Um novo ano sob o signo da expectativa

Legal Watch nº 42 – Dezembro de 2021

Um novo ano sob o signo da expectativa

Em termos de proteção de dados, o ano que se inicia não anuncia grandes novidades, mas sim uma evolução e talvez decisões estratégicas sobre algumas questões atuais.

Vamos nos concentrar em três delas: a implementação do GDPR pelas autoridades de supervisão, questões de saúde e a regulamentação de gigantes digitais.

Um dos temas recorrentes desde que o GDPR entrou em vigor diz respeito à seriedade de sua implementação pelas autoridades nacionais de proteção de dados. e a grande diferença entre o número e a gravidade das sanções adotadas, dependendo se o responsável está na Irlanda ou na Espanha, por exemplo.

Este último país parece ser um dos que impuseram o maior número de sanções, enquanto Luxemburgo e a CNIL podem reivindicar as multas mais altas contra a GAFAM (lembre-se da multa de 746 milhões de euros imposta por Luxemburgo à empresa Amazon).

No outro extremo do espectro está a autoridade de proteção de dados da Irlanda, que tem sido criticada abertamente por alguns de seus pares, bem como pelo vice-presidente da Comissão Europeia, por sua negligência com os principais players da web.

Para fortalecer a coesão e a eficácia dos procedimentos de controle na Europa, alguns falam em fortalecer os poderes do Conselho Europeu de Proteção de Dados (CEPD).

A questão será abordada em uma conferência organizada pela Autoridade Europeia para a Proteção de Dados nos dias 16 e 17 de junho, em Bruxelas.

O processamento de dados de saúde constitui, na sequência da crise sanitária, outro grande assunto de preocupação..

Estão preocupados

• Perguntas relacionadas às condições de pesquisa médica,
• O tratamento de dados genéticos e os riscos de revenda por certos laboratórios de dados recolhidos no âmbito de testes de rastreio, como demonstra o recente caso britânico da empresa Signpost Diagnostics,
• Rastreamento de indivíduos por meio de aplicativos e outros passes de saúde, 

• E, finalmente, os riscos relacionados à segurança de dados: estamos pensando em particular na violação de dados referente aos resultados dos testes de Covid da empresa FranceTest, que foi formalmente ordenada pela CNIL em outubro passado para proteger seus dados, ou no vazamento de dados referente à Assistance Publique-Hôpitaux de Paris.

Embora a CNIL publique regularmente as suas posições sobre esta matéria, notamos que na sua deliberação ao parlamento datada de 30 de novembro, indicou que estava à espera que o governo fornecesse elementos destinados a apoiar a eficácia dos ficheiros e meios de controlo implementados.

Uma terceira questão atual diz respeito às iniciativas regulatórias da União Europeia relativas a serviços digitais e inteligência artificial.

Além da gestão de cookies, que permanece na mira das autoridades nacionais, o legislador europeu está preocupado com o crescente poder dos gigantes da web, esses intermediários em posição dominante que fornecem serviços de mensagens e redes sociais.

Também está em questão o uso da biometria e da inteligência artificial para fins de criação de perfis cada vez mais intrusivos, e a manipulação de usuários da Internet sem seu conhecimento (padrões obscuros) por meio da apresentação de conteúdo direcionado.

Vários textos estão em processo de adoção em nível europeu, incluindo duas propostas da Comissão Europeia sobre mercados digitais e serviços digitais, e uma proposta relativa à inteligência artificial. 

O Parlamento Europeu adotou sua posição sobre a proposta sobre mercados digitais em 5 de dezembro.

Entre as mudanças feitas no texto está a adição de um requisito de interoperabilidade entre os serviços das principais plataformas de mensagens instantâneas e redes sociais, com o objetivo de permitir que os usuários troquem facilmente de provedor de serviços e combatam posições dominantes.

No início da Presidência Francesa do Conselho da União Europeia, o Supervisor Europeu de Proteção de Dados acaba de apresentar seus melhores votos de sucesso ao governo francês, ao mesmo tempo em que enfatiza a importância dessas três grandes questões relacionadas à tecnologia digital e à inteligência artificial e indica que monitorará de perto os desenvolvimentos nessas áreas.

Embora algumas prioridades já pareçam bem identificadas, esperemos que este novo ano nos traga a sua cota de boas surpresas, bem como grandes lufadas de ar fresco, finalmente.

