Alerta Jurídico nº 92 – Fevereiro de 2026. 

 

O subcontratado, entre o elo fraco e o jogador estratégico.

Em 9 de fevereiro, a CNIL apresentou seu relatório de 2025 referente às sanções e medidas corretivas: cookies, monitoramento de funcionários e segurança de dados são os principais temas das sanções impostas em 2025, cujo valor acumulado das multas representa um total de 486.839.500 euros.

Entre as sanções, um número significativo de casos envolve subcontratados por descumprimento das obrigações relativas aos dados que lhes foram confiados.

A CNIL nos lembra que o subcontratado deve:

• Processar dados somente de acordo com as instruções do controlador de dados;
• Implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado;
• E exclua os dados ao término da relação contratual com o controlador de dados.

O subcontratado também deve auxiliar o controlador na implementação de certas obrigações do regulamento: avaliação de impacto sobre a privacidade, notificação de violação de dados, segurança e contribuição para auditorias.

Deve também manter um registo das atividades de tratamento de dados e, em certos casos, nomear um encarregado da proteção de dados.

O artigo 28.º do RGPD, que trata do estabelecimento de um contrato específico entre o responsável pelo tratamento e o subcontratante, especifica as disposições obrigatórias que devem ser incluídas no contrato.

Isso pode ser baseado, total ou parcialmente, em cláusulas contratuais padrão, como as aprovadas pela Comissão Europeia ou por um dos Estados-Membros da UE.

É recomendável definir claramente as respectivas responsabilidades do contratante e do subcontratado nessas cláusulas. Esses detalhes podem ser úteis em caso de descumprimento por uma das partes.

Vale lembrar que muitas violações de dados recentes, que afetaram tanto o setor público quanto o privado, foram causadas por falhas de segurança por parte de um subcontratado.

Muitas vezes, a causa é erro humano e, mais especificamente, o roubo das credenciais de um funcionário.

A autenticação de dois fatores e o uso de senhas complexas continuam sendo formas essenciais de proteção contra esses ataques, como já mencionamos em um comentário sobre a recente sanção "France travail" da CNIL.

Os subcontratados têm, de fato, obrigações específicas em relação à segurança, confidencialidade e documentação.

Para garantir uma proteção de dados eficaz e adaptada aos riscos, é necessário implementar todas as medidas úteis desde a concepção do serviço ou produto e por padrão ("privacidade desde a concepção e por padrão").

Além disso, qualquer violação de dados deve ser notificada ao controlador de dados dentro dos prazos estipulados por lei.

Por fim, a eliminação de dados no final do contrato não é apenas uma obrigação, mas também a melhor forma de proteção contra violações de dados após o término da relação contratual, como demonstra a multa de um milhão de euros imposta no final de dezembro pela CNIL à empresa Mobius Solutions.

A empresa reteve uma cópia dos dados de mais de 46 milhões de usuários do Deezer após o término do contrato, apesar de sua obrigação de excluir todos esses dados ao final do contrato, o que possibilitou uma grave violação de dados.

 

A CNIL publicou uma versão atualizada de suas tabelas de proteção de dados em 2 de março. 

Estas tabelas reúnem e organizam a jurisprudência essencial e a prática de tomada de decisões relativas à proteção de dados pessoais a nível nacional e europeu.

No final de fevereiro, uma reportagem da France 2 alertou para uma violação de dados médicos, mais especificamente sobre o ataque cibernético ao software "MonLogicielMedical" realizado pela Cegedim.

O ataque permitiu que um hacker coletasse os dados médicos de 11 a 15 milhões de franceses, acessíveis na darknet.

A CNIL já havia sancionado a empresa em setembro de 2024 com uma multa de 800.000 euros, principalmente por processar dados de saúde sem autorização.

Em 18 de fevereiro de 2026, a Direção-Geral das Finanças Públicas (DGFiP) informou, em comunicado de imprensa, que foi detectado um acesso ilegítimo ao cadastro nacional de contas bancárias (FICOBA), na sequência da usurpação dos dados de identificação de um agente autorizado.

O hacker havia obtido as credenciais da conta antes do ataque cibernético: o Ministério da Economia não havia implementado a autenticação de dois fatores.

Os dados em questão referem-se a aproximadamente 1,2 milhão de contas e incluem, em particular, a identidade dos titulares das contas, seu endereço, seu banco e seu IBAN.

O canal 01net noticia a avaliação realizada pela empresa Surfshark sobre vazamentos de dados na França.

"Até 2025, 425,7 milhões de contas terão sido invadidas em todo o mundo. O país mais afetado é os Estados Unidos, com 34 milhões de violações de dados globais. Em segundo lugar está a França, seguida pela Índia, Alemanha e Rússia. Até 2025, os usuários franceses da internet terão sofrido, em média, quase uma invasão de conta por segundo."

A França também se destaca com "uma densidade de violações 12 vezes maior que a média mundial". A falta de investimento em segurança, seja por parte de empresas ou entidades públicas, está sendo apontada como uma das principais críticas.

Os corretores de dados, que vasculham a internet para revender os dados pessoais assim coletados, também são um alvo principal dos hackers.

 

Instituições e órgãos europeus

A proposta "Omnibus" da Comissão Europeia para simplificar o RGPD sofre um revés no Conselho da UE.

Em um documento datado de 20 de fevereiro, o Conselho manifesta a intenção de retirar a proposta de alteração da definição de dados pessoais.

Além disso, de acordo com a Euractiv, o Conselho também quer eliminar a proposta da Comissão de ampliar seus próprios poderes, o que lhe permitiria determinar o que constitui dados suficientemente pseudonimizados.

O texto de compromisso, elaborado pela Presidência cipriota do Conselho, servirá de base para as negociações entre os governos nacionais.

O Conselho deverá examinar o texto em 27 de fevereiro.

Em 11 de fevereiro, o Conselho Europeu de Proteção de Dados (CEPD) e o Supervisor Europeu de Proteção de Dados (SEPD) já haviam adotado um parecer conjunto, há muito aguardado, sobre os aspectos de proteção de dados desta proposta omnibus.

Em seu comunicado à imprensa, os órgãos reguladores insistem que a simplificação não deve ocorrer em detrimento da proteção das pessoas.

Eles instam os colegisladores a não adotarem as alterações propostas à definição de dados pessoais, uma vez que estas reduziriam significativamente o seu âmbito de aplicação e estariam em contradição com a jurisprudência do Tribunal de Justiça da União Europeia.

“Devemos garantir que quaisquer alterações ao RGPD e ao Regulamento Geral Europeu de Proteção de Dados esclareçam verdadeiramente as obrigações e proporcionem segurança jurídica, preservando simultaneamente a confiança e um elevado nível de proteção dos direitos e liberdades individuais.”

O parecer conjunto também sublinha a necessidade de um controlo claro por parte das autoridades de proteção de dados relativamente aos banners de cookies e à reutilização de dados do setor público.

O CEPD publicou um relatório sobre a sua ação coordenada relativamente à aplicação do direito ao esquecimento.

Este direito é um dos mais frequentemente exercidos.

Isso gerou inúmeras reclamações e um número crescente de decisões por parte das autoridades de proteção de dados.

O relatório destaca sete grandes desafios para as organizações, incluindo a falta de procedimentos internos. Ele também fornece recomendações práticas para ajudar as organizações a enfrentar esses desafios.

O Comitê também publicou um relatório sobre o evento realizado em 12 de dezembro de 2025, referente à anonimização e pseudonimização.

O relatório resume o feedback de cerca de cem participantes reunidos para discutir a aplicação do RGPD a estas técnicas, na sequência da decisão do TJUE no caso EDPS v SRB.

Ele destaca as incertezas práticas em determinar quando os dados permanecem "identificáveis", dependendo dos atores e contextos, e a questão dos "meios razoavelmente prováveis" de serem usados para reidentificar uma pessoa.

O documento não fornece diretrizes definitivas, mas identifica as principais questões que orientarão as futuras direções do CEPD em matéria de anonimização e pseudonimização no seu programa de trabalho.

O CEPD adotou seu programa de trabalho para 2026-2027.

Ele trabalhará em diversos modelos destinados a facilitar a conformidade com o RGPD: notificações de violação de dados, avaliações de impacto sobre a proteção de dados, avaliação de interesses legítimos, registo de tratamento de dados e aviso/política de privacidade.

O Tribunal de Justiça decidiu em 10 de fevereiro, no processo C-97/23 P | WhatsApp Irlanda contra o Conselho Europeu de Proteção de Dados, que a ação interposta pelo WhatsApp contra uma decisão do CEPD era admissível.

Como o Tribunal de Justiça da União Europeia ainda não examinou o mérito da causa, o Tribunal anula a decisão contestada e devolve o processo ao Tribunal.

