Boletim Jurídico nº 65 – Novembro de 2023.

Reclamações e sanções: qual é a agenda de 2024 para as autoridades de proteção de dados?

A entrada em vigor do RGPD levou a uma maior conscientização sobre a proteção de dados, tanto entre os controladores de dados quanto entre os indivíduos.

Isso resultou em um aumento de reclamações às agências de desenvolvimento organizacional (ODAs), que às vezes são acusadas de não dar seguimento a essas reclamações devido à falta de recursos suficientes.

Enquanto no Reino Unido o "Comissário de Informação" decidiu deixar de tratar de certos tipos de reclamações consideradas não prioritárias, na União Europeia as autoridades são, em princípio, obrigadas a tratar de qualquer reclamação, desde que seja admissível, naturalmente.

Assim, a Comissão Norueguesa de Apelações de Privacidade anulou uma decisão da Autoridade de Proteção de Dados (APD) de encerrar um processo de reclamação com uma simples carta informativa ao responsável pelo tratamento de dados, obrigando este a avaliar a legalidade do tratamento e salientando que a autoridade de proteção de dados não pode escolher livremente quais casos investigar ou não.

Na França, a CNIL introduziu um procedimento de sanção simplificado em 2022, permitindo processar certos tipos de reclamações mais rapidamente.

Trata-se de casos para os quais existe jurisprudência consolidada, decisões previamente proferidas pelo painel restrito ou questões de fato ou de direito que se mostram simples de decidir.

O procedimento está documentado, mas permite que a organização em questão seja ouvida e apresente observações orais.

Nessa configuração, as sanções são mais limitadas e podem consistir em uma advertência, uma ordem para adequar o processamento – incluindo uma multa de até € 100 por dia de atraso – ou uma multa administrativa de até € 20.000.

A CNIL acaba de sancionar dez entidades públicas e privadas com multas que totalizam € 97.000 por infrações:

• À obrigação de responder às solicitações da CNIL;
• Para minimização de dados;
• Informações sobre o processamento realizado e suas finalidades;
• A obrigação de respeitar os direitos dos indivíduos e, em particular, de responder a um pedido de objeção.

A CNIL destaca que duas questões em particular se sobressaem nas reclamações que teve de analisar: a geolocalização e a vigilância permanente por vídeo dos funcionários.

O processamento realizado é frequentemente feito em violação do princípio da minimização de dados previsto no RGPD.

A Comissão observa, em particular, que "a gravação contínua de dados de geolocalização, sem a possibilidade de os funcionários interromperem ou suspenderem o dispositivo durante os intervalos, constitui, salvo justificativa específica, uma violação excessiva da liberdade de circulação e do direito à privacidade dos funcionários".

O mesmo se aplica aos sistemas de videovigilância que filmam constantemente os funcionários em seus postos de trabalho.

"A prevenção de acidentes de trabalho e a obtenção de provas não justificam a implementação da vigilância contínua por vídeo dos postos de trabalho", e os dados pessoais recolhidos não parecem ser adequados ou relevantes.

O monitoramento constante dos funcionários é, com poucas exceções, desproporcional aos objetivos buscados.

A CNIL anuncia sua intenção de intensificar sua política repressiva em 2024 e de tomar decisões em prazos mais curtos.

Cabe destacar que, no âmbito da sua colaboração a nível europeu, as autoridades de proteção de dados que são membros do Conselho Europeu de Proteção de Dados decidiram priorizar os direitos dos indivíduos no próximo ano. A ação coordenada deles se concentrará em como os controladores de dados respondem às solicitações de indivíduos para acessar seus dados, um tópico que deve ser incluído nos próximos procedimentos simplificados de sanções da CNIL.

 

  

• A CNIL publicou em 15 de novembro um Guia de referência sobre os períodos de retenção para os tratamentos mais comuns nos setores social e médico-social. e um guia prático que oferece uma metodologia aos profissionais envolvidos.
• Em parceria com a Autoridade Francesa da Concorrência (AdlC) e a Escola de Economia de Toulouse, a CNIL está organizando um evento no dia 12 de dezembro intitulado "Proteção de Dados e Concorrência: Uma Ambição Compartilhada". Durante este evento de meio dia, destinado a reguladores, pesquisadores e profissionais, a AdlC e a CNIL adotarão e apresentarão uma declaração conjunta.
• Em 9 de novembro de 2023, a CNIL (Comissão Nacional de Informática e Liberdades da França) emitiu um alerta ao Ministério da Transformação e da Função Pública e ao Ministério da Economia, Finanças e Soberania Industrial e Digital pelo uso do Dados de contato de mais de dois milhões de funcionários públicos. a fim de comunicar e justificar o projeto de reforma da previdência que estava sendo adotado na época.

