Boletim Jurídico nº 78 – Dezembro de 2024. 

Quais são as perspectivas para a proteção de dados em 2025?

O novo ano prossegue com a implementação gradual do "pacote digital" da União Europeia.mas também nova legislação destinada a reforçar a proteção de dados pessoais face aos desafios colocados pelas ciberameaças.

Com a crescente presença da inteligência artificial nos negócios, podemos antecipar uma mudança no suporte à decisão em direção a sistemas mais autônomos, que deixam menos espaço para o julgamento humano, com os riscos que tal uso acarreta em termos de qualidade e proteção de dados.

O regulamento de IA rege essas novas práticas, embora seja necessário aguardar até agosto de 2026 para que todas as suas disposições sejam aplicáveis..

Como veremos nas notícias abaixo, a sua implementação já é objeto de diretrizes, como demonstra o recente parecer do Comité Europeu para a Proteção de Dados (EDPB).

Os responsáveis pelo tratamento de dados também terão de levar em consideração o Regulamento de Serviços Digitais (DSA), que está em vigor desde 17 de fevereiro.o que impõe novas obrigações, particularmente no que diz respeito à transparência, moderação de conteúdo e proteção do usuário.

Segundo a Associação Francesa de Encarregados da Proteção de Dados (AFCPD), essas regulamentações introduzem sobreposições e exigem que os Encarregados da Proteção de Dados mantenham, com considerável dificuldade, uma visão geral para garantir a conformidade consistente. A associação cita o exemplo do processamento de dados de RH, que pode passar de uma categoria não sensível para uma sensível, dependendo das tecnologias utilizadas, como a IA.

"Essas interações levantam questões fundamentais sobre a gestão harmoniosa das obrigações legais."

Em termos de segurança, o regulamento europeu sobre ciber-resiliência (Cyber Resilience Act, CRA) entrou em vigor em 10 de dezembro de 2024, e a maioria das suas disposições será aplicável em 2027.

O objetivo da Lei de Redução de Crimes (CRA) é fortalecer a proteção de dados de consumidores e empresas contra ameaças cibernéticas. Essa legislação impõe obrigações a fabricantes, desenvolvedores e varejistas de produtos conectados em relação a avaliações e informações de segurança cibernética.

Nesse mesmo contexto, o regulamento europeu sobre resiliência operacional digital (Lei de Resiliência Operacional Digital, DORA) será aplicável a partir de 17 de janeiro..

Impõe requisitos rigorosos para garantir a resiliência digital das instituições financeiras e para gerir os riscos operacionais relacionados com as tecnologias de informação, em particular os riscos associados a fornecedores externos.

A diretiva europeia relativa à segurança das redes e dos sistemas de informação (NIS2) é, em princípio, aplicável desde 17 de outubro, data em que deveria ter sido transposta para a legislação francesa.

O texto amplia seu escopo em comparação com a diretiva NIS1 e se dirige especificamente às infraestruturas e entidades essenciais para o bom funcionamento das atividades econômicas e sociais no mercado interno.

Está previsto um período de três anos para o cumprimento integral, mas é necessário implementar rapidamente um mínimo, nomeadamente o registo da entidade regulada junto da ANSSI, a notificação de incidentes e a comprovação de investimentos em soluções de segurança.

Como a lei de transposição ainda não foi adotada, permanecem incertezas quanto à identificação das entidades reguladas e às medidas concretas a serem tomadas.

Existe também alguma incerteza em relação ao cronograma de vários projetos europeus: e quanto ao projeto ePrivacy, que já está em andamento há bastante tempo?

Embora a Comissão tenha publicado sua primeira versão do regulamento em janeiro de 2017, o processo aguarda a posição do Parlamento Europeu em primeira leitura.

Este texto está gerando debates acalorados sobre a aplicação do princípio do consentimento em relação aos cookies e a confidencialidade das comunicações.

Devemos também mencionar o potencial impacto da presidência de Trump no "Quadro de Privacidade de Dados" e, de forma mais ampla, nas trocas de dados entre a União Europeia e os Estados Unidos.

Por fim, o RGPD poderá sofrer algumas atualizações, particularmente no que diz respeito às transferências de dados, às investigações coordenadas pelas autoridades de proteção de dados (APD) e ao seu alinhamento com o (futuro) Regulamento ePrivacy.

Por último, mas não menos importante, estamos a assistir ao desenvolvimento da ação coletiva na UE: Conforme noticiamos no mês passado, a ONG noyb agora pode realizar ações coletivas em qualquer Estado-membro.

Atualmente, existem outras 43 entidades qualificadas na UE, incluindo o Conselho Irlandês das Liberdades Civis e o Provedor de Justiça para a Proteção de Dados da Finlândia, que atualmente preside o CEPD.

