La protection des données en pleine effervescence

Proteção de dados a todo vapor

Legal Watch nº 20 – 10 de fevereiro de 2020

Eis o que recordamos das primeiras semanas deste novo ano, com inúmeros debates por ocasião de acontecimentos significativos:

  • Dia Internacional da Proteção de Dados, 28 de janeiro,
  • A conferência internacional sobre protecção de dados organizada na semana anterior em Bruxelas pelo sector académico e
  • O Fórum Internacional de Segurança Cibernética em Lille nos últimos dias de janeiro.

Fevereiro não ficará de fora, com a conferência "proteção intensiva de dados" em Paris, organizada pela Associação Internacional de DPOs (IAPP).

Entre os diversos temas abordados, dois se destacam: a intensificação dos debates em torno do reconhecimento facial e a situação específica das VSEs e PMEs em relação ao RGPD.

Reconhecimento facial em questão

O que acendeu o rastilho no final de Janeiro foi a hipótese, avançada num livro branco pela Comissão Europeia, de uma moratória sobre reconhecimento facial em locais públicos.

Este documento, em fase de rascunho, não se destinava à distribuição, e a Comissão anunciou desde então que está abandonando a possibilidade de uma moratória e priorizando outras vias de regulamentação.

Ela apresentará seu artigo sobre inteligência artificial em 19 de fevereiro.

A ideia de regulamentar mais rigorosamente, ou mesmo proibir, o reconhecimento automático de pessoas em determinados locais, está abrindo caminho entre os reguladores, bem como nos setores público e privado, e até mesmo além da Europa.

A Autoridade Europeia para a Proteção de Dados (EDPS) e o Comissário para a Proteção de Dados do Conselho da Europa, entre outros, manifestaram-se sobre este assunto.

O Conselho Europeu para a Proteção de Dados (EDPB) também aborda a questão em suas últimas diretrizes adotadas no final de janeiro.

Cada vez mais cidades, como São Francisco e Cambridge, baniram essa tecnologia de seus espaços públicos.

Os usos potenciais dos dados criam tanta incerteza que gigantes da tecnologia como a Microsoft também estão pedindo maior clareza.

Entre os argumentos apresentados, destacamos em particular a riscos de discriminação com base na origem étnica e outros preconceitos que levam a muitos “falsos positivos”.

A perspectiva de um espaço público sob vigilância total também levanta questões à luz das atuais possibilidades de coleta de dados: estamos pensando no banco de dados Clearview, a empresa que armazena rostos acessíveis em todas as redes sociais para vendê-los às autoridades policiais nos Estados Unidos, e que foi manchete no início deste ano.

A dimensão internacional do problema também merece ser destacada.

Isso é evidenciado pela recente questão parlamentar em nível europeu sobre o projeto "Cidade Segura", desenvolvido na Sérvia, com base na tecnologia chinesa de reconhecimento facial. 

BOLETIM RESTRITO

A situação das VSE e das PME

Os debates que ocorreram durante os vários eventos de janeiro destacaram os principais desafios enfrentados pelas (muito) pequenas e médias empresas.

Se representam a maior parte da economia europeia, eles são os mais carentes ao abordar questões de segurança de sua plataforma de TI, uso da nuvem, terceirização e uso de ferramentas de autoavaliação (auditorias).

Diante dessas questões, várias iniciativas viram a luz do dia. 

A ENISA (Agência Europeia de Segurança Cibernética) lançou uma plataforma online em 28 de janeiro para ajudar empresas, especialmente PMEs, a proteger seus dados.

Há também duas iniciativas destinadas a ajudar os desenvolvedores de sites: o guia da CNIL e o da organização EDRI, que visam apoiar o desenvolvimento de sites em conformidade com o GDPR.

Embora a escolha de uma nuvem segura (e idealmente europeia) continue complexa, vale destacar os esforços dos reguladores europeus nesse sentido. A Microsoft, por exemplo, acaba de modificar as condições contratuais do Office 365 sob pressão da EDPS e dos Países Baixos, a fim de torná-las compatíveis com o GDPR.

E também:

Na França:

Conforme anunciado, a CNIL publicou em 14 de janeiro de 2020 um projeto de recomendação relativo àuso de cookies e outros rastreadores.

O objetivo é esclarecer as condições para a obtenção do consentimento e inclui exemplos concretos de avisos aos usuários da internet. O texto está aberto para consulta até 25 de fevereiro.

Na Europa:

Saída do Reino Unido da União Europeia terá consequências nas transferências de dados.

No entanto haverá nenhuma mudança durante o ano de 2020, um ano de transição durante o qual a Comissão Europeia avaliará o nível de proteção oferecido pelo Reino Unido para adotar uma possível decisão de adequação. 

Os comunicados de imprensa do ICO (autoridade supervisora britânica) e da CNIL especificam esses elementos.

Internacional:

  • ESTADOS UNIDOS :Na sequência da entrada em vigor no início de 2020 da Lei de Privacidade do Consumidor da Califórnia, é a vez do Estado de Washington preparar um projeto de lei de privacidade.
  • Indonésia : um lei de proteção de dados foi apresentada ao parlamento em 28 de janeiro. Sua versão mais recente, datada de 6 de dezembro de 2019, fortemente inspirada no GDPR, aplica-se aos setores público e privado.

Como lembrete, a lista de países cujas leis são consideradas adequadas pela União Europeia, facilitando assim as transferências de dados para esses países, está disponível aqui.

  • Andorra,
  • Argentina,
  • Canadá (organizações comerciais),
  • Ilhas Faroé,
  • Guernsey,
  • Israel,
  • Ilha de Man,
  • Japão,
  • Jersey,
  • Nova Zelândia,
  • Suíça,
  • Uruguai e o
  • Estados Unidos da América (limitado à estrutura do Escudo de Privacidade)

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT