Boletim Jurídico nº 66 – Dezembro de 2023.

Jurisprudência do RGPD: Principais tendências para 2023

Tanto na França quanto em nível europeu, as autoridades de proteção de dados e os órgãos judiciais tomaram diversas decisões em 2023 esclarecendo as condições para a aplicação do RGPD (Regulamento Geral sobre a Proteção de Dados).

A nível europeu, as sanções mais significativas impostas pelas autoridades de proteção de dados dizem respeito a gigantes internacionais da tecnologia, bem como a algumas empresas nacionais.

Eles direcionam especificamente a publicidade sem o consentimento do usuário e sem informá-lo.

• Em 4 de janeiro de 2023, a Comissão Irlandesa de Proteção de Dados multou a Meta Platforms Ireland Ltd. em € 390 milhões pelo uso ilegal de dados pessoais para fins publicitários no Facebook e no Instagram.

Em maio de 2023, também foi imposta à Meta uma multa histórica de 1,2 bilhão de euros por transferência ilegal de dados para os Estados Unidos.

• A Autoridade Irlandesa de Proteção de Dados (DPA) também multou o WhatsApp em € 5,5 milhões em janeiro de 2023 por forçar os usuários a consentirem com o uso de dados pessoais para fins de "melhoria dos serviços e da segurança".
• Em 15 de junho de 2023, a CNIL (Comissão Nacional de Informática e Liberdades) aplicou uma multa de 40 milhões de euros à CRITEO, empresa especializada em publicidade online, principalmente por não ter verificado se as pessoas cujos dados processava haviam dado seu consentimento.
• Em junho passado, a autoridade italiana de proteção de dados multou a empresa de telemarketing TIM SpA em 7,6 milhões de euros por supervisão insuficiente de call centers com práticas abusivas.

Na França, a CNIL adotou diversas outras sanções que merecem ser mencionadas. A Comissão concentrou-se particularmente em:

• Devido à falta de fundamento jurídico no contexto da coleta de dados biométricos pela empresa Clearview;
• Em relação à questão do respeito ao princípio da minimização dos dados coletados, neste caso os dados de geolocalização no caso da Cityscoot de 16 de março de 2023;
• Relativamente aos períodos de retenção de dados no caso KG COM de 8 de junho de 2023 e no caso Doctissimo de 11 de maio de 2023;
• Relativamente ao respeito pelos direitos dos indivíduos nos casos Canal + (12 de outubro), Free (20 de março) e Criteo (15 de junho).

Com relação a este último ponto, a CNIL enfatiza que os dados devem ser comunicados ao requerente de forma inteligível.

Ela observa ainda que o não cumprimento do prazo de um mês para responder ao pedido de acesso é uma infração frequente.

Vale lembrar que o exercício dos direitos individuais é o tema das investigações coordenadas pelas autoridades de proteção de dados na Europa para 2024.

Cabe mencionar também, em termos de jurisprudência dos tribunais franceses, diversas decisões recentes relativas à vigilância por vídeo.

• Os tribunais administrativos de Nice e Lille decidiram, respectivamente em 23 e 29 de novembro, a favor dos municípios que haviam instalado sistemas de videovigilância com reconhecimento facial algorítmico, sob o argumento de que esses sistemas ainda não haviam sido totalmente ativados ou implementados para fins de videovigilância aumentada.
• Por outro lado, o tribunal administrativo de Caen considerou de forma mais decisiva, numa decisão interlocutória de 22 de novembro, que o sistema de videovigilância algorítmica Briefcam constituía uma violação grave e manifestamente ilegal do direito à privacidade.

O juiz em sessão reservada observou que o uso estava fora de qualquer estrutura legal ou regulamentar e considerou que "não foi comprovado, nem sequer alegado, que outros meios menos intrusivos em relação à privacidade não poderiam ter sido implementados para preservar a ordem pública".

A questão da base legal para o uso da vigilância por vídeo algorítmica deve se tornar ainda mais premente com a adoção do regulamento europeu sobre inteligência artificial, que regulará o reconhecimento facial em espaços públicos de maneira particularmente rigorosa (ver os documentos abaixo).

