Dados sensíveis: um âmbito de aplicação particularmente amplo

Legal Watch nº 50 – agosto de 2022.

Pode ser difícil avaliar se os dados que você está coletando são sensíveis ou não e decidir se esses dados exigem proteção específica sob o GDPR.

Repetimos essas dificuldades de interpretação em nosso editorial de fevereiro passado.

O Tribunal de Justiça da União Europeia acaba de esclarecer o alcance do acórdão de 1 de agosto de 2022 da noção de dados sensíveis, ou para ser exato, de categorias especiais de dados.

E, segundo o Tribunal, esse escopo é particularmente amplo.

Deve-se lembrar que o Artigo 9 do GDPR se aplica a dados que revelem a alegada origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, bem como ao processamento de dados genéticos, dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa física.

A decisão em questão diz respeito às disposições de uma lei lituana destinada a combater a corrupção, que exige que certos funcionários do setor público declarem seus interesses privados, bem como informações sobre seus cônjuges e familiares, quase todas as quais serão tornadas públicas na internet.

Na sequência da oposição de uma pessoa abrangida por esta obrigação, o Tribunal é obrigado a decidir

• Sobre a necessidade de divulgação online de dados relativos ao cônjuge
• Sobre se esses dados relativos ao cônjuge devem ser considerados dados sensíveis na acepção do artigo 9.º do RGPD, uma vez que permitem deduzir informações sobre a orientação sexual das pessoas em causa. O Tribunal considera, em primeiro lugar, que a divulgação online desses dados não se afigura necessária para o objetivo pretendido de combate à corrupção e, em seguida, especifica que o conceito de dados sensíveis deve ser interpretado de forma ampla.

Até agora, persistem algumas questões sobre a diferença de termos usados na redação do Artigo 9, para regular dados que, por um lado, "revelam" opiniões políticas, filiação sindical, etc., ou que, por outro lado, "dizem respeito" à saúde ou à orientação sexual.

O Tribunal considera que todas as categorias especiais de dados devem ser interpretadas de forma ampla, respeitando o contexto e outras disposições do RGPD.

Inclui, portanto, neste caso, dados que são suscetíveis de revelar, por uma operação intelectual de comparação ou dedução, a orientação sexual de uma pessoa singular.

Esta decisão pode ter um impacto significativo no âmbito das obrigações dos responsáveis pelo tratamento de dados “potencialmente” sensíveis.

A CNIL parece ter tido, até agora, uma interpretação mais restritiva destas obrigações: indicou em Janeiro passado que "o simples ato de fotografar ou filmar uma imagem da qual é possível que certos elementos permitam deduzir dados pessoais constituir dados sensíveis não constitui, por si só, um tratamento de dados sensíveis (…). Isto Somente se essas imagens forem processadas para extrair, interpretar ou utilizar os dados sensíveis é que o processamento será considerado como estando sujeito ao regime de processamento de dados sensíveis.

Um elemento determinante no raciocínio do Tribunal parece ser o fato de os dados serem publicamente acessíveis: a partir desse momento, qualquer pessoa pode coletar os dados, deduzir deles informações sensíveis e processá-los para uma finalidade completamente alheia à finalidade original, com as consequências que se podem temer para as pessoas em questão.

Também deve ser lembrado que as deduções feitas a partir dos dados disponíveis não precisam ser corretas para se enquadrarem nos requisitos do GDPR: na verdade, o que importa não é se as conclusões são válidas ou não: deduções errôneas podem ter consequências ainda mais prejudiciais para os titulares dos dados.

Espera-se que essa decisão tenha impacto sobre os controladores de dados que processam dados em larga escala e criam perfis de usuários da Internet, especialmente no contexto de redes sociais, tornando necessário o consentimento explícito.

Por fim, acrescentamos que as futuras regulamentações para serviços e mercados digitais preveem a proibição do uso de dados sensíveis para segmentação de publicidade.

Combinado com a ampla interpretação de dados sensíveis do TJUE, podemos prever uma restrição de publicidade comportamental em nível europeu que seja mais severa do que o esperado.

