Alerta Jurídico nº 91 – Janeiro de 2026. 

 

Garantir a segurança dos dados em função das sanções do programa "France Travail".

A sanção adotada em 29 de janeiro pela CNIL contra a France Travail é exemplar, pois nos lembra dos elementos essenciais de uma política de segurança eficaz.

Num contexto de crescentes violações massivas de dados, a CNIL enfatiza três aspectos fundamentais da proteção de dados:

• Autenticação robusta,
• Registro eficaz,
• Uma política de autorização adaptada às responsabilidades dos agentes.

A sanção da CNIL, no valor de 5 milhões de euros, é o ato mais recente num caso que começou em 2024, quando hackers conseguiram aceder às contas dos consultores da Cap Emploi.

Esse acesso permitiu que eles se conectassem aos dados de todas as pessoas cadastradas no France Travail, ou que estiveram cadastradas nos últimos 20 anos, bem como das pessoas com vaga de candidato no francetravail.fr.

Isso significa que os dados de mais de 36 milhões de pessoas puderam ser baixados pelos hackers.

Em relação à responsabilidade, cabe ressaltar que, embora a CNIL não se esquive da responsabilidade dos consultores do Cap Emploi, insiste na responsabilidade principal da France Travail.

• A France Travail é responsável pela "iniciativa de implementar e gerir as medidas destinadas a garantir a segurança do sistema de informação, ao qual abriu o acesso para a Cap Emploi (...)".
• Foi também a France Travail que decidiu ignorar as recomendações anteriores da análise de impacto relativas à autenticação.

Restrições de tempo, associadas a dificuldades técnicas de implementação, teriam-no levado a desconsiderar essas precauções.

A este respeito, a CNIL reitera a sua doutrina sobre autenticação e especifica que a utilização de palavras-passe deve ser complementada por medidas adicionais (captcha, tempo de atraso de acesso ou bloqueio da conta após um máximo de dez tentativas incorretas), a menos que a palavra-passe seja composta por: um mínimo de 12 caracteres, incluindo letras maiúsculas, letras minúsculas, números e caracteres especiais; ou um mínimo de 14 caracteres, incluindo letras maiúsculas, letras minúsculas e números, sem caracteres especiais obrigatórios; ou uma frase com um mínimo de 7 palavras.

Neste caso específico, a senha tinha apenas oito caracteres e a política de autenticação estipulava um limite de 50 tentativas malsucedidas antes de bloquear o acesso às máquinas virtuais dos consultores. 

A France Travail, que processa uma grande quantidade de dados sensíveis, relacionados, por exemplo, à origem da deficiência, às restrições de um posto de trabalho, à evolução da situação da deficiência e às condições de acesso, deveria ter sido muito mais rigorosa.

Em particular, deveriam ter previsto a autenticação multifatorial, doutrina que, segundo a CNIL, é essencial sobretudo para o tratamento de dados sensíveis e para o tratamento ou operações que representem um risco para as pessoas em causa.

“A dificuldade de usar o telefone como segundo fator, devido à independência da Cap Emploi, poderia ter sido superada por outras medidas, por exemplo, distribuindo calculadoras de OTP (senha de uso único) aos funcionários (...).”

A CNIL também enfatiza o papel essencial das medidas de controle de exploração florestal.

Essas medidas não permitiram a detecção de comportamentos anormais no sistema de informação, neste caso, volumes anormais de download de dados.

O relator da CNIL critica a France Travail pela falta de monitoramento automático regular dos registros para detectar e analisar incidentes de segurança e fornecer uma resposta rápida e eficaz.

“As operações realizadas foram altamente anormais tendo em conta o momento e a frequência dos pedidos, o volume considerável de dados extraídos (25 GB de dados do tipo “texto”), a taxa de erro de certos pedidos (69 % numa das contas comprometidas (...)) e o facto de os dados terem sido extraídos apesar de a atividade dos consultores da Cap Emploi não exigir um consumo significativo de recursos ou uma extração significativa de dados (por exemplo, só na terça-feira, 6 de fevereiro de 2024, foram extraídos 9 GB de dados, o que corresponderia a mais de 13 milhões de registos para um único consultor num único dia).”

Por fim, a CNIL insiste na importância de limitar as autorizações de acesso às necessidades e funções dos funcionários.

Ela observa que as configurações das contas dos consultores haviam sido definidas de forma muito ampla, permitindo que eles acessassem os dados de pessoas que não estavam recebendo suporte, o que aumentou o volume de dados acessíveis aos invasores.

