome pode ser usado para inferir, com algum grau de probabilidade, a origem étnica da pessoa em questão.

Esses dados “brutos” não são, no entanto, categorias especiais de dados.

Dependendo das finalidades para as quais são processados, eles podem se tornar assim.

Será proibido um arquivo que classifique pessoas listadas por nome de acordo com sua provável origem étnica (exceto pela exceção estabelecida no Artigo 9 do GDPR), mesmo que a precisão das deduções não seja garantida.

Da mesma forma, o GDPR especifica que "o processamento de fotografias não deve ser sistematicamente considerado como constituindo o processamento de categorias especiais de dados pessoais, uma vez que estes só se enquadram na definição de dados biométricos quando são processados usando um método técnico específico que permita a identificação ou autenticação única de uma pessoa física".

O âmbito das disposições relativas a categorias especiais de dados é, portanto, amplo e sujeito a interpretação dependendo do contexto do processamento.

Em caso de dúvida, a natureza discriminatória dessas informações e a finalidade perseguida são elementos úteis de avaliação.

E também

França:

Em 30 de dezembro, o Conselho de Estado considerou infundado o recurso da Quadrature du Net e outros requerentes contra um decreto de 27 de março de 2020 relativo ao banco de dados DataJust..

Esta base de dados permite o tratamento de dados judiciais, incluindo dados sensíveis, através de um algoritmo, com o objetivo de facilitar a avaliação de indemnizações em matéria de responsabilidade civil e administrativa.

O Conselho de Estado também rejeitou, em 28 de janeiro, o recurso da Google LLC e da Google Ireland Limited contra a decisão da CNIL que havia imposto uma multa de 100 milhões de euros à empresa em dezembro de 2020 pelo uso ilegal de cookies.

Esta decisão confirma a autoridade da CNIL para aplicar este tipo de sanções contra empresas estabelecidas em outros países europeus e confirma a natureza proporcional das sanções.

O Diário Oficial de 26 de dezembro de 2021 publicou um decreto autorizando a criação de um arquivo destinado ao combate ao ransomware, denominado “MISP-PJ”.

Este arquivo armazenará por seis anos os dados de pessoas vítimas de ataques de computador, bem como informações técnicas sobre o ataque e seu autor.

O Tribunal de Cassação decidiu, em decisão datada de 10 de novembro, que as provas obtidas em violação ao direito de privacidade de um funcionário podem, ainda assim, ser retidas no tribunal.

Ainda que o tratamento que previu o monitoramento de empregados sem o seu conhecimento seja ilegal, cabe ao juiz ponderar o direito à prova e os direitos do empregado e verificar caso a caso se a lisura do procedimento é respeitada.

Europa:

O Google Analytics está na mira de várias autoridades de proteção de dados:

• A Áustria acaba de decidir que seu uso não está em conformidade com os requisitos do GDPR relativos aos fluxos transfronteiriços de dados, conforme especificado pelo Tribunal de Justiça Europeu em sua decisão Schrems II.
• O Supervisor Europeu de Proteção de Dados sancionou o Parlamento Europeu com os mesmos fundamentos por transferência ilegal de dados para os Estados Unidos.
• A Holanda, que está lidando com duas reclamações sobre o Google Analytics, alerta que seu uso pode ser ilegal, e a Noruega anunciou em 26 de janeiro que também está investigando o assunto.

A questão das transferências para os Estados Unidos também está no centro da decisão do Tribunal Estadual de Munique de 20 de janeiro : Quando um usuário baixa fontes do Google, seu endereço IP é automaticamente transmitido para os Estados Unidos.

O tribunal considerou esta transferência ilegal e concedeu uma indemnização de 100 euros ao autor.

A Autoridade Europeia de Supervisão decidiu em 20 de janeiro sobre um projeto de regulamentação da publicidade política.

Em sua opinião, ele recomenda a proibição total da microsegmentação no marketing político, que visa influenciar grupos específicos de eleitores com base em seu perfil online.

Ele também defende restrições nas categorias de dados que podem ser usadas para tais fins de marketing.

Em 27 de janeiro, a Comissão Europeia e a rede de autoridades nacionais de proteção ao consumidor enviaram uma carta ao WhatsApp exigindo que a empresa informe mais claramente os usuários sobre os termos de uso de seus dados..

A empresa é solicitada a especificar as alterações feitas em suas condições gerais, sua política de proteção de dados e a cumprir a legislação europeia.

O Instituto Europeu de Inovação e Tecnologia (EIT) publicou em 20 de janeiro uma ferramenta projetada para promover o uso de inteligência artificial por empresas europeias.

A “ferramenta de maturidade da inteligência artificial” deve permitir que as empresas avaliem seu grau de prontidão para o uso da IA, em conformidade com o quadro legal europeu.

Em 15 de dezembro de 2021, a Comissão Europeia lançou um projeto de consórcio para apoiar o desenvolvimento de tecnologias de última geração.

Chamado de "Aliança Europeia para Dados Industriais, Edge e Nuvem", o consórcio sucede o projeto Gaia-X e também está aberto a empresas estrangeiras, desde que cumpram os requisitos de segurança europeus (propriedade intelectual, aquisição, informação) e os principais objetivos da União Europeia nessa área.

O Conselho Europeu de Proteção de Dados adotou diretrizes sobre o direito dos indivíduos de acesso aos seus dados em sua sessão plenária de 18 de janeiro..

Para responder às exigências de uma interpretação uniforme das regras relativas à utilização de cookies, o Comité anuncia a criação de um grupo de trabalho sobre o assunto.

O Tribunal de Justiça da União Europeia considerou no seu acórdão de 25 de Novembro último que, no contexto de um serviço de mensagens gratuito financiado por publicidade, tal publicidade exibida automaticamente em uma caixa de entrada eletrônica pode ser considerada um e-mail de prospecção e, portanto, está sujeita à condição de consentimento prévio do usuário, conforme previsto na Diretiva Europeia de Privacidade Eletrônica.

A autoridade italiana de proteção de dados impôs diversas medidas corretivas e uma multa de mais de 26.000 euros à Enel Energia. por processamento ilegal de dados de milhões de usuários para fins de telemarketing.

A Autoridade Norueguesa de Proteção de Dados multou a Administração de Estradas Públicas em € 400.000. por retenção indevida de dados relativos a travessias de pedágio.

Em Portugal, a autoridade de proteção de dados multou a cidade de Lisboa em € 1.250.000 por compartilhar dados pessoais e sensíveis de manifestantes.s com terceiros, incluindo as embaixadas e ministérios das Relações Exteriores dos países alvos dos manifestantes.

O mais alto tribunal administrativo da Baviera decidiu que a exigência de que os alunos não vacinados apresentem um certificado de teste negativo para a covid ou para se submeter a um teste no local é justificado pelo artigo 9(2)(i) do RGPD, que permite o tratamento de dados sensíveis por razões de interesse público relacionadas com a saúde.

Internacional:

A Conferência das Autoridades Alemãs de Protecção de Dados publicou um relatório datado de 15 de Novembro, que resume as conclusões de uma análise realizada por SI Vladeck sobre a quadro jurídico para medidas de vigilância nos Estados Unidos.

Ele contém informações úteis sobre as condições de aplicação da lei americana a empresas e subsidiárias europeias. 

Sempre Nos Estados Unidos, quatro procuradores-gerais acusam o Google de enganar seus usuários, continuando a rastrear aqueles que alteraram as preferências de rastreamento e recusaram a coleta de seus dados.

Os processos foram movidos pelos estados do Texas, Washington, Indiana e Distrito de Columbia.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.