Observatório Jurídico nº 81 – Março de 2025. 

Violações de dados: quais leis aplicar e quais sanções?

Quem não recebeu recentemente um e-mail da sua operadora de telecomunicações ou da ONG para a qual faz uma doação mensal, informando que seus dados de contato, identificadores e, às vezes, até mesmo seus dados bancários, foram comprometidos?

Numa altura em que as violações de dados se multiplicam, a proteção dos sistemas de TI torna-se uma questão crucial para as empresas.

Desde a entrada em vigor do RGPD e da diretiva NIS2, a segurança do tratamento de dados é rigorosamente regulamentada e as violações estão sujeitas a elevadas sanções para os responsáveis pelo tratamento de dados.

Dentre as obrigações, devemos mencionar a obrigação de notificar a CNIL e as pessoas envolvidas sobre a violação sob certas condições, de remediar a violação e de tomar todas as medidas úteis para mitigar suas consequências.

A CNIL possui amplos poderes de investigação e sua missão é apoiar, mas também sancionar, os controladores de dados quando uma violação de segurança for a causa da violação de dados.

A Comissão impôs diversas sanções nos últimos anos:

• A Bouygues Telecom foi multada em € 250.000 em 2017 devido à segurança insuficiente em seu site para clientes B&You, que permitiu o acesso aos contratos de 2 milhões de clientes por meio de uma modificação de URL.
• Em 2016, a Uber foi multada em € 400.000 por uma violação de segurança que comprometeu 57 milhões de contas e por não ter notificado a CNIL (Comissão Nacional de Informática e Liberdades) dentro dos prazos legais.
• Mais recentemente, a Dedalus Biologie expôs os dados de saúde de 500.000 pacientes devido a uma configuração incorreta do servidor por parte de uma subcontratada e foi multada em 1,5 milhão de euros pela CNIL (Comissão Nacional de Informática e Liberdades).
• Por fim, em outubro passado, a Ledger, uma empresa de segurança de criptomoedas, foi multada em € 750.000 por não proteger adequadamente os dados de seus clientes. A empresa sofreu – e manteve silêncio sobre – diversas violações de dados pessoais em 2020, afetando inúmeros clientes e potenciais clientes.

A Comissão, no entanto, parece atualmente dar preferência ao apoio em vez das sanções.e publica diversas recomendações para controladores de dados em seu site.

No início do ano, respondeu às violações de dados em larga escala que afetaram milhões de pessoas em 2024 e propôs medidas de reforço da segurança para lidar com os riscos de ataques.

A CNIL insiste em procedimentos internos da empresa, bem como em precauções a serem tomadas em caso de subcontratação.

Em outras partes da Europa, Muitas empresas estão sendo multadas em valores que variam de alguns milhares a várias centenas de milhares de euros por, por exemplo, "esquecerem" de remover os direitos de acesso ao sistema de computador de ex-funcionários, por erros no design de um aplicativo bancário ou na configuração de um site, por enviarem por engano um cartão SIM para o cliente errado, por baixarem arquivos de clientes no WhatsApp ou por não controlarem suficientemente as práticas de um subcontratado.

Em nível supranacionalO Tribunal de Justiça da União Europeia também fornece esclarecimentos, em particular no que diz respeito à indemnização das vítimas.

Caso seja exigido que a pessoa prove a existência de danos causados por uma violação de dados, esses danos não devem atingir um determinado grau de gravidade (Processo C-300/21, Processo C-590/22).

Assim, o receio sentido por uma pessoa de que os seus dados pessoais tenham sido divulgados a terceiros pode dar origem a um direito a indemnização, desde que a pessoa apresente provas do seu receio, com as respetivas consequências negativas (Processo C 340/21, Processo C 687/21, Processo C-590/22).

O Tribunal de Justiça da União Europeia (TJUE) também decidiu que a compensação por danos morais causados pelo roubo de dados pessoais não se limita aos casos em que se demonstre que este resultou efetivamente em roubo de identidade.

Portanto, podem existir danos indenizáveis sem que se comprove o roubo de identidade. (Processos C 182/22 e C 189/22).

