Boletim Jurídico nº 69 – Março de 2024.

Segurança de dados, ameaças cibernéticas: situação atual e diretrizes.

Diversas organizações estão publicando seus relatórios sobre o estado das ameaças à segurança cibernética no início deste ano: uma oportunidade para avaliar os riscos e obter recomendações para a proteção de dados pessoais.

A Agência da União Europeia para a Cibersegurança (ENISA) publicou seu relatório sobre as ameaças à cibersegurança até 2030.

O relatório identifica ameaças relacionadas a dependências de software e campanhas de desinformação, bem como aquelas relacionadas a erros humanos, como sendo de particular preocupação.

Entre as ameaças de longo prazo, a agência aponta para a escassez de competências e as falhas dos prestadores de serviços, bem como para o aumento das ameaças relacionadas com a IA.

A iniciativa "Ação contra o Cibercrime" também compartilha sua análise sobre o estado da ameaça na França por ocasião da publicação de seu relatório anual de atividades. 

O phishing continua sendo a principal ameaça: está se diversificando e se tornando mais sofisticado. As principais formas de phishing envolvem violações de trânsito, pornografia infantil ou falso suporte técnico.

Além disso, os golpes envolvendo falsos consultores bancários permanecem em um nível elevado e constante.

A invasão de contas é outra grande ameaça, com consequências que podem levar ao roubo de identidade e prejuízos financeiros.

Por fim, os ataques de ransomware e os malwares (vírus) são causas significativas e crescentes de pedidos de assistência às vítimas.

Em 27 de março, a CNIL publicou um relatório sobre violações de segurança nos últimos cinco anos.

Ela observa que o setor privado é responsável por aproximadamente dois terços das declarações de infrações à CNIL, incluindo 39 denúncias de infrações cometidas por pequenas e médias empresas (PMEs).

O setor público, por sua vez, é responsável por 22 % das notificações.

Em relação à distribuição por atividade, as administrações públicas representam 18 % das notificações.

As atividades especializadas, científicas e técnicas são as mais representadas no setor privado, seguidas pelas atividades financeiras e de seguros.

As atividades relacionadas à saúde humana também representam 12 % das notificações.

Nesse contexto, e levando em consideração os novos riscos aos dados, a CNIL atualizou seu guia de segurança de dados no final de março.

Esta nova versão reestrutura o guia em cinco partes: usuários, equipamentos, controle de dados, preparação para incidentes e, por fim, um foco em questões particularmente atuais.

A CNIL apresenta novas fichas informativas, nomeadamente sobre inteligência artificial (IA), aplicações móveis, computação em nuvem e interfaces de programação de aplicações (APIs).

O guia também inclui fichas informativas sobre análise de risco e criptografia.

Ao final do documento, uma lista de verificação permite revisar as medidas tomadas pelo responsável e avaliar seu nível de segurança.

Dentre as medidas de proteção recomendadas, a autenticação multifator (MFA) é frequentemente citada e cada vez mais recomendada para proteger bancos de dados contra tentativas de acesso fraudulento.

A CNIL acaba de abrir uma consulta pública sobre a conformidade das soluções que utilizam a AMF com o RGPD.

Um exemplo recente confirma a necessidade de esclarecer o contexto da utilização de AMF: em Espanha, uma empresa foi condenada em tribunal por impor AMF aos seus funcionários nos seus telemóveis particulares, quando a lei exigia que lhes fornecesse telemóveis da empresa para este efeito.

Em sua recomendação, a CNIL aborda a determinação de uma base legal, a minimização dos dados coletados, os períodos de retenção e o respeito ao exercício dos direitos das pessoas interessadas.

Este documento fornece exemplos práticos de implementação de autenticação multifatorial que respeita a privacidade.

 

      

A Autoridade Francesa da Concorrência aplicou uma multa de 250 milhões de euros ao Google em 20 de março por descumprimento de seus compromissos e por uso de artigos de imprensa para treinar seu sistema de IA (Bard/Gemini). 

Esta decisão, a quarta tomada neste caso em quatro anos, insere-se no contexto da adoção da lei de 24 de julho de 2019 sobre direitos conexos, que visa criar as condições para uma negociação equilibrada entre editoras, agências de notícias e plataformas digitais.

Em 8 de abril, a CNIL publicou recomendações para o uso de IA de forma a respeitar os dados pessoais.

O objetivo deles é fornecer respostas concretas, ilustradas com exemplos, aos desafios legais e técnicos relacionados à aplicação do GDPR à IA.

Os pontos abordados nessas recomendações iniciais permitem, em particular, determinar o regime jurídico aplicável, a qualificação jurídica dos intervenientes, realizar uma análise de impacto quando apropriado e integrar a proteção de dados desde a fase de concepção do sistema (privacidade desde a conceção).