A CNIL justifica o valor da multa pela escolha da France Travail de não implementar as recomendações de sua análise de impacto, o que levou ao comprometimento dos dados pessoais de mais de 36,8 milhões de pessoas, incluindo dados sujeitos a proteção especial, como o NIR, que apresenta riscos específicos de usurpação ou interconexão devido à sua natureza significativa, única e permanente.

Pode parecer óbvio concluir que não se deve esperar que ocorra uma violação de dados para garantir a segurança de um sistema.

Cabe ressaltar também que a CNIL sanciona regularmente violações da obrigação de segurança, mesmo que estas não sejam necessariamente a causa de uma violação de dados, como, por exemplo, uma política de senhas insuficientemente robusta.

A segurança de dados também figurou entre os principais temas de sanções impostas pela autoridade supervisora em 2025, conforme indicado em seu relatório publicado no início de fevereiro.

 

Um vazamento de dados que passou despercebido por dezoito meses atingiu uma das principais empresas de segurança digital da França.

A plataforma de verificação de identidade e prevenção de fraudes Sumsub informou ter sofrido um "incidente de segurança" em julho de 2024.

A empresa só tomou conhecimento da intrusão após uma auditoria de segurança realizada em janeiro de 2026. O ciberataque baseia-se, tal como no caso da France Travail, na violação dos sistemas de um terceiro.

Os dados comprometidos incluem nomes, endereços de e-mail e números de telefone.

Em 30 de dezembro de 2025, a CNIL aplicou uma multa de 3,5 milhões de euros. À empresa, cujo nome infelizmente omite, por ter transmitido, em intervalos regulares durante seis anos, os dados dos membros do seu programa de fidelidade a uma rede social para fins de publicidade direcionada, sem consentimento válido.

Após consulta pública, a CNIL publicou suas recomendações sobre a coleta de consentimento para uso de múltiplos dispositivos em 16 de janeiro. (entre dispositivos) no contexto do uso de cookies e outros rastreadores.

O objetivo é ajudar as partes interessadas a obterem o consentimento que esteja em conformidade com os requisitos do RGPD e, em particular, garantir a transparência na recolha do consentimento.

A Comissão também publicou dois mapas em 14 de janeiro, listando as certificações aprovadas e os códigos de conduta. pelas autoridades nacionais ou pelo Conselho Europeu de Proteção de Dados (EDPB) desde a entrada em vigor do RGPD, para facilitar a identificação das ferramentas de conformidade disponíveis.

Por fim, no contexto das eleições municipais de 15 e 22 de março, a CNIL relembra boas práticas em campanhas políticas e reativa seu observatório eleitoral.

Criada em 2012, sua meta é garantir que partidos políticos e candidatos levem em consideração a legislação de proteção de dados em suas práticas.

Em particular, permite o acompanhamento de pedidos dirigidos à CNIL no contexto de campanhas eleitorais, como pedidos de aconselhamento de candidatos ou denúncias de más práticas.

No início de fevereiro, o Estado assumiu três compromissos em prol da soberania digital:

• Em relação aos dados de saúde, ele lançou um concurso público para confiar os dados de saúde dos cidadãos franceses a uma "plataforma europeia segura".
• De um modo mais geral, o Estado está empenhado em direcionar maciçamente as suas compras públicas para soluções francesas e europeias, investindo nelas 4,5 mil milhões de euros.

Segundo David Amiel, Ministro Delegado para o Serviço Civil, "Há uma necessidade urgente de nos desintoxicarmos das soluções americanas."

• Por fim, uma circular recentemente publicada pelo Primeiro-Ministro especifica que as administrações devem privilegiar soluções de mercado (em vez de desenvolvimento interno), desde que atendam aos critérios de soberania e segurança.

Em 30 de janeiro de 2026, o Conselho de Estado decidiu a favor da CNIL, no contexto de uma disputa relativa à vigilância algorítmica que a opôs à cidade de Nice.

Ele confirma que o processamento algorítmico de imagens de câmeras de segurança instaladas na entrada das escolas, implementado pela prefeitura, não é autorizado pela legislação vigente. 

Embora permita a implementação de sistemas de videovigilância em espaços públicos, o Código de Segurança Interna, pelo seu silêncio, não pode "ser interpretado como autorizando a implementação de processamento algorítmico que permita a análise sistemática e automatizada de imagens captadas em espaços públicos por meio de tais sistemas. Nenhuma outra disposição autoriza a implementação de tal processamento."

Americanos "acidentais" estão pedindo à CNIL (Comissão Nacional de Informática e Liberdades) que suspenda a transferência de seus dados bancários para os Estados Unidos.