O ministro havia utilizado o ENSAP, uma plataforma digital onde estão disponíveis documentos confidenciais de funcionários públicos, como seus contracheques mensais. 

O painel restrito da CNIL lembrou, em particular, que a plataforma ENSAP não pode ser usada para comunicação de natureza política.

• Em decisão datada de 16 de novembro, o Conselho Constitucional censura ativação remota de telefones celulares para capturar som e imagens previsto na lei sobre a orientação e programação da justiça no que diz respeito à lei orgânica relativa à abertura, modernização e responsabilidade do órgão judicial.

O Conselho considera que esta ativação remota, sem necessidade de os investigadores acederem fisicamente a instalações privadas para instalarem dispositivos de vigilância, é suscetível de causar uma violação particularmente significativa e desproporcionada do direito ao respeito pela vida privada.

Ele também enfatiza que essa medida possibilita o monitoramento tanto dos alvos das investigações quanto de terceiros. 

No entanto, o Conselho Constitucional não censura a ativação remota de dispositivos eletrônicos para fins de geolocalização.

• Por meio de uma decisão interlocutória datada de 22 de novembro de 2023, o tribunal administrativo de Caen decidiu que o Sistema de videovigilância algorítmica Briefcam O uso do software pela autoridade intermunicipal de Cœur Côte Fleurie (incluindo Deauville-Trouville) constitui uma violação grave e manifestamente ilegal do direito à privacidade, e a autoridade ordenou aos responsáveis que apaguem os dados pessoais resultantes da utilização do software.

O juiz em sessão reservada observou que o uso estava fora de qualquer estrutura legal ou regulamentar e considerou que "não foi comprovado, nem sequer alegado, que outros meios menos intrusivos em relação à privacidade não poderiam ter sido implementados para preservar a ordem pública".

• Em 8 de novembro de 2023, uma coligação de seis organizações, incluindo La Quadrature du Net e EDRi, apresentou um recurso ao Conselho de Estado contra o decreto francês que implementa o regulamento relativo ao combate à disseminação de conteúdos terroristas online.

Eles solicitam ao Conselho de Estado que submeta uma questão prejudicial ao Tribunal de Justiça da União Europeia (TJUE) sobre a validade do TERREG no que diz respeito aos direitos fundamentais protegidos pelo direito da União Europeia, e apontam as violações à liberdade de expressão e ao direito à informação online.

 

 

Instituições e órgãos europeus

• As Comissões do Ambiente e das Liberdades Cívicas do Parlamento Europeu adotaram a sua posição em 28 de novembro. Criação de um espaço europeu para dados de saúde a fim de promover a portabilidade dos dados pessoais de saúde e um compartilhamento mais seguro.

Os membros do Parlamento querem, em particular, tornar obrigatória a obtenção de autorização explícita dos pacientes para o uso secundário de seus dados de saúde.

• A União Europeia adotou uma revisão do regulamento eIDAS, abrindo caminho para a introdução de uma identidade digital em toda a UE.

Alguns aspectos permanecem controversos, em particular, os "Certificados de Autenticação Web Qualificados" (QWAC, na sigla em inglês), que exigirão que os navegadores aceitem certificados raiz emitidos pelo governo, projetados para prevenir fraudes e roubo de identidade. Alguns especialistas em segurança cibernética consideram isso um risco de intrusão na autenticação web: os fornecedores de navegadores não poderiam rejeitar um QWAC, mesmo que ele representasse uma ameaça à segurança.

• Enquanto As negociações sobre a futura regulamentação da IA estão em andamento. Até o momento da redação deste texto, várias questões permanecem sem resposta, incluindo a consideração de modelos de base como o ChatGPT nos regulamentos.

Uma declaração de posição da sociedade civil, comunicada aos negociadores europeus em 16 de novembro, também destaca a questão do alcance da proteção contra danos relacionados ao uso da IA para fins policiais, migratórios e de segurança nacional.

• O Comité Europeu para a Proteção de Dados (EDPB) adotou orientações em 14 de novembro relativamente ao âmbito técnico do artigo 5.º, n.º 3, da Diretiva ePrivacy.

O Comitê explica que O surgimento de novos métodos de rastreamento, com o objetivo de substituir as ferramentas de rastreamento existentes, como os cookies, e de criar novos modelos de negócios, tornou-se uma grande preocupação. em termos de proteção de dados.

As diretrizes abordam especificamente a "identificação digital de dispositivos" e as técnicas mais comuns, como rastreamento de URL e pixel, rastreamento somente por IP, relatórios da Internet das Coisas (IoT) e identificadores exclusivos.

• O Supervisor Europeu da Proteção de Dados (EDPS) publicou um "TechDispatch" em meados de novembro dedicado a inteligência artificial explicável ("IA explicável"), a fim de abordar o efeito de "caixa preta" da IA.

O texto aborda a questão dos riscos dos sistemas de IA opacos e descreve como a IA pode incorporar transparência, interpretabilidade e explicabilidade.

O CEPD também publicou, em 8 de novembro, um estudo sobre a essência dos direitos fundamentais ao respeito pela privacidade e à proteção de dados pessoais.

Este documento examina a exigência de respeitar a "essência" desses direitos quando estes são limitados pela legislação da União Europeia (UE).

• Em uma decisão datada de 9 de novembro, o Tribunal de Justiça da União Europeia (TJUE) esclareceu sua interpretação de dados pessoais.

Ela sentiu que Os números de identificação de veículos não são, por si só, dados pessoais..

No entanto, tornam-se dados pessoais quando uma pessoa (física) que tem acesso a eles possui os meios para identificar o proprietário do veículo.

• O Tribunal de Justiça da União Europeia (TJUE) adotou duas decisões importantes em 7 de dezembro relativas ao principal fornecedor de serviços de informação de crédito na Alemanha (“Schufa”).

O Tribunal declarou, em particular, que A avaliação automatizada da solvência ("pontuação") está sujeita a uma proibição geral. Em conformidade com o Artigo 22 do RGPD.

Ela acrescenta que uma empresa que estabelece uma pontuação de crédito por meios automatizados permanece sujeita ao Artigo 22, mesmo que outra empresa se baseie nessa pontuação para tomar decisões que tenham um impacto (negativo) sobre a pessoa em questão. – raciocínio que poderia ter impacto em sistemas assistidos por IA.

O Tribunal também confirmou que os tribunais nacionais têm amplos poderes para supervisionar as autoridades de proteção de dados.

• Em novembro, o Tribunal Europeu dos Direitos Humanos publicou um documento listando sua jurisprudência sobre a proteção de dados pessoais.
• A ENISA, Agência da União Europeia para a Cibersegurança, publicou o Visão geral das ameaças cibernéticas por setor de atividade em 2023.

De acordo com o "Panorama de Ameaças 2023", a administração pública e os governos continuam sendo os principais alvos, seguidos pelos setores de saúde, manufatura, transporte e finanças.

• Em 28 de novembro, a ONG noyb apresentou uma queixa contra a Meta à autoridade austríaca de proteção de dados.

LONGO contesta a "escolha" dada aos usuários europeus entre consentir em ser rastreados para fins de publicidade personalizada ou pagar até 251,88 euros por ano. "para preservar seu direito fundamental à proteção de dados no Instagram e no Facebook." 

Nesse mesmo contexto, a Organização Europeia dos Consumidores (BEUC) apresentou uma queixa em 30 de novembro à rede de autoridades de proteção do consumidor (CPC) alegando que a Meta está envolvida em práticas comerciais desleais.

Também avalia se a Meta está violando o RGPD (Regulamento Geral sobre a Proteção de Dados).

• 110 organizações da sociedade civil apelam aos decisores políticos da UE para que rejeitem a reforma em curso do EURODAC.

O banco de dados, projetado para coletar e armazenar dados sobre solicitantes de asilo, "seria transformado em uma ferramenta de vigilância, tratando pessoas que buscam proteção como suspeitos de crimes, incluindo crianças de apenas 6 anos, cujas impressões digitais e imagens faciais seriam integradas ao banco de dados".

 

Notícias dos países membros da Europa.

• Na Bélgica, a APD considerou, em 23 de novembro, num caso de vigilância no local de trabalho, que a monitorização contínua do trabalho por câmaras não cumpre o princípio do processamento mínimo de dados.

A Câmara de Contencioso da APD declarou que se tratava de uma infração grave, mas, como envolvia uma pequena empresa, notificou-a da violação e solicitou que adequasse o processamento às normas, sem aplicar multa.

• A Autoridade Dinamarquesa de Proteção de Dados rejeitou o plano da cidade de Copenhague de desenvolver ferramentas de IA para identificar cidadãos que precisam de reabilitação, porque a legislação nacional invocada para os fins do Artigo 6(1)(e) e do Artigo 6(3) do RGPD não era suficientemente específica quanto ao escopo do uso de IA.
• O Tribunal Federal do Trabalho da Alemanha implementou a Decisão C-453/21 do Tribunal de Justiça da União Europeia, considerando que O presidente do conselho de trabalhadores de uma subsidiária foi corretamente destituído do cargo de Encarregado da Proteção de Dados (DPO) do grupo de empresas devido a um conflito de interesses entre as duas funções.
• Nos Países Baixos, a AOD (Agência Oficial de Desenvolvimento) impôs medidas corretivas em 24 de novembro à agência de seguros de funcionários (Uitvoeringsinstituut Werknemersverzekeringen – UWV) em relação a 703 pessoas que recebiam benefícios.

Até o início deste ano, A UWV estava rastreando ilegalmente o comportamento online dessas pessoas que recebiam auxílio-desemprego usando um algoritmo.

• No contexto de um procedimento ao abrigo do artigo 60.º do RGPD, A Agência Irlandesa de Proteção de Dados (DPA) repreendeu o Airbnb Irlanda por violar os princípios de minimização de dados e limitação de armazenamento. e por ter invocado indevidamente o artigo 6.º, n.º 1, alínea f), do RGPD como fundamento para o tratamento de dados ao conservar os documentos de identidade de um titular de dados.
• O APD italiano iniciou uma investigação no final de novembro em sites públicos e privados para verificar a adoção de Medidas de segurança adequadas para prevenir a coleta em massa (web scraping) de dados pessoais.por terceiros com o objetivo de treinar algoritmos de inteligência artificial.
• Tribunal Regional de Berlim estimou que LinkedIn havia se envolvido em práticas comerciais desleais e em violação do GDPR, ao não considerar o uso de parâmetros "Não rastrear" (DNT) como uma objeção ao processamento e pré-selecionando a configuração "visibilidade fora do LinkedIn" quando os usuários criam uma conta pela primeira vez.

Apesar da falta de padronização, os DNTs representam, segundo o tribunal, uma objeção efetiva ao processamento de dados: em outras palavras, o direito de oposição previsto no RGPD também pode ser exercido por meios automatizados, como as configurações do navegador.

• Os ministros da área digital e de tecnologia do G7 e da OCDE se reuniram. virtualmente em 1º de dezembro de 2023 para dar continuidade às discussões com o objetivo de operacionalizar o conceito de "Fluxo Livre de Dados com Confiança" (DFFT, na sigla em inglês), a fim de facilitar os fluxos de dados transfronteiriços.

O progresso e os próximos passos estão detalhados em um comunicado de imprensa disponível online.

• Os CEOs das maiores plataformas de mídia social comparecem perante o Comitê Judiciário do Senado dos EUA. Em 6 de dezembro, para depor sobre a exploração sexual de crianças e a alegada falha das empresas em proteger crianças em suas plataformas.
• O governo australiano respondeu publicamente. em conformidade com o Relatório de Revisão da Lei de Privacidade publicado em 28 de setembro de 2023, e reafirma seu compromisso de fortalecer os padrões de privacidade australianos para alinhá-los mais estreitamente aos padrões globais.

 

Uma série de propostas teria como objetivo introduzir proteções adicionais em relação à privacidade das crianças.

• Elon Musk anunciou que Grok, seu chatbot de inteligência artificial, estaria operacional no início de dezembro.

Desenvolvido pela xAI, a empresa de IA de Musk, o chatbot será um recurso dentro do aplicativo para assinantes do X Premium+.

• O YouTube publicou um post no blog anunciando diversas medidas destinadas a rotular conteúdo gerado por IA e combater os "deepfakes".

A empresa pretende introduzir atualizações que informarão os usuários quando o conteúdo que eles visualizam for sintético.

O YouTube, portanto, solicitará aos criadores que indiquem se criaram conteúdo realista modificado ou sintético, incluindo o uso de ferramentas de IA.