Conformidade com o GDPR em tempos de crise.
Conformidade com o RGPD em tempos de crise. Quais são as prioridades? autoridades de supervisão e quais são os controles o que as empresas podem esperar no atual contexto econômico e de saúde?
Embora a CNIL concentre claramente suas atividades no processamento de dados de saúde, ela não abandonou suas prerrogativas de supervisão em sentido amplo.
Em primeiro lugar, há inúmeras ações de sensibilização dirigidas aos empregadores (ver documento de acompanhamento jurídico de setembro), aos professores e aos investigadores que enfrentam o aumento da utilização das tecnologias de informação e da inteligência artificial.
A CNIL também concentrou suas investigações nos sistemas de monitoramento de epidemias e no aplicativo StopCovid.
O seu chefe do departamento de inspecção indica numa publicação recente que a Pequenas empresas, PMEs e start-ups estão, portanto, menos sujeitas à inspeção.
No entanto, as investigações não foram abandonadas, especialmente porque os responsáveis tiveram tempo de tomar as medidas de conformidade necessárias desde que o GDPR entrou em vigor.
Essas verificações são realizadas mais com base em questionários e entrevistas, e as verificações não anunciadas são menos frequentes devido à crise.
As verificações no local dão origem, portanto, a um aviso de 48 horas.
Adaptações semelhantes estão ocorrendo em muitos países europeus, como evidenciado pelo recente relatório do Conselho da Europa sobre o assunto.
Se tiver sido observada flexibilidade relativamente, por exemplo, à ultrapassagem do prazo legal para resposta ao direito de acesso dos indivíduos aos seus dados, a tolerância é significativamente menor ou inexistente quando o processamento de dados constitui a atividade principal do organismo controlado.
Além da adaptação dos métodos de controle em tempos de crise, houve uma mudança na forma de recurso disponível aos indivíduos em caso de violação de seus direitos.
O RGPD agora permite que os reclamantes sejam representados por organismos de interesse público, muitas associações viram as suas atividades desenvolverem-se desde 2018, como “La Quadrature du Net” na França” ou “None of Your Business” na Áustria.
Vimos isso em ação recentemente em ações judiciais relativas à vigilância por drones sobre Paris durante o confinamento e no contexto de manifestações, e relativas à questão das transferências de dados para os Estados Unidos (veja a decisão Schrems II, discutida em nosso relatório jurídico de agosto).
Essas estruturas, cada vez mais bem organizadas e financiadas, dão nova visibilidade ao problema da proteção de dados.
Diante dos possíveis danos e sanções previstos no Regulamento, eles evidenciam as questões, não apenas do ponto de vista ético, mas também financeiro e estratégico.
Esses desenvolvimentos são o foco de um próximo webinar organizado em 18 de novembro pela Plataforma de Privacidade da eurodeputada Sophie In't Veld.
E também
França:
- O Conselho de Estado se recusa a suspender a operação do "centro de dados de saúde", apesar dos riscos associados à transferência desses dados para os Estados Unidos.
A CNIL destacou os riscos associados à hospedagem de dados de saúde de pessoas em tratamento na França pela Microsoft e lembrou as questões de legalidade levantadas pela decisão Schrems II do Tribunal de Justiça Europeu.
Embora não suspenda o funcionamento da plataforma, o Conselho de Estado reconhece os riscos da transferência e solicita que sejam tomadas as devidas garantias até que uma solução duradoura seja encontrada.
A CNIL aconselhará as autoridades públicas sobre esta matéria e garantirá, para pedidos de autorização de projetos de investigação no contexto da crise sanitária, que a utilização da plataforma é tecnicamente necessária.
- A CNIL está oferecendo um evento dedicado ao direito à portabilidade na segunda-feira, 23 de novembro de 2020, das 14h às 17h30.
Este novo direito, consagrado no RGPD, permite que qualquer pessoa receba os dados pessoais que comunicou a um responsável pelo tratamento, num formato estruturado, de uso comum e legível por máquina, e os transmita a outro responsável pelo tratamento.
Os debates terão como objetivo, em particular, discutir soluções concretas para agilizar o fluxo de dados entre serviços, respeitando os direitos dos indivíduos.
