Ferramentas analíticas: o impacto de uma decisão judicial – e serviços de inteligência – em nossos sites.

Legal Watch nº 44 – Fevereiro de 2022

Ferramentas analíticas: o impacto de uma decisão judicial – e dos serviços de inteligência – nos nossos sitesA decisão "Schrems II" do Tribunal de Justiça da União Europeia já era, no momento de sua publicação em julho de 2020, considerada uma decisão importante no contexto da proteção de dados pessoais e, mais especificamente, das transferências para os Estados Unidos.

Hoje, isso tem consequências cada vez mais abrangentes, uma consequência lógica das conclusões do Tribunal sobre os riscos de a inteligência americana acessar dados europeus.

Essas consequências agora afetam ferramentas comumente usadas, como soluções de medição de audiência e fontes do Google.

No mês passado já mencionámos as decisões em cascata tomadas pelas autoridades de protecção de dados da Áustria, dos Países Baixos, da Noruega e da Alemanha, às quais se juntam as de a CNIL e o Liechtenstein.

Essas decisões seguem reclamações (101 no total) apresentadas às autoridades por Max Schrems e sua associação NOYB (Centro Europeu para os Direitos Digitais), com o objetivo de garantir que o GAFAM cumpra a decisão do Tribunal de Justiça.

As conclusões das autoridades são as seguintes:

• Dados de identificação de cookies e endereços IP não anonimizados, conforme usados pelo Google Analytics, são dados pessoais.

Eles também podem ser combinados com outros dados identificáveis mantidos por terceiros (serviços de inteligência).

• O fato que os dados sejam recolhidos através de um sítio web europeu não é relevante para avaliar o risco de acesso por terceiros : o que é, é a transferência de dados para os Estados Unidos

• Transferências para os Estados Unidos só são permitidas desde que haja salvaguardas adequadas. ser tomadas, além das cláusulas contratuais padrão, por exemplo, para eliminar o risco de acesso de terceiros ao governo aos dados.

• As autoridades de protecção de dados consideraram que a as garantias adicionais assumidas pelo Google não foram suficientes para excluir a possibilidade de acesso aos dados pelos serviços de inteligência americanos.

As sanções consistem actualmente principalmente em advertências e ordens para bloquear o uso das ferramentas incriminadas pelos gestores do site. A CNIL informa que lançou vários procedimentos formais de notificação a este respeito.

Embora o Google Analytics seja amplamente utilizado, o impacto dessas decisões não se limitará a isso: as autoridades de proteção de dados estão estendendo sua análise "para outras ferramentas utilizadas por sites que resultam em transferências de dados de utilizadores europeus da Internet para os Estados Unidos ".

Muitos operadores europeus, gestores de locais no setor público ou privado, estão, portanto, preocupados.

Sabemos que é melhor prevenir do que remediar e, neste caso, devemos recorrer – se existirem – a ferramentas que não coletam dados pessoais nem os armazenam em servidores locais.

A CNIL recomenda, portanto, que as ferramentas sejam utilizadas apenas para produzir dados estatísticos anônimos, o que também permite uma isenção do consentimento do usuário.

Iniciou um procedimento para avaliar as soluções existentes e está a publicar em seu site soluções que atendem a esses requisitos, incluindo, por exemplo, Matomo, Wysistat, Beyable ou Compass.

Vale ressaltar que mesmo as ferramentas mais virtuosas podem, às vezes, ser configuradas de maneiras diferentes: É de responsabilidade do gestor do site verificar se a configuração padrão atende aos requisitos da lei.

No contexto atual, limitar o acesso de dados a terceiros é, em qualquer caso, uma prática a ser incentivada, independentemente de os riscos de acesso virem do outro lado do Atlântico ou de outro lugar.

E também

França:

A CNIL está submetendo um projeto de posição para consulta pública até 11 de março de 2022, sobre câmeras “inteligentes”. ou “aumentado” em espaços públicos.

Também publica seu novo plano estratégico 2022-2024, em torno de três eixos prioritários para uma sociedade digital confiável: “promover o respeito pelos direitos, promover o RGPD como um ativo e direcionar a regulamentação para assuntos de alto risco”.

Seus temas prioritários de controle para o ano de 2022 são a prospecção comercial, a nuvem e o monitoramento do teletrabalho.