Com o desenvolvimento de ações coletivas, as empresas que não levam a sério os riscos de violações de dados se expõem não apenas a sanções da CNIL, mas também a ações judiciais movidas por indivíduos.

 

 

Na noite de quinta-feira, 20 de março, a Assembleia Nacional votou pela manutenção da confidencialidade dos serviços de mensagens criptografadas..

A medida previa a possibilidade de exigir que essas plataformas de mensagens (Signal, WhatsApp, etc.) comunicassem as comunicações dos traficantes aos serviços de inteligência.

"Os membros do parlamento rejeitaram esta medida, que uniu muitos especialistas e profissionais de cibersegurança, na comissão de legislação na semana passada. Na opinião deles, existe um risco muito grande de criar uma vulnerabilidade que colocaria em risco as conversas de todos os usuários dessas plataformas."

Para que os profissionais envolvidos "possam se preparar para as próximas consultas ou discussões", a CNIL apresentou, em 27 de março, o programa de trabalho e as diretrizes que pretende adotar em 2025.

Entre os temas abordados estão guias práticos sobre IA, projetos de documentos de referência relativos a subcontratados, saúde, setor bancário, períodos de retenção de dados nas áreas de marketing e recursos humanos, três projetos de recomendações sobre consentimento "multidispositivo", pixels em e-mails e a terceira idade; por fim, a CNIL dará continuidade ao seu trabalho sobre câmeras veiculares e propaganda política.

A decisão da CNIL que autoriza, sob certas condições, a Agência Europeia de Medicamentos a aceder a extratos de dados do SNDS no âmbito do projeto DARWIN. (Rede de Análise de Dados e Interrogatório no Mundo Real) UE, foi publicada na Légifrance.

A Comissão critica a escolha de um provedor de hospedagem sujeito à legislação extraterritorial, o que o expõe ao risco de comunicação de dados sensíveis a potências estrangeiras, mas que, mesmo assim, autoriza o processamento por um período limitado a três anos para a amostra de dados e um ano após a publicação do estudo.

Em decisão datada de 28 de março, a autoridade francesa da concorrência multou a Apple em 150 milhões de euros. "por abuso de posição dominante no setor de distribuição de aplicativos móveis em dispositivos iOS e iPadOS."

A medida visa especificamente o recurso Transparência de Rastreamento de Aplicativos (ATT) da Apple, que permite aos usuários escolherem facilmente se desejam ou não ativar o rastreamento de terceiros.

A autoridade considera que a estrutura em si "não é fundamentalmente problemática", mas salienta que a ATT torna a utilização de aplicações de terceiros no ambiente iOS excessivamente complexa, exigindo múltiplas janelas pop-up de consentimento.

A medida penalizaria particularmente as editoras menores "que dependem em grande parte da coleta de dados por terceiros para financiar seus negócios".

Em uma decisão datada de 1º de abril, O Conselho de Estado decidiu sobre o bloqueio do TikTok na Nova Caledônia durante os tumultos da primavera passada.

Embora considere que, neste caso específico, as condições de validade não foram cumpridas, estabelece, no entanto, as condições em que tal bloqueio de uma rede social poderia ser legal, entendendo que a autoridade administrativa "pode (...) recorrer a tal medida [de bloqueio], em circunstâncias excepcionais, se for essencial para atender às necessidades do momento".

A medida deve ser:

• Indispensável para lidar com eventos particularmente graves;
• Sem quaisquer meios técnicos que permitam a implementação imediata de medidas alternativas;
• E será tomada "por um período limitado, necessário para a pesquisa e implementação dessas medidas alternativas".

 

Em acórdão datado de 26 de março, a câmara social do Tribunal de Cassação confirmou o direito de uma funcionária de obter uma cópia parcial dos recibos de vencimento de alguns de seus colegas, a fim de demonstrar tratamento injusto. em sua progressão de carreira.

O tribunal reitera o princípio da minimização de dados e especifica que é da responsabilidade do juiz do processo "garantir que a informação, que ele especificará como tendo de permanecer visível, seja adequada, relevante e estritamente limitada ao essencial para a comparação entre os funcionários, tendo em conta o(s) alegado(s) motivo(s) de discriminação".