Por fim, a nível europeu, o Tribunal de Justiça da União Europeia (TJUE) adotou diversas decisões que esclarecem, em particular, os princípios aplicáveis ao tratamento automatizado e a ponderação dos danos em caso de violação do RGPD:

• O Tribunal de Justiça da União Europeia (TJUE) adotou, portanto, em 7 de dezembro, duas decisões importantes relativas ao principal fornecedor de serviços de informação de crédito na Alemanha (“Schufa”).

O Tribunal declarou, em particular, que o processamento automatizado de avaliação de crédito ("scoring") está sujeito a uma proibição geral ao abrigo do artigo 22.º do RGPD.

Ela acrescenta que a empresa que estabelece uma pontuação de crédito por meios automatizados continua sujeita ao Artigo 22, mesmo que seja outra empresa que se baseie nessa pontuação para tomar decisões que tenham um impacto (negativo) sobre a pessoa em questão, raciocínio que poderia ter impacto em sistemas assistidos por IA.

• Em relação aos danos, na sentença do caso Österreichische Post AG, de 4 de maio de 2023, o Tribunal decidiu que uma violação das disposições do RGPD não é suficiente para conferir ao titular dos dados afetado pelo tratamento ilícito o direito a uma indemnização: é necessário também comprovar o dano. Este dano deve, contudo, ser reparado mesmo que não atinja um determinado grau de gravidade.
• Em sua sentença de 14 de dezembro de 2023, o Tribunal de Justiça da União Europeia (TJUE) oferece uma interpretação ampla do conceito de dano moral.

O tribunal especifica, em particular, que o receio que uma pessoa sente relativamente a uma possível utilização indevida dos seus dados pessoais por terceiros, na sequência de uma violação do RGPD, é suscetível de constituir, por si só, um dano moral.

Em conjunto com a decisão do caso Österreichische Post AG, que estabelece que não existe um limiar mínimo para danos não materiais, esta decisão poderá impulsionar o desenvolvimento de ações coletivas na Europa.

Vale lembrar que a França, assim como seus parceiros europeus, está em processo de transposição para a legislação nacional da diretiva de 25 de novembro de 2020 sobre ações coletivas em defesa dos interesses coletivos dos consumidores.

 

   

• Em meados de dezembro, a CNIL publicou as "Tabelas de Processamento de Dados e Liberdades" para profissionais de proteção de dados.

Estas tabelas agrupam e classificam resumos de inúmeras decisões de tribunais franceses e europeus, incluindo o Tribunal Europeu dos Direitos Humanos, o Tribunal de Justiça da União Europeia, o Conselho Constitucional, o Conselho de Estado e o Tribunal de Cassação.

As tabelas também incluem certas decisões do CEPD e da CNIL, com foco naquelas que estabelecem uma nova doutrina ou definem princípios.

• Em meados de dezembro, a CNIL também publicou um guia para aumentar a conscientização sobre o GDPR, a fim de apoiar os serviços de saúde e segurança ocupacional (SPST) em sua conformidade.
• Após o CEPD, agora é a vez da Direção-Geral da Concorrência, dos Assuntos do Consumidor e do Controlo da Fraude publicar uma página destinada a alertar os consumidores para os "padrões obscuros", técnicas ou processos que visam influenciar as escolhas dos utilizadores da Internet, levando-os a encomendar produtos ou a subscrever serviços que não teriam escolhido de facto.
• O Ministério do Interior acaba de finalizar a reorganização de seus serviços de combate a crimes cibernéticos.
• O novo "Comando do Ministério do Interior no Ciberespaço" (Comcyber-MI) foi criado por decreto em 23 de novembro de 2023 e coordenará todos os recursos do ministério.
• Outro decreto formaliza a criação de um novo "Escritório de Combate ao Cibercrime" (OFAC), que funde, no âmbito da Polícia, a subdireção de combate à cibersegurança e o antigo Gabinete Central de Combate ao Crime Relacionado com as Tecnologias de Informação e Comunicação (OCLCTIC).
• Por fim, um terceiro decreto formaliza a criação de uma unidade cibernética nacional, vinculada à direção-geral da gendarmaria nacional.

Os grupos Iliad, CMA CGM e Schmidt Futures criaram o "Kyutai": um laboratório de pesquisa em inteligência artificial sem fins lucrativos, cuja ambição é enfrentar os principais desafios da IA, como o desenvolvimento de grandes modelos multimodais e a invenção de novos algoritmos.