França lança um campanha nacional de conscientização sobre crimes cibernéticos, em cooperação com a mídia, com o objetivo de orientar o público em direção a soluções de segurança cibernética. 

Europa:

Na sua reunião plenária de 22 de Fevereiro, a O Conselho Europeu para a Proteção de Dados (CEPD) adotou uma carta relativa à Convenção do Conselho da Europa sobre o Cibercrime e ao seu 2.º Protocolo Adicional, carta em que expressa preocupação quanto às possibilidades de governos terceiros solicitarem diretamente dados de prestadores de serviços europeus.

Também publicou diretrizes sobre códigos de conduta como instrumentos para transferências internacionais de dados e uma carta sobre questões de responsabilidade no contexto da inteligência artificial.

Em 15 de fevereiro, o Conselho Europeu de Proteção de Dados também lançou sua primeira ação coordenada de fiscalização sobre o uso da nuvem pelo setor público.

O uso da nuvem, que dobrou em seis anos na UE, cresceu ainda mais durante a pandemia, com implicações para o cumprimento das normas jurídicas europeias. Vinte e duas autoridades de proteção de dados, incluindo a CNIL, enviarão questionários a 75 autoridades públicas para verificar o cumprimento do GDPR e, se necessário, iniciar inspeções formais.

A CISPE, organização de provedores de serviços de infraestrutura em nuvem, anunciou a aprovação de seu código de conduta de proteção de dados pelo CEPD..

Várias empresas já assinaram, incluindo Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale e OVHCloud.

O código prevê, em especial, a possibilidade de os usuários escolherem armazenar dados no Espaço Econômico Europeu.

As ONGs também podem estar sujeitas a controlos: A Autoridade Belga de Proteção de Dados (AEPD) emitiu duas sanções contra a ONG EU DisinfoLab e um de seus pesquisadores, após um encaminhamento à CNIL. As violações do GDPR identificadas estão relacionadas à coleta em massa de dados como parte de um estudo que visa identificar as inclinações políticas de pessoas que postaram tweets sobre o "caso Benalla".

Em uma decisão significativa, a autoridade belga de proteção de dados também multou o European Interactive Advertising Bureau (IAB Europe) em € 250.000. por violação dos princípios de legalidade, lealdade e transparência, ausência de medidas técnicas e organizacionais de proteção de dados, ausência de cadastro, análise de impacto e nomeação de um DPO. Por trás dessa lista de infrações, está o princípio do "leilão em tempo real" (o leilão de dados de usuários da internet por meio de plataformas de gerenciamento de consentimento – CMPs) que é sancionado, dada sua total opacidade para as pessoas envolvidas.

A autoridade italiana de proteção de dados sancionou um clube privado até € 2.000 por ter direcionado suas câmeras de vigilância para a via pública, sem sinalização clara, em violação aos artigos 5(1)(a), 5(1)(c) e 13 do RGPD. 

Na Holanda, o Tribunal Distrital de Haia sancionou um empregador que gravou secretamente a conversa telefônica de seu funcionário.Para o tribunal, suspeitar que um funcionário entrou em contato com seus clientes para montar seu próprio negócio não é suficiente para legitimar a gravação secreta de ligações.

Também na Holanda, a Autoridade de Proteção de Dados multou uma empresa de mídia em € 525.000,00: Este último solicitou às pessoas que exercem o seu direito de acesso aos seus dados uma cópia do seu bilhete de identidade, um pedido considerado injustificado e em violação do artigo 12.º(2) do RGPD.

A Autoridade Espanhola de Proteção de Dados aplicou uma multa de 200 mil euros contra a Federação Espanhola de Futebol por compartilhar a gravação de uma videoconferência no Zoom, sem informação prévia ou consentimento dos participantes. 

Também em Espanha, o transporte rodoviário da Amazon foi multado em 2.000.000,00 euros pela coleta ilegal de informações de antecedentes criminais como parte de seu processo de recrutamento.

Internacional:

O Comitê Internacional da Cruz Vermelha acaba de ser vítima de um ataque cibernético altamente sofisticado com consequências potencialmente significativas. dada a sensibilidade dos dados processados pela organização. O site fornece informações exemplares ao público em 16 de fevereiro, explicando as circunstâncias do ataque, os riscos potenciais e as medidas tomadas para mitigá-los.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.