Boletim Jurídico nº 61 – Julho de 2023.

APIs no centro do compartilhamento de dados pessoais.

As interfaces de programação de aplicativos, comumente chamadas de "APIs" em referência ao seu nome em inglês "application programming interface", são frequentemente usadas para facilitar o compartilhamento de informações entre organizações públicas ou privadas.

Essa partilha de dados é apoiada pelo legislador, conforme confirmado pela estratégia europeia de soberania digital: esta visa desenvolver um mercado único de dados "apoiando o acesso, a partilha e a reutilização responsáveis, em conformidade com os valores da União Europeia e, em particular, a proteção de dados pessoais".

Complementa a estratégia europeia em matéria de inteligência artificial.

As APIs, se integrarem a proteção de dados desde a fase de concepção do sistema de compartilhamento, podem fornecer uma estrutura técnica favorável, em conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).

A CNIL, portanto, incentiva seu uso em uma recomendação adotada em 7 de julho.

Ela enfatiza particularmente a importância de um nível de segurança compatível com os riscos de reutilização e de que o compartilhamento de dados seja limitado ao mínimo necessário.

A recomendação se destina a três tipos de atores: detentores de dados, gestores de APIs e reutilizadores de dados.

O detentor dos dados Caracteriza-se pelo fato de controlar dados de forma técnica ou organizacional.

Um gerenciador de API É a organização responsável por alguns ou todos os componentes técnicos nos quais se baseia o compartilhamento de dados.

Finalmente, o reutilizador de dados Qualquer organização que planeje acessar ou receber dados via APIs para seu próprio uso.

A CNIL (Autoridade Francesa de Proteção de Dados) enfatiza que a mesma organização pode desempenhar várias funções, como quando o controlador de dados desenvolve uma API por conta própria: nesse caso, ele também é o administrador da API e deve seguir as recomendações relativas a ambas as funções. Identificar a função específica de cada um no uso de uma API é, portanto, essencial.

Cada categoria é direcionada para medidas que permitam atingir o nível de segurança desejado e cumprir os princípios de proteção de dados.

Os interessados são incentivados a cooperar na implementação dessas recomendações.                              

• Os detentores de dados precisarão prestar atenção especial à informação dos reutilizadores, à precisão e integridade dos dados e à segurança dos dados (separação e disponibilidade, autenticação, registro).
• Os gestores de APIs se concentrarão na documentação, na minimização de dados, no exercício dos direitos relativos ao compartilhamento de dados e na segurança (comunicações, segurança de sistemas de informação, registro de logs).
• Os reutilizadores têm obrigações específicas no que diz respeito a informar as pessoas envolvidas, minimizar os dados e também garantir a segurança (gestão de riscos, proteção de chaves, registo de atividades).

A recomendação aborda casos específicos de compartilhamento de dados, por exemplo, entre redes sociais e pesquisadores, ou a abertura de dados governamentais.

A qualificação dos diferentes intervenientes não prejudica o seu estatuto enquanto responsáveis pelo tratamento de dados ou processadores de dados, na aceção do RGPD.

No entanto, algumas diretrizes podem ser estabelecidas: o titular dos dados será geralmente responsável pelo processamento compartilhado, na medida em que tenha decidido livremente sobre as finalidades e os meios do processamento ou quando tiver sido legalmente obrigado a implementá-lo.

O reutilizador será frequentemente um "destinatário" nos termos do RGPD (Regulamento Geral sobre a Proteção de Dados).

Por sua vez, o gestor da API atuará como subcontratado, ou seja, em nome e sob as instruções do titular dos dados e/ou do reutilizador.

As recomendações da CNIL deverão ser complementadas em breve pela publicação, bem-vinda, de casos práticos no site da Comissão.

 

E também

• Em 27 de julho, a CNIL publicou uma chamada para contribuições referentes ao seu trabalho em IA.

Nesta ocasião, ela apresenta uma atualização inicial sobre o progresso de seu trabalho após a publicação de seu plano de ação sobre inteligência artificial em 16 de maio e lança uma chamada para contribuições que possam orientar seu pensamento, antes das primeiras publicações planejadas para o outono.

• A CNIL também está propondo um novo "ambiente experimental" para apoiar três projetos que utilizam inteligência artificial (IA) em benefício dos serviços públicos.