Noyb indicou que planeja apresentar as primeiras ações judiciais em 2025.

Um risco de litígio que deve ser levado a sério pelas empresas.

 

      

Em decisão publicada em 1º de janeiro no Diário Oficial, A CNIL está preocupada com as atualizações planejadas para os sistemas de informação da France Travail.

A lei para o pleno emprego de dezembro de 2023 prevê um novo caminho de apoio para quem procura emprego, baseado sobretudo na análise de dados e na sua partilha com diversas organizações regionais e locais.

A CNIL recomenda medidas de segurança adaptadas aos riscos.

A CNIL está preparando uma certificação GDPR para subcontratados. Para estabelecer um quadro adequado, será aberta uma consulta pública até 28 de fevereiro.

A certificação deverá auxiliar os responsáveis pelo tratamento de dados na escolha de seus subcontratados, "garantindo que o tratamento realizado pelo subcontratado tenha sido avaliado como estando em conformidade com os critérios de uma norma reconhecida pela CNIL".

Em um comunicado de imprensa datado de 12 de dezembro de 2024, A CNIL anunciou que emitirá notificações formais aos editores de sites para que modifiquem seus banners de cookies considerados enganosos.

A autoridade lembra aos usuários que os cookies só podem ser instalados após o seu consentimento.

Além disso, recusar cookies deveria ser tão simples quanto aceitá-los.

Vale lembrar que diversas autoridades de proteção de dados, incluindo a belga, já adotaram uma posição rigorosa, exigindo que as duas propostas, de aceitação e de rejeição, estejam no mesmo nível e tenham o mesmo grau de visibilidade.

Em 5 de dezembro de 2024, a CNIL (Autoridade Francesa de Proteção de Dados) impôs uma multa de € 240.000 à empresa Kaspr. Em particular, por ter recolhido no LinkedIn os dados de contacto de utilizadores que, no entanto, optaram por limitar a sua visibilidade.

A Comissão ordena à empresa que apague esses dados ou, na falta disso, se for impossível distinguir esses dados, cuja visibilidade foi limitada, de outros dados, que informe os usuários "no prazo de 3 meses, sobre o processamento de seus dados e a possibilidade de se oporem a ele".

Além da coleta ilegal de dados de contato e da falta de transparência no processamento, a CNIL também critica a Kaspr por reter dados por cinco anos, um período considerado excessivo para profissionais que trocam de emprego com frequência.

Em 14 de novembro, a CNIL multou a empresa de telecomunicações Orange em 50 milhões de euros por inserir anúncios em caixas de entrada de e-mail. e instalaram cookies nos dispositivos dos usuários sem o consentimento deles.

A empresa foi obrigada a adequar suas práticas às normas, sob pena de multas adicionais.

Nos dias 10 e 11 de fevereiro, a França sediará a Cúpula de Ação em Inteligência Artificial (IA).

Nessa perspectiva, a CNIL (Comissão Nacional de Informática e Liberdades), a Universidade Paris-Saclay e a Universidade de Caen-Normandie reunirão especialistas e pesquisadores em 23 de janeiro para discutir maneiras de prevenir a desinformação, a fraude e as violações de privacidade, aproveitando as vantagens da inteligência artificial.

No dia 11 de dezembro, o Observatório Francês de IA também organizou, em preparação para a cúpula de IA, um seminário sobre os efeitos do desenvolvimento da IA no trabalho e no emprego.

As discussões se concentraram particularmente nos desafios relacionados à explicabilidade das decisões tomadas pela IA.

Em 3 de janeiro, o Tribunal de Contas publicou um relatório sobre a segurança de TI em instalações de saúde.

Ela observa que "em 2023, 10% das vítimas de ciberataques na França eram instituições de saúde. Sua vulnerabilidade está ligada, em particular, à crescente interconexão de seus sistemas de informação com o mundo exterior e ao subinvestimento crônico em tecnologia digital."

Esses ataques podem ter efeitos graves no funcionamento das instituições e no atendimento ao paciente.

As autoridades públicas reagiram tardiamente, financiando um programa de prevenção e proteção de cinco anos. Esse ímpeto deve ser mantido.

O Ministério da Saúde manifestou preocupação com o desenvolvimento do serviço "Saúde", uma nova funcionalidade da aplicação Doctolib. que propõe centralizar as informações médicas dos segurados.

Essa funcionalidade parece ser uma cópia do "Meu Espaço de Saúde", o registro digital de saúde criado pelo Estado na lei de 24 de julho de 2019 relativa à organização e transformação do sistema de saúde.

Em 12 de dezembro, a ONG noyb apresentou uma queixa contra a plataforma francesa de redes sociais BeReal. devido aos "padrões obscuros" usados pela empresa para obter o consentimento do usuário.