 

Instituições e órgãos europeus

Em 11 de março, o Supervisor Europeu da Proteção de Dados (SEPD) constatou que a Comissão Europeia violou diversas regras fundamentais de proteção de dados na utilização do Microsoft 365.

Em particular, "a Comissão não forneceu salvaguardas adequadas para garantir que os dados pessoais transferidos para fora da UE/EEE gozem de um nível de proteção essencialmente equivalente ao garantido na UE/EEE."

Além disso, em seu contrato com a Microsoft, a Comissão não especificou suficientemente quais tipos de dados pessoais deveriam ser coletados e para quais fins explícitos e precisos ao usar o Microsoft 365 (...).

O CEPD impôs medidas corretivas à Comissão, incluindo a suspensão, a partir de 9 de dezembro de 2024, de todos os fluxos de dados resultantes da sua utilização do Microsoft 365 para a Microsoft e as suas afiliadas e subcontratadas localizadas em países fora da UE/EEE que não estejam abrangidos por uma decisão de adequação.

Embora esta decisão diga respeito às instituições europeias, o raciocínio do CEPD tem um âmbito muito mais amplo e poderá ter repercussões na utilização do Microsoft 365 nos Estados-Membros da UE.

Em 15 de março, o Provedor de Justiça Europeu escreveu à Comissão Europeia para perguntar como esta utiliza a IA no seu processo de tomada de decisões.

O Provedor de Justiça observou que "embora os rápidos avanços na IA possam melhorar a qualidade e a eficiência do trabalho, eles representam grandes desafios em termos de precisão, potencial viés, explicabilidade e controle humano".

Ela também enfatizou que as administrações públicas devem garantir que a IA apenas auxilie a tomada de decisões humanas e não a substitua.

As questões centram-se na utilização da IA em três áreas específicas: análise do feedback do público, deteção de potenciais violações das regras da concorrência da UE e gestão de reclamações.

Embora o Parlamento Europeu tenha acabado de votar o regulamento sobre IA, os regulamentos relativos aos mercados digitais (DMA) e aos serviços digitais (DSA) já entraram em vigor e a Comissão já iniciou vários procedimentos ao abrigo destes dois textos.

Em 25 de março, iniciou processos baseados na Lei de Acesso Destinatário à Mídia (DMA) contra a Alphabet, a Apple e a Meta.

No que diz respeito à Apple e à Alphabet, a Comissão pretende determinar se as medidas implementadas em relação às suas obrigações referentes às lojas de aplicativos são contrárias à Lei de Contratação Pública, que exige que os intermediários permitam que os desenvolvedores de aplicativos "direcionem" os consumidores gratuitamente para ofertas não listadas em suas lojas de aplicativos.

Com relação à Meta, a Comissão abriu um procedimento para determinar se o modelo de "pagamento ou consentimento" recentemente introduzido para usuários na UE está em conformidade com a legislação de proteção de dados, que exige que os responsáveis pelo tratamento obtenham o consentimento dos usuários quando pretendem combinar ou utilizar seus dados pessoais de forma cruzada.

Este último procedimento soma-se ao iniciado pelo Conselho Europeu de Proteção de Dados sobre o mesmo assunto.

A Comissão também abriu um procedimento formal ao abrigo da Lei de Serviços Digitais em 14 de março para determinar se a AliExpress violou a Lei de Serviços Digitais em áreas relacionadas com a gestão e mitigação de riscos, moderação de conteúdo e mecanismo interno de tratamento de reclamações, transparência da publicidade e sistemas de recomendação, rastreabilidade do vendedor e acesso a dados para investigadores.

Na mesma data, ela também enviou um pedido de informações ao LinkedIn a respeito de publicidade potencialmente direcionada com base em dados sensíveis.

No dia 4 de março, a Comissão Europeia organizou a primeira reunião de "alto nível" sobre fluxos de dados transfronteiriços.

A reunião reuniu o Comissário para a Justiça, o Presidente do CEPD, bem como ministros e chefes das autoridades de proteção de dados de 15 países e territórios para os quais a UE adotou uma decisão de adequação.

O objetivo é promover uma maior cooperação entre esses participantes na área da proteção de dados.

Em uma decisão datada de 7 de março, o Tribunal de Justiça da União Europeia (TJUE) confirmou que a string TC (“string TC”) usada por anunciantes para codificar as preferências do usuário “contém informações sobre um usuário identificável e, portanto, constitui dados pessoais na acepção do RGPD (Regulamento Geral sobre a Proteção de Dados).