E também

França:

A CNIL sancionou a empresa em 6 de janeiro Google no valor de 150 milhões de euros, e a empresa Facebook até 60 milhões de euros, por incumprimento de disposições legais relativas a cookies.

Em 28 de dezembro, a CNIL aplicou uma multa de 300.000 euros à empresa. CELULAR GRÁTIS, em especial por não ter respeitado os direitos dos indivíduos e a segurança dos dados dos seus utilizadores.

Na mesma data, também sancionou a empresa SLIMPAY, que oferece soluções de pagamento aos seus clientes, foi multada em 180.000 euros por não proteger adequadamente os dados pessoais dos usuários e não informá-los sobre uma violação de dados.

O presidente da CNIL notificou formalmente a empresa em 26 de novembro CLEARVIEW AI parar de coletar fotografias e vídeos disponíveis on-line e excluir os dados dentro de 2 meses.

A empresa desenvolveu um software de reconhecimento facial cujo banco de dados é baseado na extração de fotografias e vídeos disponíveis publicamente na internet.

UM nova versão do guia do desenvolvedor CNIL acaba de ser publicado. Este guia oferece novo conteúdo desenvolvido para auxiliar profissionais de desenvolvimento web e de aplicativos a garantir que seu trabalho esteja em conformidade.

Lá SNCF Em dezembro, a empresa moveu seus 7.000 servidores e 250 aplicativos para a nuvem da Amazon, especificamente para três data centers na região de Paris.

O objetivo da empresa também é expandir o uso de inteligência artificial.

Europa

O Conselho Europeu para a Proteção de Dados publicou diretrizes em 14 de dezembro para ajudar os controladores de dados a gerenciar violações de segurança.

O texto inclui um grande número de exemplos e desenvolve as medidas a serem tomadas dependendo do tipo de infração.

Agência da União Europeia para os Direitos Fundamentais (FRA) está publicando, em colaboração com as autoridades de proteção de dados, um guia destinado a informar melhor os requerentes de asilo e os migrantes sobre o uso feito de suas impressões digitais.

Quando parados na fronteira externa da União Europeia, eles são obrigados a fornecer suas impressões digitais, que são armazenadas no arquivo Eurodac.

O Tribunal Administrativo de Wiesbaden Em 1º de dezembro, uma empresa alemã ordenou à Universidade de Ciências Aplicadas RheinMain que suspendesse totalmente o uso do gerenciador de consentimento “Cookiebot”. O motivo foi a transferência ilegal de dados de visitantes do site para os Estados Unidos.

Autoridade Finlandesa de Proteção de Dados multou uma empresa de psicoterapia em mais de € 600.000 em 7 de dezembro por não garantir adequadamente a segurança dos dados de seus pacientes e não informá-los sobre duas violações de segurança que levaram à chantagem contra os pacientes em questão e a própria empresa.

Autoridade Norueguesa de Proteção de Dados impôs uma multa de 6.300.000 euros contra Grindr compartilhar dados de seus usuários com terceiros para fins de criação de perfil e publicidade, sem o consentimento deles.

Administração Tributária Holandesa foi multado em EUR 2.750.000 por processamento de dados sem base legal e em violação do princípio de justiça (artigos 5(1)(a) e 6(1)(e) do RGPD.

Ministério da Defesa Belga foi vítima de um grave ataque cibernético em 20 de dezembro, causado pelo malware Log4Shell, que impactou as atividades da administração por vários dias. 

Autoridade Belga de Proteção de Dados multou uma empresa em 10.000 euros por comprar um banco de dados para fins de marketing direto sem verificar se os dados haviam sido coletados legalmente.

A empresa também não informou os indivíduos envolvidos sobre essa coleta indireta, nem respondeu à solicitação de acesso de um indivíduo.

Internacional:

Amazon entrou com vários pedidos de patente para tecnologias biométricas projetadas para permitir que câmeras de videofone detectem indivíduos suspeitos com base em vários critérios: cheiro, textura da pele, impressões digitais, olhos, voz e andar.

Lá Coréia do Sul tem sido considerado como fornecendo um nível adequado de proteção desde 17 de dezembro. A decisão da Comissão Europeia ocorre alguns meses após a conclusão de um acordo de livre comércio entre a União Europeia e a Coreia, que entrou em vigor em julho de 2021.

A partir de 15 de fevereiro, o Governo chinês sujeitará empresas chinesas com operações comerciais internacionais a uma série de controles de segurança cibernética.

As verificações visam limitar a transmissão de dados estratégicos para fora do país.