Ao abrir o aplicativo, os usuários se deparam com uma janela pop-up solicitando que respondam "sim" ou "não" ao uso de seus dados pessoais para fins publicitários: se clicarem em "aceitar", nunca mais verão o banner de consentimento.

No entanto, se eles rejeitarem o direcionamento, o banner aparecerá todos os dias até que o aceitem.

 

Instituições e órgãos europeus

O CEPD (Comitê Europeu para a Proteção de Dados) adotou um parecer sobre modelos de IA em 18 de dezembro. Este parecer analisa:

• Como avaliar e demonstrar que um modelo de IA é anônimo;
• Se o interesse legítimo puder constituir uma base legal para o treinamento ou uso de modelos de IA;
• As consequências de um modelo de IA ser treinado usando dados pessoais processados ilegalmente.

De acordo com o Comitê, a questão de saber se um modelo de IA é anônimo deve ser avaliada caso a caso: deve ser virtualmente impossível (“muito improvável”) (1) identificar direta ou indiretamente os indivíduos cujos dados foram usados para criar o modelo e (2) extrair esses dados pessoais do modelo por meio de consultas.

O aviso fornece uma lista de métodos para comprovar o anonimato.

Em relação ao interesse legítimo, o parecer fornece orientações para as autoridades de proteção de dados na avaliação da adequação dessa base jurídica.

Por fim, quando um modelo de IA é desenvolvido a partir de dados pessoais processados ilegalmente, isso pode afetar a legalidade de sua implementação, a menos que o modelo tenha sido devidamente anonimizado.

O Supervisor Europeu da Proteção de Dados (SEPD) adotou uma decisão concluindo que a Comissão Europeia visou ilegalmente cidadãos europeus ao exibir-lhes publicidade baseada em dados pessoais "sensíveis" relativos às suas opiniões políticas.

A ONG noyb, que iniciou a denúncia, indica que, no contexto dos debates em torno do projeto de regulamentação sobre o controle de discussões online ("Controle de bate-papo"), a Comissão Europeia identificou os Países Baixos como um Estado-membro que desejava influenciar politicamente.

Para atingir esse objetivo, ela publicou mensagens no Twitter/X promovendo indiretamente essa regulamentação para usuários liberais ou de esquerda.

 

Notícias dos países membros da União Europeia.

A fabricante alemã de automóveis Volkswagen passou a ser investigada na véspera do Ano Novo, após uma revelação do veículo de comunicação Spiegel, que a acusou de ter exposto ao público os dados de geolocalização de mais de 800 mil veículos na Europa.

Essa informação possibilitou conhecer a posição de quase 500.000 veículos com uma precisão de 10 centímetros.

Na França, estima-se que mais de 50.000 veículos das marcas Volkswagen, Audi, Skoda e Seat estejam afetados.

Na Alemanha, um prestador de serviços com sede em Hamburgo também foi multado em 900 mil euros pela autoridade local de proteção de dados por reter dados pessoais por até cinco anos após o prazo estipulado.

Para a APD, "é inaceitável que os atores que trabalham nos setores digitais não tenham desenvolvido um procedimento de eliminação coerente" (via AFCDP).

Na Espanha, a APD sancionou uma oficina mecânica que havia adicionado a ficha de seus clientes a um grupo do WhatsApp, tornando os dados de 150 clientes (números de telefone, nomes e fotos) visíveis para todos os membros do grupo.

A APD constatou uma violação do artigo 6.º, n.º 1, do RGPD, que exige uma base jurídica válida para qualquer tratamento de dados pessoais, e aplicou uma multa de 3.000 euros à empresa.

A Espanha decidiu proibir o uso do "Google Workspace for Education" nas escolas.

Essa decisão foi tomada com base em um relatório da Agência Espanhola de Proteção de Dados (APD), que considera haver "uma coleta invasiva de informações pessoais".

Este relatório foi elaborado a pedido do Ministério da Educação.

A Comissão Irlandesa de Proteção de Dados (DPC) anunciou em 17 de dezembro que multou a Meta em € 251.000.000 por não ter impedido uma violação de dados que comprometeu as informações de milhões de usuários do Facebook e por não ter documentado adequadamente a violação.

Dois dias após a publicação do parecer do CEPD sobre IA, a autoridade italiana de proteção de dados aplicou uma multa de 15 milhões de euros à OpenAI em 20 de dezembro.

Ela acredita que a empresa usou dados pessoais de usuários da internet para treinar o ChatGPT "sem ter uma base legal adequada e violou o princípio da transparência e as obrigações de informação relacionadas aos usuários".