Quando as informações contidas em uma TC String são associadas a um identificador, como, entre outras coisas, o endereço IP do dispositivo do usuário, essas informações podem ser usadas para criar um perfil desse usuário e identificá-lo. 

Além disso, a IAB Europe deve ser considerada uma "controladora conjunta" nos termos do RGPD. (...)

A associação parece exercer influência sobre as operações de processamento de dados quando as preferências de consentimento do usuário são registradas em uma string TC, e determinar, em conjunto com seus membros, tanto os objetivos dessas operações quanto os meios que as sustentam. 

O Tribunal de Justiça da União Europeia (TJUE) decidiu em 7 de março, em recurso contra uma decisão do Tribunal da UE relativa ao conceito de dados pessoais.

 Considerou-se que a natureza identificável não está ligada ao facto de um "leitor médio" poder identificar uma pessoa, mas depende da posse ou não de "fatores adicionais... necessários para a identificação... [estes fatores] podem ser acessíveis a uma pessoa que não seja o responsável pelo tratamento (ver C-582/14, n.ºs 39 e 41)".

O Tribunal também errou ao argumentar que os "meios razoavelmente prováveis" de serem usados para identificar uma pessoa em questão eram limitados.

O tribunal deveria ter considerado os custos e o tempo necessários para identificar o demandante, a fim de determinar se este poderia ser identificado por "meios razoáveis".

Esta decisão dizia respeito à aplicação do regulamento de proteção de dados aplicável às instituições europeias, cujas definições são idênticas às do RGPD.

No site da Kaizener, você encontrará uma série de tabelas listando as diversas iniciativas regulatórias europeias no setor digital, bem como o seu estado de implementação. 

 

Notícias dos países membros da Europa.

A Autoridade Belga de Proteção de Dados publicou uma decisão em 15 de março relativa à base jurídica para o tratamento de dados utilizados no treino de modelos de IA e à subsequente utilização separada desses modelos para fins comerciais. 

A APD considerou que o responsável pelo tratamento não podia alegar uma utilização compatível (artigo 6.º, n.º 4, do RGPD), porque o objetivo da formação não tinha sido claramente definido desde o início.

Para uso posterior, também era necessária uma base legal própria.

O responsável pelo tratamento dos dados também deve conceder aos seus clientes o direito de se oporem à utilização dos dados para o treinamento de modelos.

A Autoridade Belga de Proteção de Dados também considerou que um controlador de dados infringiu o Artigo 5(1) do RGPD ao não eliminar a conta de email de um antigo funcionário em tempo útil.

A APD declarou que a caixa postal deve ser desativada no último dia útil e que a resposta automática deve ser desativada dentro de um mês ou, em certas exceções, três meses.

Em um contexto semelhante, a Autoridade Italiana de Proteção de Dados (APD) considerou que o responsável pelo tratamento de dados violou o princípio da minimização de dados por não ter desativado a conta de e-mail de um ex-funcionário, alegando a necessidade de redirecionar os clientes para outra conta.

O responsável pelo tratamento dos dados foi multado em 15.000 euros.

A Autoridade Italiana de Proteção de Dados (APD) multou uma subcontratada em 800.000 euros por contratar uma subcontratada secundária sem autorização prévia do responsável pelo tratamento de dados e por notificar tardiamente o responsável pelo tratamento de dados sobre uma violação de dados.

A justiça também multou cinco empresas que utilizavam reconhecimento facial para monitorar a frequência no local de trabalho.

A autoridade constatou que as medidas de proteção de dados eram inadequadas, que as pessoas não receberam as informações necessárias e que um sistema menos intrusivo poderia ter sido utilizado.

A Autoridade Italiana de Proteção de Dados (APD) também abriu uma investigação em 8 de março contra a OpenAI, que anunciou o lançamento de um novo modelo de IA chamado "Sora".

Este modelo seria capaz de criar cenas dinâmicas, realistas e imaginativas a partir de algumas instruções em texto.

A APD solicitou à OpenAi uma série de esclarecimentos tendo em vista as implicações que o "Sora" poderia ter no processamento de dados pessoais dos usuários na União Europeia e, em particular, na Itália.

Em 25 de março, a Autoridade Portuguesa de Proteção de Dados (APD) decidiu ordenar à Fundação Worldcoin que limitasse temporariamente a recolha de dados biométricos pelo "Orb" em território nacional, a fim de salvaguardar os direitos dos cidadãos, especialmente dos menores.

A decisão impõe uma medida cautelar urgente à Fundação Worldcoin, enquanto responsável pelo tratamento dos dados, até a conclusão do seu processo de investigação.

A Espanha tomou uma decisão semelhante.