O período de submissão de projetos estará aberto até 30 de setembro de 2023.

• Como parte de seu plano de ação sobre aplicativos móveis, a CNIL está publicando e submetendo à consulta pública uma proposta de recomendação, destinada a esclarecer as obrigações dos diversos atores nesse ecossistema, a fim de facilitar seu cumprimento e promover a implementação de boas práticas.
• Mais de sessenta ONGs europeias escreveram ao Comissário Europeu Thierry Breton em 26 de julho para pedir esclarecimentos sobre seus comentários recentes, nos quais ele sugeriu que o bloqueio de plataformas online poderia ser uma medida aplicável e justificada pela Lei de Serviços Digitais (DSA).

Esses comentários seguiram-se a declarações do Presidente da República, que mencionou a possibilidade de bloquear o acesso às plataformas de redes sociais em casos de distúrbios da ordem pública.

ONGs acreditam que esses comentários podem encorajar o bloqueio arbitrário de plataformas online por governos em todo o mundo.

Eles solicitam à Comissão Europeia que assegure que a implementação e a aplicação da Lei de Segurança da Informação (DSA) pelos Estados-Membros não conduzam a uma interpretação excessivamente ampla dessas medidas, o que contrariaria os seus objetivos regulamentares e violaria a Carta dos Direitos Fundamentais da UE.

• Em 26 de junho, o Conselho de Estado decidiu que o direito de retificação pode ser usado para corrigir dados após uma mudança de identidade, mas não retroativamente para corrigir documentos anteriores à mudança de identidade: esses dados anteriores não podem, de fato, ser considerados imprecisos.
• A Assembleia Nacional aprovou por unanimidade, em 28 de junho, o projeto de lei para estabelecer uma maioria digital e combater o ódio online.

O projeto também foi aprovado por unanimidade pelo Senado em 29 de junho de 2023.

O texto estabelece a maioridade digital aos 15 anos, idade a partir da qual um menor não precisará mais do consentimento dos pais para se cadastrar em uma rede social.

 

Instituições e órgãos europeus

• Em 10 de julho, a Comissão Europeia adotou sua decisão de adequação para o "quadro de proteção de dados UE-EUA", concluindo que a proteção garantida pelos Estados Unidos para os dados transferidos é comparável à oferecida na UE.

O novo quadro entrou em vigor em 11 de julho.

Segundo a Comissão, os compromissos americanos introduzem "novas garantias vinculativas para abordar todas as preocupações levantadas pelo Tribunal de Justiça da União Europeia, em particular limitando o acesso dos serviços de inteligência dos EUA aos dados da UE ao que for necessário e proporcional e estabelecendo um Tribunal de Proteção de Dados".

Como era de se esperar, Max Schrems considerou que a nova estrutura transatlântica para a proteção de dados pessoais é, em grande parte, uma cópia do "Privacy Shield" e que contestará a decisão judicialmente.

Por sua vez, o Conselho Europeu de Proteção de Dados (EDPB) publicou uma nota informativa para orientar as empresas e os indivíduos em causa.

• Em 4 de julho, a Comissão Europeia publicou sua "Proposta de regulamento que estabelece regras processuais adicionais para a aplicação do RGPD", destinada a garantir a aplicação consistente do regulamento em casos transfronteiriços.

Em uma mensagem no Twitter, o CEPD (Comitê Europeu para a Proteção de Dados) saudou a rápida resposta da Comissão às suas solicitações de esclarecimento.

A regulamentação proposta, no entanto, é criticada por algumas ONGs que apontam o risco de limitar a participação dos cidadãos nas reclamações que apresentam às autoridades de proteção de dados em casos de uso indevido de seus dados.

• Dispositivos conectados, como câmeras de vigilância, geladeiras e TVs inteligentes, poderão em breve oferecer melhor proteção contra ataques cibernéticos.

Os Estados-Membros da UE chegaram recentemente a um acordo sobre uma posição comum relativamente aos requisitos de segurança para os produtos digitais acima mencionados.

A proposta de lei sobre resiliência cibernética introduziria requisitos obrigatórios para o projeto, desenvolvimento e produção de dispositivos.

• Em uma sentença datada de 4 de julho de 2023, o Tribunal de Justiça da União Europeia se posicionou em uma disputa entre a Meta e uma autoridade alemã da concorrência.

O Tribunal de Justiça da União Europeia (TJUE) decidiu que uma autoridade da concorrência pode constatar uma violação do RGPD e, sem substituir a autoridade de proteção de dados, permanece livre para tirar as suas próprias conclusões na perspetiva da aplicação do direito da concorrência.

O Tribunal de Justiça da União Europeia (TJUE) observa ainda que o Facebook provavelmente processa dados "sensíveis" da atividade do usuário sem que este necessariamente tenha desejado torná-los públicos, o que exclui a isenção de consentimento.

O Tribunal também rejeitou o recurso da Meta à necessidade de execução de um contrato e ao interesse legítimo para justificar a personalização do conteúdo.

Por fim, observa que a posição dominante do Facebook no mercado de redes sociais levanta preocupações sobre a validade do consentimento e que cabe ao operador provar que o consentimento foi de fato dado livremente.

A Meta anunciou em 1º de agosto que pretende alterar a base legal utilizada para sua publicidade direcionada na Europa: a empresa passará a solicitar o consentimento dos usuários.

Essa mudança é uma consequência direta das decisões do CEPD e das autoridades judiciais nacionais e europeias.

• No contexto das discussões sobre o projeto de regulamento europeu sobre a liberdade de imprensa, 80 organizações da sociedade civil, organizações de mídia, editoras e emissoras, bem como sindicatos, estão apelando ao Parlamento Europeu para que proíba, sem exceção, a utilização de spyware contra jornalistas.
• Em 3 de julho, grupos da sociedade civil e especialistas em internet também escreveram aos comissários Jourová e Reynders para expressar sua profunda preocupação com o projeto de lei de Proteção de Dados e Informação Digital (DPDI) proposto pelo governo do Reino Unido, que transformaria o Reino Unido em uma "válvula com vazamento" e prejudicaria os direitos de proteção de dados dos cidadãos europeus.

 

Notícias dos países membros da Europa.

• A Autoridade Belga de Proteção de Dados (APD) considerou que uma associação de farmacêuticos, ao reter indefinidamente dados relativos a sanções disciplinares impostas ao abrigo de um regulamento antigo, viola, entre outros, os princípios da legalidade, da limitação da finalidade, da minimização dos dados, da exatidão e da limitação da retenção.

A associação foi multada em 30.000 euros.

• Segundo a Autoridade Belga de Proteção de Dados, um responsável pelo tratamento de dados sediado nos Estados Unidos, cuja atividade inclua a organização de conferências na Europa, está sujeito ao RGPD e deve, entre outras obrigações, nomear um representante na Bélgica.
• A Autoridade de Proteção de Dados da Letônia (APD) considerou que o uso de um identificador pessoal único era insuficiente para identificar claramente um titular de dados e impedir a divulgação ilegal de categorias especiais de dados pelo provedor nacional de serviços de saúde.

Foi necessário o uso de critérios adicionais, como o nome da pessoa em questão.

• A Agência Espanhola de Proteção de Dados (APD) multou um guarda de segurança em 10.000 euros por capturar imagens do sistema de videovigilância de uma prisão e divulgá-las via WhatsApp, em violação do Artigo 6.º do RGPD (Regulamento Geral sobre a Proteção de Dados).
• Em decisão datada de 22 de junho, a Autoridade Italiana de Proteção de Dados (APD) multou a empresa rodoviária italiana em um milhão de euros por não identificar seu papel como controladora de dados no contexto da utilização de serviços de cashback.
• A Autoridade Islandesa de Proteção de Dados (APD) multou o Gabinete do Médico Legista Nacional em aproximadamente 82.000 euros por múltiplas violações do RGPD (Regulamento Geral sobre a Proteção de Dados) na sequência de uma falha de segurança no seu website Heilsuvera, que oferece um sistema de saúde online e um portal de prescrições.
• Após auditar quatro empresas que utilizavam o Google Analytics em seus sites, a Agência Sueca de Proteção de Dados ordenou que essas empresas parassem de usar a ferramenta.

Duas das empresas foram multadas administrativamente, enquanto outra parou voluntariamente de usar a ferramenta.

As auditorias foram realizadas após denúncias da organização noyb, que acusou as empresas de transferir ilegalmente dados pessoais para os Estados Unidos, em violação à legislação europeia.

• Na sequência da decisão do Tribunal de Justiça da União Europeia mencionada acima, a Autoridade Norueguesa de Proteção de Dados declarou ilegal a publicidade comportamental no Facebook e no Instagram.

Durante os próximos três meses, ou até que possa comprovar sua conformidade com a legislação norueguesa, a empresa de mídia social está proibida de utilizar essa abordagem.

 

• Em meados de julho, a Casa Branca apresentou medidas provisórias na forma de compromissos voluntários para o "desenvolvimento e uso seguros, protegidos e transparentes da IA".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI concordaram em priorizar a pesquisa sobre os riscos sociais representados pelos sistemas de IA e em incentivar a descoberta e o relato de problemas e vulnerabilidades.

No entanto, de acordo com alguns especialistas acadêmicos, esses acordos estão longe de ser suficientes.

"Os Estados Unidos continuam a oferecer medidas voluntárias, enquanto a União Europeia está prestes a adotar a legislação sobre IA mais abrangente que já vimos", disse Brandie Nonnecke, diretora fundadora do Citris Policy Lab da Universidade de Berkeley.

• Enquanto isso, a Comissão Federal de Comércio (FTC) está investigando a OpenAI sobre o funcionamento do ChatGPT, com perguntas detalhadas sobre suas receitas financeiras, como os modelos são treinados e os dados são processados, riscos e procedimentos de segurança, a geração de conteúdo sobre indivíduos, ataques externos para manipular o LLM ("injeções de prompts") e a proteção de dados pessoais.
• A OpenAI descontinuou sua ferramenta para distinguir entre textos gerados por humanos e textos gerados por IA: "A partir de 20 de julho de 2023, o classificador de IA não estará mais disponível devido à sua baixa taxa de precisão." A empresa continua suas pesquisas para desenvolver uma ferramenta mais eficaz.
• A Amazon concordou em pagar mais de US$ 30 milhões para encerrar dois processos movidos pela FTC (Comissão Federal de Comércio dos EUA) por violação da privacidade de usuários, incluindo crianças, por meio de sua assistente de voz Alexa e câmeras de campainha Ring.

A Amazon foi acusada de reter gravações de vídeo da Ring e gravações de voz da Alexa, juntamente com os dados de geolocalização associados, por vários anos sem consentimento e apesar dos pedidos dos consumidores para excluir esses dados.

• A Autoridade de Desenvolvimento de Mídia e Infocomunicações de Singapura anunciou uma parceria com o Google para apoiar uma iniciativa de "ambiente de testes tecnológicos".

Esta iniciativa ajudará as empresas a "proteger a privacidade do usuário e fornecer-lhes ferramentas que lhes permitam continuar acessando os dados sem cookies de terceiros".

A parceria IMDA-Google está aberta a todas as empresas sediadas em Singapura.

• Em 3 de julho, o órgão regulador de informações da África do Sul emitiu uma notificação de infração e uma multa administrativa de 5 milhões de rands (aproximadamente 240 mil euros) ao Departamento de Justiça e Desenvolvimento Constitucional por descumprimento da Lei de Proteção de Informações Pessoais (POPIA).

Em maio, o órgão regulador emitiu uma liminar solicitando ao ministério a renovação de determinadas licenças de segurança de TI (antivírus, anti-intrusão, SIEM) e a abertura de processos disciplinares contra os funcionários envolvidos.

• No Vietnã, entrou em vigor, em 1º de julho, um decreto sobre a proteção de dados pessoais.

Prevê, em particular, a realização de avaliações de impacto das transferências de dados e a nomeação de um encarregado da proteção de dados para o tratamento de dados sensíveis.

• As subsidiárias da Meta, Onavo e Facebook Israel, foram multadas em 20 milhões de dólares australianos em 26 de julho na Austrália por não alertarem adequadamente os usuários de VPN de que seus dados seriam coletados para fins comerciais.

A sanção imposta pela ACCC (Autoridade Australiana de Concorrência e Proteção do Consumidor) é a maior já aplicada na Austrália em relação à proteção da privacidade.