De acordo com a Lei de Conformidade Fiscal de Contas Estrangeiras (FATCA), as instituições bancárias francesas devem transmitir uma grande quantidade de dados sensíveis sobre si mesmas às autoridades fiscais americanas para combater possíveis fraudes – os americanos devem, de fato, declarar sua renda nos Estados Unidos, independentemente de onde residam no mundo.

A Associação de Americanos Acidentais denuncia o atual acordo entre os Estados Unidos e a França que regula as condições para o compartilhamento dessas informações.

 

Instituições e órgãos europeus

Em 20 de janeiro de 2026, a Comissão Europeia propôs um novo pacote de medidas de cibersegurança com o objetivo de reforçar a resiliência da UE e melhorar a sua capacidade de gerir ameaças.

O projeto inclui uma proposta de revisão do regulamento de cibersegurança, que reforça a segurança das cadeias de abastecimento de tecnologias de informação e comunicação (TIC) da UE.

Isso garante que os produtos destinados a cidadãos da UE sejam ciberseguros desde a fase de projeto, por meio de um processo de certificação simplificado.

Isso também facilita o cumprimento das normas de cibersegurança da UE em vigor e fortalece a Agência da União Europeia para a Cibersegurança (ENISA) em seu papel de apoio aos Estados-Membros e à UE na gestão das ameaças à cibersegurança.

A Comissão Europeia e o Brasil adotaram duas decisões mútuas de adequação em 27 de janeiro, confirmando que seus níveis de proteção de dados são comparáveis.

"Reconhecendo os elevados padrões de proteção de dados que salvaguardam os consumidores e cidadãos de ambos os lados, estes acordos permitem agora que empresas, autoridades públicas e investigadores troquem livremente dados entre a UE e o Brasil."

A Comissão abriu uma nova investigação formal contra X em 26 de janeiro, ao abrigo do Regulamento de Serviços Digitais (DSA).

Ela suspeita que os recursos do Grok integrados ao X apresentem riscos não avaliados e não mitigados de gerar e distribuir conteúdo ilegal, como imagens manipuladas de conteúdo sexual explícito, incluindo conteúdo que pode constituir pornografia infantil.

O tribunal também prorrogou o processo formal iniciado em dezembro de 2023 contra a empresa X para determinar se ela avaliou e mitigou adequadamente todos os riscos sistêmicos relacionados aos seus sistemas de recomendação de conteúdo.

Também no dia 26 de janeiro, a Comissão Europeia designou oficialmente o WhatsApp como uma plataforma online muito grande (VLOP, na sigla em inglês) ao abrigo da Lei de Segurança Digital (DSA, na sigla em inglês), uma vez que a sua funcionalidade "Canais" atingiu o limiar mínimo exigido de 45 milhões de utilizadores na UE.

A Meta tem quatro meses, até meados de maio de 2026, para garantir que o WhatsApp cumpra as obrigações adicionais impostas pela DSA.

Essas obrigações incluem avaliar e mitigar quaisquer riscos sistêmicos, como violações de direitos humanos fundamentais e da liberdade de expressão, manipulação eleitoral, disseminação de conteúdo ilegal e problemas de privacidade, decorrentes de seus serviços.

O Conselho Europeu de Proteção de Dados (CEPD) e o Supervisor Europeu da Proteção de Dados (SEPD) adotaram, em 21 de janeiro, um parecer conjunto sobre a proposta da Comissão Europeia para o "Regulamento Geral sobre Inteligência Artificial (RAI) Digital", que visa simplificar a implementação de certas regras harmonizadas previstas no regulamento sobre IA, a fim de garantir a sua aplicação efetiva.

Ambas as autoridades apoiam o objetivo de abordar os desafios práticos relacionados à implementação da legislação, mas ressaltam que a simplificação administrativa não deve reduzir a proteção dos direitos fundamentais. Os reguladores acreditam que algumas das alterações propostas podem comprometer a proteção dos indivíduos no contexto da IA.

 

Notícias dos países membros da União Europeia.

Na Grécia, a Autoridade de Proteção de Dados (APD) emitiu um alerta contra a implementação de um sistema de "policiamento inteligente" que envolve o uso de dispositivos vestíveis inteligentes por policiais para determinar e verificar a identidade de cidadãos submetidos a abordagens policiais, utilizando dados biométricos. A APD considera esse processamento ilegal, pois não está especificamente previsto na legislação vigente.

A Autoridade Espanhola de Proteção de Dados (APD) multou o grupo IDCQ Hospitais e Saúde em 1.200.000 euros. por apagar dados de pacientes muito rapidamente, o que a impediu de cumprir sua obrigação de informar os indivíduos em questão.

A Autoridade Norueguesa de Proteção de Dados (APD) multou a Timegrip AS em 250.000 NOK (aproximadamente € 25.000) por negar ilegalmente aos ex-funcionários o acesso aos seus registros de horas trabalhadas após a falência da empresa e por se apresentar falsamente como mera subcontratada, quando, na verdade, exercia controle efetivo sobre os dados pessoais.

Em particular, a Timegrip assumiu o estatuto de responsável após a falência, sendo a única entidade que exercia controlo técnico e prático sobre os dados.

O presidente da Autoridade Polonesa de Proteção de Dados (APD) impôs uma multa administrativa de 978.000 PLN (€250.000) à Poczta Polska SA por não garantir a independência do encarregado da proteção de dados (DPO).

A autoridade supervisora constatou que a empresa permitiu um conflito de interesses no desempenho das funções do DPO (Encarregado da Proteção de Dados).

No Reino Unido, a APD multou a ZMLUK Limited, uma corretora financeira e agência de publicidade, em £105.000 (€120.000) por enviar mais de 67 milhões de e-mails de marketing direto não solicitados, sem o consentimento dos indivíduos em questão ou sem uma exceção válida.

A Autoridade Sueca de Proteção de Dados (APD) multou uma subcontratada, a Sportadmin i Skandinavien AB, em 6.000.000 SEK (€560.000). Prestadora de serviços digitais para clubes e associações esportivas, após um ataque cibernético expor os dados pessoais de mais de 2,1 milhões de pessoas.

O subcontratado foi considerado culpado de não implementar medidas de segurança suficientes, em violação do Artigo 32 do RGPD.

O governo suíço quer expandir a vigilância online, revisando uma portaria sobre a vigilância da correspondência postal e das telecomunicações.

A proposta aumentaria significativamente a quantidade de dados pessoais armazenados, exigindo que os grandes provedores de serviços de comunicação retivessem metadados e impondo requisitos de identificação do usuário a praticamente todos os provedores de serviços.

Essas organizações devem reter esses dados por pelo menos seis meses e ajudar as autoridades policiais a descriptografar seu conteúdo. Dezenove organizações da sociedade civil enviaram uma carta ao Departamento Federal de Justiça e Polícia da Suíça expressando suas preocupações.

 

No Reino Unido, a APD multou a ZMLUK Limited, uma corretora financeira e agência de publicidade, em £105.000 (€120.000) por enviar mais de 67 milhões de e-mails de marketing direto não solicitados, sem o consentimento dos indivíduos em questão ou sem uma exceção válida.

O governo suíço quer expandir a vigilância online. através da revisão de uma ordem sobre a vigilância da correspondência postal e das telecomunicações.

A proposta aumentaria significativamente a quantidade de dados pessoais armazenados, exigindo que os grandes provedores de serviços de comunicação retivessem metadados e impondo requisitos de identificação do usuário a praticamente todos os provedores de serviços.

Eles devem reter esses dados por pelo menos seis meses e ajudar as autoridades policiais a descriptografar seu conteúdo.

Dezenove organizações da sociedade civil enviaram uma carta ao Departamento Federal de Justiça e Polícia da Suíça para expressar suas preocupações.

Em 3 de fevereiro de 2026, o Comitê Judiciário da Câmara dos Representantes dos Estados Unidos publicou um relatório atacando a Lei de Serviços Digitais Europeia (DSA), chamando-a de instrumento de censura. "A ameaça da censura estrangeira, parte II: a campanha de dez anos da Europa para censurar a internet global e suas consequências prejudiciais para a liberdade de expressão nos Estados Unidos"

Neste relatório, várias ONGs europeias, incluindo a Bits of Freedom e a Justice for Prosperity, são descritas como "ONGs de censura".

Cinco sanções, já noticiadas anteriormente nesta newsletter, foram impostas sob a forma de proibições de entrada nos Estados Unidos contra europeus envolvidos na aplicação da DSA, na investigação e na crítica ao poder das plataformas.

A Comissão Europeia respondeu por meio de seu porta-voz, lembrando que a DSA atribui a responsabilidade a quem a merece, ou seja, às plataformas online.

A proibição do uso de redes sociais por menores de 16 anos na Austrália tornou-se um modelo internacional. Apesar das deficiências identificadas nas fases iniciais de sua implementação, a União Europeia, o Reino Unido e os Estados Unidos estão, portanto, acompanhando de perto a experiência australiana, tendo alguns países já apresentado propostas legislativas semelhantes, conforme observado pela IAPP (Associação Internacional de Profissionais de Privacidade) em um artigo de 5 de fevereiro.