Em 17 de fevereiro, o Tribunal Europeu dos Direitos Humanos decidiu, no caso Aliança Verde contra a Bulgária – 6580/22, que os regulamentos búlgaros que autorizam a agência de segurança nacional a utilizar "agentes infiltrados" violam o Artigo 8.º da Convenção Europeia dos Direitos Humanos, uma vez que permitem a vigilância secreta de organizações sem salvaguardas ou controlos suficientes.

 

Notícias dos países membros da União Europeia.

Na Alemanha, segundo Heise.de e Table.Media, o Bundestag está trabalhando intensamente em uma reestruturação completa de sua arquitetura digital. O Parlamento quer se libertar do domínio tecnológico de empresas americanas como a Microsoft para agir com mais resiliência e, sobretudo, de forma independente de terceiros países em tempos de crise.

A Autoridade Austríaca de Proteção de Dados (DPA) multou um responsável pelo tratamento de dados em € 1.500 por filmar ilegalmente uma calçada pública com uma câmera de vigilância e publicar as imagens de um suspeito de roubo nas redes sociais, violando assim os princípios da minimização e transparência de dados, bem como as normas que regem o tratamento de dados judiciais.

A Autoridade Dinamarquesa de Proteção de Dados (DPA) emitiu uma advertência a 51 municípios, alertando-os simultaneamente sobre o uso de produtos do Google em escolas primárias e secundárias de primeiro ciclo. Especificamente, constatou que os municípios não demonstraram adequadamente que garantiam um nível apropriado de proteção para dados pessoais processados fora da UE.

A Agência Irlandesa de Proteção de Dados (DPA) anunciou em 17 de fevereiro a abertura de uma investigação contra a empresa de Elon Musk, a X. A investigação diz respeito à criação e publicação, na plataforma X, de "imagens potencialmente prejudiciais, íntimas e/ou sexualmente explícitas, sem consentimento, que contenham ou envolvam o processamento de dados pessoais de titulares de dados da UE/EEE, incluindo crianças", utilizando um recurso de IA generativa associado ao modelo de linguagem Grok. Diversos países já decidiram banir completamente o chatbot de IA de Elon Musk, e a Comissão Europeia iniciou uma investigação em 26 de janeiro.

Nos Países Baixos, um tribunal decidiu que a Autoridade Holandesa de Proteção de Dados (APD) não justificou suficientemente a rejeição de uma queixa contra um cinema que deixou de aceitar pagamentos em dinheiro. Segundo o tribunal, a APD não avaliou se a exigência de pagamentos com cartão visava um objetivo suficientemente concreto e justificado ao abrigo do RGPD (Regulamento Geral sobre a Proteção de Dados).

Na Eslováquia, o Tribunal Constitucional invalidou uma lei que obrigava as ONGs a publicar dados relativos aos seus colaboradores, considerando que esta infringia a privacidade, a autodeterminação informativa e a liberdade de associação, ao mesmo tempo que impunha encargos excessivos.

 

A autoridade de proteção de dados do Reino Unido (ICO) multou o Reddit em £ 14,47 milhões (aproximadamente € 16,6 milhões) por não cumprir suas obrigações em relação à privacidade dos dados de crianças.

O ICO acredita que a verificação de idade do Reddit é insuficiente e que, portanto, a plataforma "não tinha base legal para processar informações pessoais de crianças menores de 13 anos".

Além disso, o Reddit "não realizou uma avaliação de impacto sobre a proteção de dados (AIPD) para avaliar e mitigar os riscos para crianças antes de janeiro de 2025".

A ICO também anunciou em 5 de fevereiro uma multa de £ 247.590 contra a MediaLab.AI, Inc., empresa por trás da plataforma de compartilhamento de imagens Imgur.

A MediaLab permitiu que crianças usassem o Imgur sem implementar as medidas básicas de segurança exigidas pela legislação de proteção de dados do Reino Unido.

Em fevereiro de 2026, a Índia decidiu estender o uso do Aadhaar, o maior sistema de identidade digital do mundo, à privacidade do dia a dia por meio de um novo aplicativo e um sistema de verificação offline.

As alterações devem permitir que os indivíduos comprovem sua identidade sem verificação em tempo real no banco de dados, integrando serviços de verificação privados como o Google Wallet e o Apple Wallet.

Uma campanha da sociedade civil argumenta que o sistema de verificação offline corre o risco de reintroduzir o uso do Aadhaar pelo setor privado, o que já foi condenado pelo Supremo Tribunal. 