A Autoridade Finlandesa de Proteção de Dados (APD) multou uma empresa de TI em 856.000 euros por não determinar o período de retenção dos dados de seus clientes.

A APD também considerou que O processamento de dados pessoais relacionados a uma única compra online não exige a criação de uma conta de cliente.

Na Alemanha, um tribunal de Berlim decidiu que o responsável pelo tratamento de dados não pode se limitar, ao responder a um pedido de acesso, a fornecer uma visão geral abstrata do processamento.

O funcionário citou esforços desproporcionais.

Segundo o tribunal, essas medidas só podem ser invocadas em casos muito excepcionais.

A Autoridade Islandesa de Proteção de Dados (APD) multou a Stjörnuna ehf em 10.059,92 euros (1.500.000 ISK). A operadora do Subway na Islândia, por monitorar ilegalmente seus funcionários sem informá-los adequadamente.

Na Áustria, o Supremo Tribunal Administrativo decidiu que um algoritmo Determinar a probabilidade de contratação de candidatos a emprego constitui tomada de decisão automatizada, nos termos do artigo 22.º do RGPD, mesmo que o resultado seja utilizado exclusivamente por uma entidade pública para fornecer aconselhamento profissional direcionado aos candidatos a emprego.

 

O governo britânico Publicado em março, um guia para a aquisição e implementação responsáveis de IA no setor de recursos humanos e recrutamento.

Em 21 de março, a ONU adotou uma resolução abrangente sobre IA.

A organização reconhece que a IA pode ajudar a acelerar a concretização dos 17 Objetivos de Desenvolvimento Sustentável e salienta a urgência de "chegar a um consenso global sobre sistemas de inteligência artificial seguros, protegidos e confiáveis".

A resolução incentiva os Estados-Membros a adotarem regulamentos e políticas de IA sobre diversos temas, incluindo a proteção da privacidade.

A Assembleia apelou a todos os Estados-Membros e partes interessadas para que "se abstenham ou cessem a utilização de sistemas de IA que não possam ser operados em conformidade com o direito internacional dos direitos humanos ou que apresentem riscos excessivos para o gozo dos direitos humanos".

De acordo com um artigo da Techcrunch de 26 de março, um tribunal federal da Califórnia divulgou vários documentos como parte de uma ação coletiva movida por consumidores contra a Meta.

Em 2016, o Facebook teria lançado um projeto secreto com o objetivo de interceptar e descriptografar o tráfego de rede entre usuários do aplicativo Snapchat e seus servidores.

O objetivo era entender o comportamento do usuário e ajudar o Facebook a competir com o Snapchat.

O Departamento de Justiça e o FBI anunciaram em 25 de março que milhões de contas online de americanos foram afetadas por um plano de hackers chineses.

Sete cidadãos chineses foram acusados de realizar uma campanha de ciberataques em larga escala.

O Departamento de Justiça afirmou que os hackers tinham como alvo críticos americanos e estrangeiros da China, empresas e políticos.

Em 25 de março, o governador republicano da Flórida sancionou um projeto de lei que proíbe o acesso de crianças menores de 14 anos às redes sociais.

Menores de 14 ou 15 anos precisarão obter o consentimento explícito dos pais para criar uma conta.

Quando as regras entrarem em vigor em 1º de julho de 2024, empresas como Facebook, Instagram e TikTok serão, em princípio, obrigadas a encerrar as contas existentes que não atendam a esses requisitos e a excluir todos os dados pessoais correspondentes.

Essa medida foi alvo de críticas e espera-se que seja contestada judicialmente com base no direito constitucional à liberdade de expressão.

Enquanto isso, os Estados Unidos estão considerando banir o TikTok em todo o país.

Em 13 de março, a Câmara dos Representantes aprovou a chamada "Lei de Proteção dos Americanos contra Aplicativos Controlados por Adversários Estrangeiros".

Caso seja aprovada pelo Senado e promulgada, a proposta obrigará o TikTok a separar a plataforma de vídeos de sua empresa controladora chinesa, a ByteDance, ou a restringir o acesso dos americanos ao aplicativo.

Em 18 de março, na terceira cúpula para a democracia em Seul, Coreia do Sul, Finlândia, Alemanha, Irlanda, Japão, Polônia e República da Coreia juntaram-se aos Estados Unidos em uma declaração conjunta sobre os esforços para combater a proliferação e o uso indevido de spyware comercial.

Os países se comprometem a trabalhar dentro de seus sistemas nacionais para estabelecer fortes salvaguardas a fim de combater a proliferação e o uso indevido dessa tecnologia de vigilância.

No Kuwait, a Autoridade Reguladora de Tecnologias da Informação e Comunicação (CITRA) publicou uma nova lei sobre a proteção de dados pessoais.