 

Instituições e órgãos europeus

• A UE chegou a um acordo político em 9 de dezembro sobre o regulamento da IA, que deverá ser oficialmente adotado no início de 2024.

O acordo provisório proibiria, por exemplo, a manipulação cognitiva do comportamento, a coleta não direcionada de imagens faciais da internet ou de gravações de câmeras de segurança, o reconhecimento de emoções no ambiente de trabalho e em instituições de ensino, a avaliação social, a categorização biométrica para inferir dados sensíveis, como orientação sexual ou crenças religiosas, e certos casos de policiamento preditivo para indivíduos.

O acordo prevê diversas exceções para serviços de aplicação da lei e imigração.

• Em sua última reunião plenária, o Conselho Europeu de Proteção de Dados adotou uma carta em resposta à iniciativa da Comissão Europeia sobre o compromisso voluntário com os cookies.

O Comitê apoia, em geral, o documento e recomenda que as empresas, quando um usuário recusar a coleta de seus dados, aguardem um ano antes de renovar seus pedidos de consentimento, a fim de reduzir a fadiga do usuário ("fadiga de cookies"), que, devido a solicitações repetidas, leva os usuários a clicarem aleatoriamente em vez de exercerem efetivamente seus direitos.

• Em uma decisão datada de 7 de dezembro de 2023, o Tribunal de Justiça da União Europeia esclareceu que a imposição de uma multa por violação do RGPD pressupõe uma violação cometida deliberadamente ou por negligência.

Além disso, amplia o escopo da responsabilidade e a qualificação do controlador de dados: essa definição pode, portanto, abranger uma entidade que contratou uma empresa para desenvolver um aplicativo para computador móvel e que, nesse contexto, participou da determinação das finalidades e dos meios do processamento, mesmo que essa entidade não tenha realizado as operações de processamento, não tenha dado seu consentimento explícito para a realização dessas operações ou para disponibilizar o aplicativo ao público.

Salienta-se que a qualificação de duas entidades como controladores conjuntos do tratamento não pressupõe nem a existência de um acordo entre essas entidades sobre a determinação das finalidades e meios do tratamento, nem a existência de um acordo que estabeleça as condições relativas à sua responsabilidade.

• Em 21 de dezembro, o Tribunal de Justiça da União Europeia (TJUE) decidiu que o direito à indemnização previsto no artigo 82.º do RGPD cumpre uma função compensatória, "na medida em que a indemnização monetária com base nessa disposição deve permitir reparar integralmente o dano efetivamente sofrido em consequência da violação desse regulamento", e não uma função dissuasora ou punitiva.

A gravidade da violação que causou o dano em questão não deve, portanto, afetar o valor da indenização.

• A Microsoft lançou uma nova versão do Outlook, que pretende substituir o programa de e-mail e calendário integrado ao Windows em 2024, o que está gerando preocupações entre as autoridades europeias de proteção de dados.

A Microsoft poderia acessar e-mails e anexos quando um usuário adicionasse uma conta de e-mail que não fosse da Microsoft ao aplicativo, por meio das credenciais IMAP e SMTP dessa conta.

 

Notícias dos países membros da Europa.

• Embora Marie-Laure Denis deva ser reconduzida ao cargo de presidente da CNIL, de acordo com um comunicado do Palácio do Eliseu publicado no final de novembro, Helen Dixon, presidente da Comissão Irlandesa de Proteção de Dados, anunciou no LinkedIn, em 15 de novembro de 2023, sua saída em fevereiro de 2024, após 10 anos no cargo.
• A Autoridade Italiana de Proteção de Dados (APD) multou um controlador de dados em 40.000 euros por acessar as contas de e-mail de três de seus ex-funcionários, em violação ao Artigo 5(1) e ao Artigo 13 do RGPD.

A autoridade também considerou que um administrador de condomínio infringiu o artigo 5.º, n.º 1, alínea a), e o artigo 6.º do RGPD ao instalar ilegalmente um sistema de videovigilância sem a prévia aprovação de uma resolução do condomínio.

A APD aplicou uma multa de 1.000 euros e uma proibição de processamento.