O sistema também permite que "os estados indianos e a polícia vinculem todos os tipos de informações pessoais ao número Aadhaar: coordenadas de GPS, números de telefone, redes sociais, título de eleitor, passaporte, empréstimos, benefícios sociais, às vezes até mesmo os nomes de parentes ou de parceiros em certos formulários policiais."

Segundo uma reportagem da CNBC de 19 de fevereiro, a Accenture vincula as promoções de seus executivos seniores ao uso regular de suas ferramentas de IA.

Segundo relatos, diretores associados e gerentes seniores foram informados de que o "uso regular" de IA seria necessário para acessar cargos de liderança.

A estratégia de IA da empresa "exige a adoção das ferramentas e tecnologias mais recentes para atender nossos clientes da maneira mais eficiente possível", disse um porta-voz à CNBC.

Em 11 de fevereiro de 2026, o Procurador-Geral da Califórnia anunciou um acordo recorde de US$ 2,75 milhões com a Walt Disney Company. a fim de resolver alegações de que a empresa não respeitou adequadamente as objeções dos consumidores ao processamento de seus dados, de acordo com a Lei de Privacidade do Consumidor da Califórnia.

Em um artigo de 13 de fevereiro, o New York Times relata que a Meta, empresa controladora do Facebook, planeja adicionar a funcionalidade de reconhecimento facial aos seus óculos inteligentes, que fabrica em colaboração com o proprietário da Ray-Ban e da Oakley, já neste ano.

Essa funcionalidade, chamada internamente de "Etiqueta de Nome", permitiria que usuários de óculos inteligentes identificassem pessoas e obtivessem informações sobre elas por meio do assistente de inteligência artificial da Meta. Em um memorando interno publicado no ano passado, a Meta teria afirmado que a instabilidade política nos Estados Unidos desviaria a atenção das críticas ao lançamento da funcionalidade.

Em 23 de fevereiro de 2026, uma declaração conjunta sobre imagens geradas por IA foi publicada por 61 autoridades de proteção de dados.

Esta declaração conjunta aborda preocupações sobre sistemas de IA capazes de gerar imagens e vídeos realistas que retratam indivíduos identificáveis sem o seu conhecimento ou consentimento.

Em 19 de fevereiro de 2026, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) publicou novas diretrizes para ajudar as organizações a implementar as Diretrizes da OCDE para Empresas Multinacionais e os Princípios da OCDE sobre Inteligência Artificial.

Estas diretrizes têm como objetivo ajudar as organizações a gerenciar os riscos relacionados à IA e a cumprir os padrões internacionais de conduta empresarial responsável.

O desenvolvimento de agentes de IA, embora tenha como objetivo facilitar muitas tarefas administrativas, também levanta sérias questões de segurança.

O OpenClaw, o mais recente, é um projeto de código aberto que gira em torno de um agente de IA autônomo capaz de pilotar um computador em vez do usuário.

Recentemente adquirida pela OpenAI, a OpenClaw agora é alvo de sérios ataques de segurança.

Mais de 30.000 instâncias do OpenClaw foram comprometidas por cibercriminosos em apenas algumas semanas, com scripts falsos que permitiam a instalação de vírus e malware capazes de registrar tudo o que era digitado no teclado de computadores Windows. 

“Cada vez mais líderes de startups estão proibindo agentes autônomos em dispositivos da empresa, temendo vazamentos de dados confidenciais. Especialistas em segurança estão levantando sérias preocupações sobre a falta de auditoria, perspectiva, salvaguardas reais e transparência em torno da IA, enquanto um número crescente de funcionários já a integra em suas tarefas diárias em busca de produtividade.”

Esses alertas foram divulgados em 12 de fevereiro pela Autoridade Holandesa de Proteção de Dados (APD), que adverte usuários e organizações contra o uso do OpenClaw e de sistemas experimentais semelhantes devido a vulnerabilidades críticas de segurança.

A Associação Internacional de Profissionais de Privacidade (IAPP) publicou uma versão atualizada de seu diretório global de leis de privacidade e autoridades de proteção de dados em 5 de fevereiro.

A IAPP observa que os regimes de proteção de dados continuam a se desenvolver e a amadurecer em todo o mundo. “Nos últimos 12 meses, a Índia introduziu novas regras de aplicação para implementar a Lei de Proteção de Dados Pessoais Digitais, Bangladesh e Gâmbia adotaram ou estão considerando adotar novas leis abrangentes, e outros países, incluindo Equador e Indonésia, criaram novas agências para interpretar e aplicar as leis de privacidade existentes.”