E também

França:

A ACCOR acaba de ser multada em 600 mil euros por ter realizado prospecção comercial sem o consentimento dos interessados e por não ter respeitado os direitos dos clientes e potenciais clientes.

Os formulários de reserva incluíam uma opção pré-marcada por padrão, permitindo o envio automático de uma newsletter aos clientes contendo ofertas comerciais de parceiros.

A CNIL também notou repetidas anomalias técnicas que impediram muitas pessoas de se recusarem a receber mensagens.

A decisão da CNIL foi objeto de um procedimento de cooperação com as autoridades de outros países da UE nos quais o grupo ACCOR processa dados, ao final do qual o Comitê Europeu de Proteção de Dados ordenou à CNIL que aumentasse o valor da multa para que a medida tomada fosse mais dissuasiva.

Entre os elementos levados em consideração estão o número de violações, o fato de essas violações se relacionarem a vários princípios fundamentais da proteção de dados pessoais e constituírem uma violação substancial dos direitos dos indivíduos, bem como o número de indivíduos envolvidos e a situação financeira da empresa.

Em agosto, ficou impossível se conectar ao France Connect com suas credenciais Ameli., o botão de conexão tendo sido desativado por Bercy.

A causa é o ressurgimento de ataques de phishing usando essas credenciais. A Direção-Geral das Finanças Públicas está supostamente trabalhando para proteger o France Connect e planeja migrar gradualmente os procedimentos mais sensíveis, especialmente aqueles que permitem acesso a pagamentos financeiros, para serviços de identificação mais seguros.

No dia 25 de agosto, a ONG noyb.eu apresentou uma queixa contra o Google junto da CNIL.

O Google é acusado de ignorar a decisão do Tribunal de Justiça Europeu (TJE) sobre e-mails de marketing direto e de usar sua plataforma de e-mail Gmail para enviar e-mails publicitários não solicitados sem o consentimento válido dos usuários.

Gigante francesa de adtech Criteo pode ser multada em € 60 milhões

como parte de uma investigação aberta pela CNIL.

Esta é uma decisão preliminar nesta fase, tornada pública em 5 de agosto pela organização que apresentou a queixa, a Privacy International.

Europa:

Poderes de investigação de spyware da UE criticados durante uma audiência parlamentar na terça-feira, 30 de agosto, durante a qual um representante da Europol disse que o mandato da agência se limitava a dar suporte aos Estados-membros que decidissem iniciar uma investigação.

Até o momento, sabe-se que pelo menos 14 governos europeus compraram spyware do NSO Group, que criou o spyware Pegasus, e especialistas acreditam que muitos outros fornecedores operam na UE.

O ex-chefe de segurança do Twitter, Peiter "Mudge" Zatko, entrou com uma ação judicial contra a empresa, que foi tornada pública recentemente.

O documento detalha uma série de alegações contundentes sobre questões de segurança, privacidade e proteção de dados (entre outras), bem como alegações de que o Twitter enganou ou pretendia enganar órgãos de fiscalização regionais sobre sua conformidade com as leis locais.

As autoridades de supervisão irlandesas e francesas assumiram o caso.

A Comissão Irlandesa de Proteção de Dados multou a plataforma de mídia social Instagram em € 405 milhões., de propriedade da Meta, por violação do GDPR.

A multa é a segunda maior sob o GDPR, depois de uma multa de € 746 milhões contra a Amazon, e a terceira para uma empresa de propriedade da Meta imposta pelo regulador irlandês.

A decisão tem como alvo a violação da privacidade de crianças pelo Instagram, incluindo a publicação de endereços de e-mail e números de telefone de crianças.

O Tribunal Regional Superior de Colónia (OLG Köln) atribuiu 500 euros a um indivíduo, devido a do atraso do responsável pelo tratamento de dados no fornecimento das informações solicitadas de acordo com o Artigo 15, parágrafo 1, do GDPR (via GDPRhub).

Em um caso semelhante, a DPA italiana multou o Deutsche Bank em € 20.000 por não responder em tempo hábil à solicitação de acesso de um titular de dados (via GDPRhub).

A DPA grega multou um centro de diagnóstico médico em € 30.000 por violou o princípio da integridade e confidencialidade dos dados : o gerente perdeu imagens de mamografia devido a medidas técnicas e organizacionais insuficientes.

Além da multa, a DPA ordenou que o centro comunicasse a violação aos titulares dos dados (via GDPRhub).

O Supremo Tribunal Espanhol decidiu que o exercício dos direitos de um indivíduo junto ao controlador de dados (artigos 15 a 22 do GDPR) não é um pré-requisito para registrar uma reclamação. com uma autoridade de proteção de dados: esta pode agir mesmo que o titular dos dados não tenha contactado previamente o responsável pelo tratamento (através do GDPRhub).

Na Suíça, uma nova lei de proteção de dados entrará em vigor em 1º de setembro de 2023.

Alguns comentaristas observam que vários princípios seriam menos restritivos do que os do GDPR, principalmente aqueles relacionados ao consentimento e ao DPO.

Os requisitos de segurança, por outro lado, são particularmente detalhados.

Internacional:

As entidades europeias podem estar abrangidas pelo âmbito da Lei da Nuvem, mesmo que estejam localizadas fora dos Estados Unidos, decide um estudo realizado por um escritório de advocacia em nome da Ministério da Justiça e Segurança dos Países Baixos, e tornado público em 26 de julho.

É possível que empresas europeias minimizem esse risco estabelecendo uma "muralha da China" com os Estados Unidos, principalmente não empregando nenhum americano ou tendo clientes americanos, o que poderia justificar a intervenção dos EUA sob o Cloud Act.

Entretanto, mesmo esse escudo seria insuficiente se a entidade usasse tecnologias dos EUA, já que o Cloud Act permite acesso a dados por meio de subcontratados/fornecedores de hardware e software, de/para provedores de nuvem.

Essas descobertas geraram debates sobre ofertas como a Bleu "Trusted Cloud" (tecnologias da Microsoft oferecidas pela Orange e Capgemini) e S3ns (do Google com a Thales).

Nos Estados Unidos, o Facebook concordou em fechar um acordo no escândalo da Cambridge Analytica, que envolve o acesso aos dados privados de dezenas de milhões de usuários do Facebook durante uma campanha eleitoral. O escândalo eclodiu após revelações de um denunciante da Cambridge Analytica ao Observer em 2018, que já haviam levado o Facebook a pagar uma multa no valor de bilhões de euros.

Em Cuba, a lei sobre a protecção de dados pessoais foi publicado no Diário Oficial em 25 de agosto. Entrará em vigor 180 dias após sua publicação.

A Rússia alterou sua lei de proteção de dados após a assinatura da Convenção 108+ do Conselho da Europa.

A nova Lei Federal nº 266 de 14 de julho de 2022 altera substancialmente alguns dos atos legislativos que regem o processamento de dados pessoais na Rússia e agora inclui a obrigação de notificar violações de dados.

As crescentes tensões políticas e de segurança entre Pequim e o Ocidente levaram a apelos no Reino Unido para uma revisão da transferência de dados genéticos para a China de um banco de dados biomédico contendo o DNA de meio milhão de cidadãos britânicos.

As melhores medidas de segurança não protegem contra vulnerabilidades de subcontratados.

Em 24 de agosto, a Twilio relatou que hackers invadiram seus sistemas.

A Twilio fornece serviços de verificação aos seus clientes, incluindo a empresa de mensagens criptografadas Signal.

Quando um usuário registra seu número de telefone, a Twilio envia um SMS contendo um código de verificação, que ele então insere no Signal.

Embora o impacto no Signal e seus usuários seja limitado devido à forma como o serviço foi projetado, este é um aviso para qualquer plataforma ou serviço que possa ser manipulado para transmitir credenciais a um invasor.

Google LLC multada em US$ 60 milhões na Austrália dólares por enganar consumidores sobre a coleta e o uso de seus dados pessoais de localização em telefones Android.

Ana Cristina Lacoste

Sócia do escritório Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi Chefe de Relações Internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou para a implementação do GDPR na União Europeia.