A investigação iniciada no final de 2023 pela APD revela ainda que a empresa não forneceu um sistema adequado de verificação de idade para impedir que usuários menores de 13 anos fossem expostos a conteúdo inadequado gerado por IA.

A OpenAI também precisará lançar uma campanha de comunicação no país em diversas mídias para aumentar a conscientização pública sobre como o ChatGPT funciona e para lembrá-los de seus direitos.

Ainda podemos usar o modelo da OpenAI e a API ChatGPT para fornecer nossos próprios serviços de IA generativa?

A decisão italiana deixa a questão em aberto, especificando que terá de ser decidida pela autoridade irlandesa, ao abrigo do mecanismo do artigo 56.º do RGPD.

A Autoridade Italiana de Proteção de Dados (APD) também se posicionou em 13 de novembro sobre a publicação de fotos de menores no Facebook, lembrando que o consentimento de ambos os pais era necessário.

Neste caso específico, o pai de uma criança menor de 14 anos compartilhou sua foto no Facebook para mostrar sua semelhança com seu meio-irmão, que também aparecia na foto.

A mãe da criança, divorciada do pai, pediu sem sucesso que ele removesse a foto do Facebook e apresentou uma queixa à polícia de Austin.

As autoridades holandesas também alertaram o Arquivo Nacional em 6 de dezembro contra a publicação online dos arquivos de guerra dos Países Baixos.

Esses documentos contêm arquivos sobre pessoas suspeitas de colaborar com o ocupante durante a Segunda Guerra Mundial, incluindo dados sensíveis como religião, filiação política, saúde ou etnia de pessoas que, por vezes, ainda estão vivas.

Apesar de possuírem valor inegável, a forma como os Arquivos Nacionais pretendem disponibilizar os dados online viola a Lei dos Arquivos e o RGPD (Regulamento Geral sobre a Proteção de Dados), segundo a APD (Agência de Proteção de Dados).

Ela defende, portanto, um melhor controle das condições de acesso aos dados.

Em 18 de dezembro, a APD multou a Netflix por não informar adequadamente seus clientes sobre o processamento de seus dados entre 2018 e 2020.

Além disso, as informações fornecidas pela Netflix não eram claras em certos pontos.

Por esse motivo, a APD aplicou uma multa de € 4.750.000 ao serviço de streaming.

Desde então, a Netflix atualizou sua declaração de privacidade e aprimorou suas informações.

Na Suécia, a APD multou um proprietário em 200.000 SEK (17.366 €) por instalar dezoito câmeras nas áreas comuns de um prédio residencial e por não responder a um pedido de informações.

 

Um estudo intitulado "Rastreamento de localização interna, movimento e ocupação de mesas no local de trabalho", publicado em novembro, analisa tecnologias de monitoramento e criação de perfis de comportamento de funcionários usando sensores de movimento e infraestrutura Wi-Fi dentro das instalações da empresa.

Este estudo centra-se nas potenciais implicações para os trabalhadores na Europa e examina as soluções mais difundidas oferecidas pela Cisco, Juniper, Spacewell, Locatee e outros fornecedores de tecnologia semelhantes.

A Cisco afirma ter processado até o momento 17,2 trilhões de "pontos de dados de localização" coletados por meio de mais de três milhões de pontos de acesso Wi-Fi instalados em 250 mil edifícios em todo o mundo.

O estudo aborda brevemente como os trabalhadores resistiram à instalação de detectores de movimento por seus empregadores (através da AFCDP).

Na sequência de um processo judicial iniciado pelo WhatsApp em 2019, um juiz da Califórnia declarou a empresa israelense NSO Group, criadora do spyware Pegasus, culpada de invasão cibernética no final de dezembro.

Essa decisão é considerada “histórica” pelos oponentes dessa indústria.

Segundo Will Cathcart, diretor do WhatsApp, “o Grupo NSO alega servir aos governos de forma responsável, mas descobrimos que mais de cem defensores dos direitos humanos e jornalistas foram alvo de um ataque em maio passado; esses abusos precisam parar”.

No início de dezembro, o governo dos EUA revelou que a China havia invadido os sistemas de 8 operadoras americanas (incluindo AT&T, Verizon e Lumen Technologies).

A espionagem diz respeito ao novo formato RCS para envio de mensagens SMS entre um iPhone e um smartphone Android.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) declararam que a campanha de hackers, apelidada de Salt Typhoon pela Microsoft, é uma das maiores violações de segurança da história.

Os hackers obtiveram acesso a gravações de chamadas, ligações telefônicas ao vivo de indivíduos específicos e até mesmo a ordens judiciais confidenciais.

As autoridades recomendam o uso de aplicativos de mensagens seguros e criptografados para evitar que comunicações privadas sejam expostas.