O RGPD agora permite que os reclamantes sejam representados por organismos de interesse público, muitas associações viram as suas atividades desenvolverem-se desde 2018, como “La Quadrature du Net” na França” ou “None of Your Business” na Áustria.
Vimos isso em ação recentemente em ações judiciais relativas à vigilância por drones sobre Paris durante o confinamento e no contexto de manifestações, e relativas à questão das transferências de dados para os Estados Unidos (veja a decisão Schrems II, discutida em nosso relatório jurídico de agosto).
Essas estruturas, cada vez mais bem organizadas e financiadas, dão nova visibilidade ao problema da proteção de dados.
Diante dos possíveis danos e sanções previstos no Regulamento, eles evidenciam as questões, não apenas do ponto de vista ético, mas também financeiro e estratégico.
Esses desenvolvimentos são o foco de um próximo webinar organizado em 18 de novembro pela Plataforma de Privacidade da eurodeputada Sophie In't Veld.
E também
França:
- O Conselho de Estado se recusa a suspender a operação do "centro de dados de saúde", apesar dos riscos associados à transferência desses dados para os Estados Unidos.
A CNIL destacou os riscos associados à hospedagem de dados de saúde de pessoas em tratamento na França pela Microsoft e lembrou as questões de legalidade levantadas pela decisão Schrems II do Tribunal de Justiça Europeu.
Embora não suspenda o funcionamento da plataforma, o Conselho de Estado reconhece os riscos da transferência e solicita que sejam tomadas as devidas garantias até que uma solução duradoura seja encontrada.
A CNIL aconselhará as autoridades públicas sobre esta matéria e garantirá, para pedidos de autorização de projetos de investigação no contexto da crise sanitária, que a utilização da plataforma é tecnicamente necessária.
- A CNIL está oferecendo um evento dedicado ao direito à portabilidade na segunda-feira, 23 de novembro de 2020, das 14h às 17h30.
Este novo direito, consagrado no RGPD, permite que qualquer pessoa receba os dados pessoais que comunicou a um responsável pelo tratamento, num formato estruturado, de uso comum e legível por máquina, e os transmita a outro responsável pelo tratamento.
Os debates terão como objetivo, em particular, discutir soluções concretas para agilizar o fluxo de dados entre serviços, respeitando os direitos dos indivíduos.
Europa:
- Reino Unido: lá Empresa Internacional Mariott foi multada em 20 milhões de euros em 30 de outubro por uma violação de segurança, um valor significativamente menor, embora ainda substancial, do que os 100 milhões de euros anunciados inicialmente pela autoridade de proteção de dados do Reino Unido.
- O Tribunal de Justiça Europeu proferiu dois importantes acórdãos em 6 de Outubro (La Quadrature du Net e Privacy International) na área do uso de dados pessoais por serviços de inteligência.
Ela especifica o condições rigorosas sob as quais os dados de comunicação podem ser armazenados pelos operadores e confirma a ilegalidade das interceptações "em massa" desses dados pelos serviços de inteligência.
O Tribunal refuta ainda a existência de um direito fundamental e coletivo à segurança., o que justificaria um equilíbrio com os direitos fundamentais à privacidade e à proteção de dados.
- O Conselho Europeu para a Proteção de Dados (CEPD) adotou diretrizes sobre proteção de dados na sua reunião de 21 de outubro “por design e por defeito”, que ilustram concretamente como garantir essa proteção desde a fase de projeto de um sistema de TI.
Internacional:
- Brasil está equipado desde 19 de outubro com um Colégio de Comissários de Proteção de Dados para a gestão da sua autoridade de supervisão.
Dos cinco membros nomeados pelo Presidente da República e confirmados pelo Senado, três têm experiência principalmente militar, o que a torna uma faculdade bastante singular.
- A Assembleia Global de Privacidade reuniu virtualmente cerca de cem representantes de autoridades de proteção de dados em meados de outubro.
A assembleia adoptou várias resoluções relativas àinteligência artificial, reconhecimento facial e ajuda humanitáriaTambém publicou uma coleção de melhores práticas relacionadas à pandemia de COVID-19.
- UNICEF prepara diretrizes para proteger direitos das crianças no contexto do desenvolvimento da inteligência artificial. O projeto está disponível online e sua versão final será publicada em 2021.
Ana Cristina Lacoste
Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.
PT 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL