Boletim Jurídico nº 67 – Janeiro de 2024.

Papel e recursos dos DPOs: resultados de um ano de auditorias

Em 17 de janeiro, a CNIL e suas contrapartes europeias publicaram os resultados de suas investigações sobre o papel e os recursos dos encarregados da proteção de dados (DPOs) no contexto da aplicação do RGPD.

Este tema foi objeto de uma ação europeia coordenada pelo Comité Europeu para a Proteção de Dados (CEPD) em 2023.

As principais funções do DPO, conforme previsto nos artigos 37 a 39 do RGPD, incluem informar e aconselhar o responsável pelo tratamento de dados sobre questões de proteção de dados (incluindo a realização de avaliações de impacto), sensibilizar e formar o pessoal e monitorizar as violações de dados.

O DPO coopera com a autoridade supervisora e é o ponto de contato para os indivíduos cujos dados estão sendo processados.

As investigações das autoridades de proteção de dados foram baseadas em um questionário desenvolvido em conjunto por todas as autoridades que as compõem.

Na França, a CNIL auditou 14 controladores de dados e complementou o envio do questionário com diversas verificações in loco.

As verificações abrangeram entidades públicas, como hospitais, universidades, municípios, centros de gestão, e entidades privadas dos setores de luxo e transportes.

O número particularmente baixo de funcionários auditados é digno de nota.

Assim como diversas autoridades europeias, a CNIL optou por realizar um número limitado de investigações aprofundadas, enquanto outras autoridades contataram dezenas de milhares de gestores, sem realizar verificações tão minuciosas.

O relatório do CEPD leva em consideração essas diferenças de abordagem em sua análise.

A CNIL (Comissão Nacional de Informática e Liberdades) emite uma avaliação geral positiva do papel e dos recursos alocados ao DPO (Encarregado da Proteção de Dados).

Ela observa que, em geral, eles têm recursos suficientes.

No entanto, ela destaca as grandes disparidades entre os recursos alocados às OPDs em estruturas públicas, que muitas vezes trabalham sozinhas, especialmente em pequenas comunidades, enquanto as OPDs no setor privado geralmente contam com uma equipe.

Essa observação é confirmada em nível europeu.

Entre as deficiências observadas, destaca-se o risco de conflitos de interesse entre as funções do DPO e outras tarefas que lhe são atribuídas, bem como a falta de envolvimento do DPO nas decisões relativas à proteção de dados.

A CNIL indica, a este respeito, que (fora desta investigação) sancionou uma organização do setor social com uma multa de 10.000 euros porque o delegado não conseguiu desempenhar adequadamente as suas funções: não estava suficientemente envolvido em assuntos relacionados com a proteção de dados pessoais e as suas funções não eram visíveis para os funcionários da organização.

O relatório europeu conclui esta análise observando que os DPOs estão assumindo cada vez mais, além de seu papel em relação ao RGPD, funções-chave no contexto de novas regulamentações europeias, como as que dizem respeito à IA, serviços digitais, mercado digital ou dados. 

Eles também estão recebendo novas funções relacionadas à ética, governança de dados e espaços de dados.

À luz dessa tendência, o Comitê alerta para o aumento do risco de conflitos de interesse ou para a insuficiência de recursos disponíveis para as OPDs (Organizações de Proteção de Dados).

Ele enfatiza que as autoridades de proteção de dados, assim como os controladores de dados, têm um papel essencial a desempenhar para que o DPO (Encarregado da Proteção de Dados) possa desempenhar plenamente sua função.

 

     

• A CNIL impôs diversas sanções significativas nas últimas semanas.
• Em 29 de dezembro de 2023, a Yahoo foi multada em 10 milhões de euros por não respeitar a escolha dos internautas que recusaram cookies em seu site e por não permitir que os usuários de seu serviço de mensagens revogassem livremente seu consentimento para o uso de cookies.
• Após realizar inspeções presenciais nos armazéns da Amazon France Logistique, a autoridade francesa de proteção de dados (CNIL) também constatou, em 27 de dezembro, diversas violações do RGPD (Regulamento Geral sobre a Proteção de Dados) relacionadas ao monitoramento extensivo dos locais de trabalho, e multou a multinacional em € 32 milhões. Segundo a CNIL, a Amazon implementou um sistema de monitoramento "excessivamente intrusivo", que opera sem fornecer informações e é insuficientemente seguro.
• Em 29 de dezembro, a CNIL também aplicou uma multa de 105.000 euros à NS Cards France, uma distribuidora de dinheiro eletrônico, por retenção excessiva de dados pessoais, políticas de privacidade incompletas, medidas de segurança insuficientes e falta de consentimento do usuário em relação a cookies não essenciais.
• Por fim, será lançada uma consulta pública sobre um projeto de guia relativo à avaliação de impacto das transferências de dados para fora do Espaço Económico Europeu: uma avaliação do nível de proteção de dados no país destinatário deve ser realizada antes de qualquer transferência para um país que não possua uma decisão de adequação, bem como uma avaliação das salvaguardas a serem asseguradas para essa transferência. As contribuições podem ser submetidas até 12 de fevereiro de 2024.
• A Agência Nacional Francesa de Segurança Cibernética (ANSSI) anunciou o lançamento do Hackropole, uma nova plataforma criada para apresentar carreiras na área de segurança cibernética. A plataforma oferece mais de 300 desafios abertos a todos, abrangendo todas as áreas da segurança cibernética, da criptografia ao hacking.

 

Instituições e órgãos europeus 

• A Bélgica assumiu a presidência do Conselho da União Europeia no início de janeiro por um período de seis meses, com o lema "Proteger, fortalecer e preparar".

Os temas a serem abordados em 2024 incluem a resiliência cibernética de produtos conectados, identidade digital, espaços de dados, aplicação transfronteiriça do RGPD e inteligência artificial.

 2024 também será um ano de implementação para muitas leis finalizadas no ano passado, incluindo a lei de serviços digitais, lá lei dos mercados digitais e o lei de governança de dados.

• Em 2 de fevereiro, os embaixadores dos 27 países da União Europeia aprovaram por unanimidade, mas não sem dificuldades, o regulamentações de inteligência artificial, endossando assim, a nível governamental, o acordo político alcançado em dezembro.

Após a votação pelas comissões parlamentares europeias em meados de fevereiro, a adoção em sessão plenária está provisoriamente agendada para os dias 10 e 11 de abril.

O regulamento entrará em vigor 20 dias após a sua publicação no Diário Oficial.

As proibições relativas às práticas proibidas começarão a ser aplicadas seis meses depois, e as obrigações relacionadas aos modelos de IA, dentro de um ano.

• Em paralelo, a Comissão Europeia anunciou em 24 de janeiro a criação de um gabinete europeu de IA para contribuir para a implementação e aplicação do futuro regulamento.

Este gabinete terá como objetivo publicar orientações para estabelecer regras harmonizadas em toda a UE, bem como incentivar e facilitar o desenvolvimento de códigos de prática e de conduta a nível da União.

• O processo legislativo relacionado a Regulamentos CSAR Com o controle de bate-papo longe de ser concluído, a União Europeia propôs estender uma solução temporária que permite às gigantes da tecnologia verificar, de forma voluntária, a presença de pornografia infantil nos dispositivos de seus clientes.

Essa medida gerou críticas, principalmente do Supervisor Europeu da Proteção de Dados (SEPD). Em um parecer publicado em 29 de janeiro, o SEPD expressou preocupação com os objetivos desse regulamento, que restringiria o direito dos indivíduos à confidencialidade de suas comunicações.

• Em 31 de janeiro, a Comissão Europeia publicou o Painel de Transparência da Lei dos Serviços Digitais (DSA). Este painel oferece uma visão geral das decisões de moderação de conteúdo tomadas pelas maiores plataformas online.
• O regulamento europeu sobre proteção de dados entrou em vigor em janeiro de 2024.

Seus objetivos incluem promover a partilha justa de dados, permitir que entidades do setor público utilizem dados detidos pelo setor privado para fins específicos de interesse público e permitir que os clientes troquem facilmente de fornecedores de serviços de processamento de dados, a fim de promover o mercado europeu de computação em nuvem.

• A Comissão Europeia irá investigar o caso. parceria entre a Microsoft e a OpenAI, dentro da qual a MS planeja integrar um conjunto de ferramentas de IA em seus próprios produtos.

Em um comunicado de imprensa datado de 9 de janeiro, a Comissão convida todas as partes interessadas a compartilhar suas experiências e comentários sobre o nível de concorrência no contexto dos mundos virtuais e da IA generativa, bem como suas ideias sobre como a legislação de concorrência pode ajudar a garantir que esses novos mercados permaneçam competitivos.

• A Comissão Europeia publicou seu relatório em 15 de janeiro. a avaliação das 11 decisões de adequação Adotada ao abrigo da Diretiva de Proteção de Dados de 1995.

O documento observa que os dados pessoais transferidos da União Europeia para Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Ilha de Man, Israel, Jersey, Nova Zelândia, Suíça e Uruguai continuam a beneficiar de uma decisão de adequação ao abrigo do RGPD.

• O Conselho Europeu de Proteção de Dados (EDPB) publicou uma ferramenta de auditoria de sites para cumprimento do Regulamento Geral de Proteção de Dados da UE.

A ferramenta foi desenvolvida pela equipe de especialistas do CEPD e pode ser utilizada por autoridades de proteção de dados, bem como por controladores e processadores de dados, para agilizar a preparação, execução e avaliação de auditorias. É um software livre e de código aberto, licenciado sob a licença EUPL 1.2, e pode ser baixado em code.europa.eu.

• O CEPD também publicou em 18 de janeiro um Arquivo sobre segurança no processamento de dados e notificação de violação de dados.

O documento analisa as decisões adotadas pelas autoridades de supervisão em conformidade com o Artigo 60 do RGPD, no âmbito do mecanismo de balcão único, no domínio da segurança do tratamento e das violações de dados pessoais.

• O Tribunal de Justiça da UE decidiu, em acórdão de 30 de janeiro, que a retenção generalizada e indiscriminada de dados biométricos e genéticos de pessoas condenadas por crimes, até à sua morte, é contrária ao direito da UE e, em particular, ao direito ao esquecimento.
• O Tribunal de Justiça da União Europeia também decidiu em 16 de janeiro que O RGPD aplica-se às comissões parlamentares nacionais..

O Tribunal esclareceu o conceito de segurança nacional e afirmou que, na ausência de provas de um objetivo de segurança nacional, os tribunais nacionais devem determinar se o artigo 2.º, n.º 2, alínea a), relativo ao âmbito de aplicação do RGPD, se aplica.

• As gigantes da tecnologia têm até 6 de março para cumprir as disposições do regulamento europeu sobre mercados digitais e devem, em particular, permitir que seus usuários se registrem em um único serviço sem vinculá-lo automaticamente a outro.

É nesse contexto que a Meta anunciou, em 22 de janeiro, que os usuários do Instagram e do Facebook poderão gerenciar suas contas separadamente, de forma que suas informações não sejam mais compartilhadas entre as duas contas.

O Google também mencionou em sua página de ajuda a possibilidade de usuários europeus selecionarem os serviços que desejam manter vinculados em termos de compartilhamento de dados.

 

Notícias dos Estados-Membros da União Europeia

• Em 11 de dezembro de 2023, em cooperação com a CNIL (Comissão Nacional de Informática e Liberdades), a Autoridade Holandesa de Proteção de Dados (APD) emitiu uma decisão contra as empresas. Uber BV e Uber Technologies

A empresa Inc. foi multada em dez milhões de euros por diversas falhas no fornecimento de informações aos motoristas. 

Essas deficiências relacionam-se, em particular, aos procedimentos relativos ao direito de acesso aos dados, às transferências para fora da UE, aos períodos de retenção e ao direito à portabilidade dos dados.

• A Autoridade Holandesa de Proteção de Dados também multou a ICS, uma empresa de cartões de crédito, em 150.000 euros por não realizar uma avaliação de impacto sobre a proteção de dados (AIPD).

Em suas considerações, a APD destacou que a ausência de uma DPIA constitui uma violação do RGPD por si só, mas que também aumenta a probabilidade de outras violações do regulamento, uma vez que não há avaliação dos riscos antes da implementação do tratamento.

• A Autoridade Belga de Proteção de Dados (APD) multou uma empresa de intermediação de dados em 174.640 euros.

Entre outras violações, o controlador de dados não pôde se valer de um interesse legítimo para coletar dados de terceiros.

Ele também não informou o requerente sobre as fontes e os destinatários dos dados no contexto de um pedido de acesso. 

• A autoridade belga também investigou as práticas de um controlador de dados após uma violação de dados que afetou quase 90.000 pessoas.

Não foram adotadas quaisquer sanções, considerando que a violação de dados foi um incidente isolado e que o responsável pelo tratamento dos dados cumpriu o artigo 33.º do RGPD.

• A Autoridade Austríaca de Proteção de Dados (APD) multou um responsável pelo tratamento de dados em 10.000 euros por não cooperar com a entidade num procedimento de reclamação, violando assim o artigo 31.º do RGPD.
• Na Alemanha, um pesquisador de segurança foi multado em 3.000 euros em 17 de janeiro por descobrir e relatar uma falha de segurança em um banco de dados de comércio eletrônico que expôs quase 700.000 registros de clientes.

Descobrir uma senha em texto simples e usá-la sem autorização em uma busca é considerado crime.

Essa decisão, que será alvo de recurso, é criticada por um especialista em segurança por seu efeito inibidor sobre pesquisas legítimas de vulnerabilidades de sistemas.

• No final de janeiro, a Autoridade Dinamarquesa de Proteção de Dados (APD) constatou que um município havia violado as normas de segurança do RGPD (Regulamento Geral sobre a Proteção de Dados) ao não criptografar os discos rígidos de seus computadores.

Um computador de trabalho foi roubado da casa de um funcionário e continha dados pessoais sensíveis, dados da segurança social e dados relativos a menores.

O disco rígido não estava criptografado.

A investigação revelou que quase 1.200 laptops da prefeitura também não estavam criptografados.

• Em 24 de janeiro, o Centro Nacional de Segurança Cibernética do Reino Unido publicou um relatório preocupante sobre o impacto a curto prazo da IA nas ameaças cibernéticas.

O relatório observa, em particular, que A inteligência artificial certamente aumentará o volume e o impacto dos ataques cibernéticos nos próximos dois anos, com melhorias nas táticas, técnicas e procedimentos existentes.

Ele também observa que a IA limita as dificuldades para cibercriminosos amadores, que em breve poderão lançar ataques de phishing sofisticados e difíceis de serem identificados pelos destinatários.

 

• No final de janeiro, Thierry Breton, Comissário para o Mercado Interno, e Alejandro N. Mayorkas, Secretário de Segurança Interna dos EUA, discutiram o Plano de Ação Conjunta UE-EUA para Produtos Ciberseguros, após a cúpula UE-EUA em outubro de 2023.

Esta colaboração entre a Comissão e as agências reguladoras relevantes dos EUA visa explorar um possível reconhecimento mútuo dos requisitos de cibersegurança para produtos de hardware e software de consumo da Internet das Coisas.

O plano de ação baseia-se no quadro da legislação da UE sobre ciber-resiliência e no programa de rotulagem de cibersegurança proposto pelos Estados Unidos (Cyber Trust Mark Act).

• O governo Biden-Harris anunciou medidas importantes de IA em 29 de janeiro, após a ordem executiva do presidente Biden adotada três meses antes.

O decreto prevê, em particular, o estabelecimento de requisitos essenciais de divulgação para os desenvolvedores dos sistemas mais poderosos, a avaliação dos riscos da IA para infraestruturas críticas e o "impedimento dos esforços de atores estrangeiros para desenvolver IA para fins prejudiciais".

Os órgãos e departamentos federais competentes indicaram que concluíram todas as ações estipuladas no decreto dentro do prazo de 90 dias e comunicaram o andamento das medidas planejadas para o longo prazo.

• O Governo do Canadá criou um "glossário de informações pessoais e privacidade" que contém os termos em inglês e francês para mais de 300 conceitos.

Inclui também outras informações terminológicas (que podem variar de entrada para entrada), como outras designações, definições, notas e exemplos de uso.

• Dois pesquisadores da Carnegie Endowment for International Peace instaram o governo sul-africano a dar a máxima prioridade à cibersegurança e a adotar uma liderança mais forte nesta área no cenário internacional.

Apesar de sua dependência digital, pesquisadores indicam que a estratégia cibernética do país carece gravemente de financiamento e que o governo não possui uma posição clara nos debates sobre governança cibernética.

Segundo o Conselho Sul-Africano para Pesquisa Científica e Industrial, a África do Sul é o país africano mais visado por esses ataques cibernéticos e ocupa o oitavo lugar no mundo.