Notícias das autoridades de supervisão: celebrações e supervisão

Legal Watch nº 31 – Janeiro de 2021

Notícias das autoridades de supervisão: celebrações e supervisãoOs últimos dias foram uma oportunidade de comemorar (virtualmente) vários aniversários.

Em 28 de janeiro, as partes interessadas na privacidade na Europa, África, Américas e região da Ásia-Pacífico organizaram vários eventos para marcar o 15º aniversário da Dia da Proteção de Dados.

Acrescentemos que a Convenção 108 (Convenção do Conselho da Europa sobre a Proteção de Dados Pessoais) celebra este ano o seu 40.º aniversário.

A ocasião para uma avaliação e uma Declaração oficial enfatizando a necessidade de preservar "a dignidade e a integridade humanas na era das decisões automatizadas tomadas por inteligência artificial e algoritmos" e de desenvolver um espaço jurídico comum em escala internacional para facilitar a circulação de dados entre países.

A tecnologia digital está, portanto, no centro dos debates atuais, com uma declaração do Comité de Ministros do Conselho da Europa sobre a salvaguarda do direito à proteção de dados no ambiente digital e a adoção de diretrizes sobre reconhecimento facial.

Uma das mais importantes conferências internacionais sobre proteção de dados, “Computadores, Privacidade e Proteção de Dados”, que ocorreu no final de janeiro, confirma essas preocupações com três dias de discussões on-line sobre o tema "fazer valer os direitos em um mundo em mudança". 

Embora as autoridades de proteção de dados tenham recebido maiores poderes para aplicar o GDPR, ainda há dúvidas sobre sua estratégia, a cooperação europeia e a eficácia das sanções à luz da influência de grandes empresas de tecnologia, como Google e Amazon.

Multas aplicadas na Europa em 2020 totalizam € 272,5 milhões, e os três países mais ativos nesse sentido são Itália, Alemanha e França, conforme indicado em um relatório recente da DLA Piper sobre o assunto.

A CNIL não está isenta de sanções, seja contra grandes players digitais, seja contra as VSEs ou PMEs, com multas adaptadas ao faturamento dos responsáveis.

Mas, embora as multinacionais possam reservar certas quantias como parte de um procedimento de sanção, o impacto em estruturas menores pode ser significativo, em termos financeiros ou em termos de imagem pública.

Concretamente, as últimas sanções da CNIL por violação do RGPD foram justificadas por violações de regras de segurança e não conformidade com regras de prospecção comercial.

Então o Empresa Nestor foi multada em 20 mil euros por não ter cumprido a sua obrigação de obter o consentimento dos potenciais clientes e por não ter respeitado os direitos das pessoas em causa (informação, acesso).

A falta de medidas de segurança adequadas também está na mira da CNIL, tanto neste caso como no mais recente envolvendo um ataque de preenchimento de credenciais: o gerente e seu subcontratado omitiu certas proteções essenciais, como limitar o número de solicitações permitidas em uma página da web e o uso de CAPTCHA.

Nesse caso A CNIL aplicou multas de 150.000 e 75.000 euros, respetivamenteEla aproveitou a oportunidade para lembrar em seu site as medidas que visam proteger os dados pessoais desse tipo de ataque.

A CNIL também se concentra no uso de cookies e em como os sites cumprem suas diretrizes.

Como lembrete, publicou diretrizes sobre este assunto no final de 2020, especificando em particular como obter o consentimento dos usuários da Internet para o uso de rastreadores.

E também

França:

Em 26 de janeiro, a CNIL emitiu seu parecer sobre a projeto de lei sobre segurança global.

Ela tem reservas quanto ao uso de drones e defende a experimentação prévia, citando a captura ampliada de imagens que essa tecnologia permite, com rastreamento de pessoas em seus movimentos, sem que elas saibam e por um período de tempo potencialmente longo.

Ela acrescenta que esses dispositivos de vigilância provavelmente terão um impacto maior do que as câmeras tradicionais no exercício de outras liberdades fundamentais pelos cidadãos (direito de manifestação, liberdade de culto, liberdade de expressão).

Questiona também as condições de utilização das câmeras instaladas em determinados veículos, bem como a videovigilância, em especial a transmissão de imagens em tempo real para as autoridades policiais.

Europa:

• A autoridade de supervisão norueguesa pretende impor Grindr uma multa de 10 milhões de euros por

O aplicativo não só oferece apenas termos e condições do tipo "pegue ou deixe" que não permitem que os usuários consintam ou não com o compartilhamento de seus dados, como também nenhuma informação foi fornecida a eles sobre esse compartilhamento de dados (sensíveis) com a plataforma de publicidade MoPub usada pelo Twitter, permitindo o compartilhamento posterior com mais de cem clientes. 

• Na Itália, a autoridade de proteção de dados ordenou o bloqueio por TikTok de qualquer uso de dados de usuários cuja idade não seja verificada. 

Ela acusa o TikTok de ter um sistema de verificação falho que corre o risco de expor menores de 13 anos a conteúdo inapropriado.

Esta decisão, tomada com urgência, surge na sequência de uma tragédia que custou a vida a uma menina de dez anos que participou num desafio na rede social que se tornou viral (o jogo do cachecol).

• A autoridade belga de proteção de dados notificou o governo sobre as condições, consideradas muito amplas, sob as quais o Escritório Nacional de Previdência Social pode compartilhar dados pessoais. dados de saúde da covid.

Pede um ajuste no texto do decreto real que especifica as condições para o compartilhamento de dados.

Internacional:

O estado de Nova York acaba de aprovar uma lei que suspende o uso e a compra de tecnologia de reconhecimento facial e outros identificadores biométricos nas escolas até julho de 2022.

O governador de Nova York instrui o Comissário de Educação a conduzir um estudo sobre a adequação dessa tecnologia no ambiente educacional.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.