• A Autoridade Norueguesa de Proteção de Dados (APD) multou a Administração Norueguesa do Trabalho e da Segurança Social (NAV) em 1.754.678 euros (20 milhões de coroas norueguesas) e emitiu diversas ordens por 12 violações, atribuídas a "negligência grave ao longo de um longo período" na segurança da informação e nos sistemas de TI da administração.
• A Agência Dinamarquesa de Proteção de Dados (DPA) repreendeu a Agência de Governo Digital pelo uso de JavaScript em conexão com o MitID, o identificador digital dinamarquês.

Embora os riscos associados à utilização desta linguagem de programação sejam conhecidos, a Agência utilizou-a sem realizar uma avaliação prévia dos riscos, violando assim, entre outras coisas, o artigo 32.º, n.º 1, do RGPD.

• Um artigo publicado na revista New Scientist em 18 de dezembro menciona que uma inteligência artificial treinada com dados pessoais (registros médicos, profissionais e financeiros) de seis milhões de dinamarqueses foi capaz de prever os riscos de morte com maior precisão do que os modelos existentes, incluindo aqueles usados no setor de seguros.

Os pesquisadores responsáveis por essa tecnologia afirmam que ela pode ter um impacto positivo na previsão precoce de problemas sociais e de saúde, mas que deve permanecer fora do alcance de grandes corporações.

• Após a aprovação, em outubro passado, do Projeto de Lei de Segurança Online, que foi criticado pela sociedade civil por comprometer a criptografia de ponta a ponta das comunicações, o Reino Unido está preparando uma nova lei controversa sobre poderes de investigação.

Segundo uma reportagem do Politico, a principal preocupação em relação a este projeto diz respeito ao chamado regime de "notificações": este permitiria ao Ministério do Interior exigir que as empresas o informassem sobre quaisquer planos de modificação dos produtos ou sistemas dos seus serviços, o que implicaria uma possível perda de controlo por parte das empresas sobre os seus próprios produtos e as impediria, por exemplo, de corrigir vulnerabilidades no código que o governo ou os seus parceiros gostariam de explorar.

O projeto de lei encontra-se atualmente em fase de elaboração de relatório, sendo a próxima sessão agendada para 23 de janeiro.

 

• Agências de cibersegurança de 18 países concordaram, em um documento divulgado em 26 de novembro de 2023, em criar modelos de "segurança desde a concepção" para inteligência artificial: as empresas que projetam e utilizam IA devem desenvolvê-la e implementá-la de forma a proteger seus clientes e o público em geral contra o uso indevido.

Este acordo não vinculativo foi adotado pelos Estados Unidos, Canadá, Japão e 7 estados da UE (Alemanha, Estônia, França, Itália, Polônia e República Tcheca), bem como pela Noruega e pelo Reino Unido.

• Nos Estados Unidos, pouco antes do final do ano, o Google concordou em fazer um acordo extrajudicial de US$ 5 bilhões em uma ação coletiva relacionada ao modo de navegação anônima do navegador Chrome. O Google foi acusado de continuar rastreando, coletando e identificando os dados de navegação dos usuários em tempo real, mesmo após a abertura de uma nova janela anônima.

Segundo a Euractiv, os termos específicos do acordo ainda não foram divulgados, mas espera-se que um acordo formal seja apresentado ao tribunal até 24 de fevereiro.

• A Agência de Privacidade do Consumidor da Califórnia (CCPA) manifestou-se a favor de uma proposta legislativa que exigiria que os fornecedores de navegadores da web incluíssem um recurso que permitisse às pessoas exercerem seus direitos por meio de sinais de preferência de "desativação".

A CCPA observa que muitos navegadores atualmente exigem que os consumidores instalem um plugin de terceiros capaz de transmitir o sinal. 

Os navegadores que oferecem suporte nativo a sinais de preferência de desativação representam atualmente menos de 10% do mercado global de navegadores web.

• No final de dezembro, a Comissão Federal de Comércio (FTC, na sigla em inglês) propôs novos limites para empresas que coletam dados de crianças menores de 13 anos e padrões mais rigorosos para a retenção dessas informações, como parte de uma atualização da Lei de Proteção da Privacidade Infantil (COPPA, na sigla em inglês).
• Também nos Estados Unidos, uma ação coletiva acusa a seguradora de saúde americana Humana de ter usado indevidamente um modelo de IA para negar aos idosos cuidados essenciais de reabilitação.