 

Instituições e órgãos europeus

A Politico anunciou em um artigo de 3 de abril que A Comissão Europeia planeja apresentar uma proposta para simplificar o RGPD nas próximas semanas..

Segundo a publicação, esta é "uma das prioridades da Presidente do executivo da UE, Ursula von der Leyen, que está tentando tornar as empresas do Velho Continente mais competitivas em relação às suas rivais nos Estados Unidos, na China e em outros lugares".

Em 1º de abril, a Comissão apresentou seu roteiro para uma "nova estratégia europeia de segurança interna", chamada ProtectEU, que visa, em particular, ampliar os poderes da Europol e da Frontex.

A Comissão realizará uma avaliação do impacto das regras de retenção de dados a nível da UE e elaborará um roteiro tecnológico sobre criptografia, "a fim de identificar e avaliar soluções tecnológicas que permitam às autoridades policiais aceder legalmente a dados criptografados, salvaguardando simultaneamente a cibersegurança e os direitos fundamentais".

O Advogado-Geral do Tribunal de Justiça da União Europeia (TJUE) considera, nas suas conclusões de 27 de março, que o WhatsApp, por ser diretamente afetado, pode impugnar a decisão vinculativa do CEPD perante o Tribunal Europeu, ao abrigo do artigo 263.º do TFUE.

Como lembrete, na sequência desta decisão do CEPD em 28 de julho de 2021, no âmbito do mecanismo de coerência com o RGPD, a Comissão Irlandesa de Proteção de Dados adotou uma decisão que reconheceu as infrações, impondo medidas corretivas e multas administrativas num montante acumulado de 225 milhões de euros.

O WhatsApp contestou a decisão do CEPD perante o Tribunal Europeu e, em paralelo, a decisão final de execução da Diretiva Irlandesa sobre Proteção de Dados (APD) perante um tribunal irlandês.

A Assembleia Geral também considerou, no mesmo dia, que o envio de um boletim informativo diário constitui "marketing direto" para "produtos ou serviços similares" na acepção da Diretiva ePrivacy, e considerou que, quando o tratamento de dados pessoais for lícito com base nessa disposição, o Artigo 6.º do RGPD não é aplicável: quando houver uma disposição específica na Diretiva ePrivacy que acarrete obrigações com o mesmo objetivo das disposições correspondentes do RGPD, é a disposição da Diretiva ePrivacy que deve ser aplicada.

Em 20 de março, o Tribunal decidiu finalmente que o RGPD confere aos titulares dos dados o direito a uma medida cautelar em casos de tratamento ilícito de dados. Esta opção preventiva de requerer uma medida cautelar não atenua a indemnização por danos morais resultantes desse tratamento ilícito.

O Tribunal de Justiça da União Europeia (TJUE) decidiu em 13 de março que o Artigo 16 do RGPD exige a retificação do sexo de uma pessoa transgénero registado incorretamente num registo público.

Embora a autoridade competente possa solicitar provas de imprecisão, exigir que a pessoa em questão prove que se submeteu a uma cirurgia de redesignação sexual constitui uma violação dos seus direitos humanos.

 

Notícias dos países membros da União Europeia.

Na Alemanha, o Tribunal Federal de Justiça confirmou a indenização de 500 euros por danos morais concedida a um demandante devido a prejuízos à sua reputação. Em conformidade com o Artigo 82 do RGPD.

Além disso, sustentou que um tribunal não pode levar em consideração nem a gravidade da violação do RGPD nem a questão da culpa ao determinar o valor da indenização.

A Autoridade Austríaca de Proteção de Dados (APD) ordenou a destruição de imagens tiradas por um fotógrafo por descumprimento do RGPD (Regulamento Geral de Proteção de Dados)..

O fotógrafo publicou em um site público imagens tiradas na rua de pessoas identificáveis, particularmente crianças e mulheres, em contextos sensíveis, sem uma base legal válida ou garantias suficientes (informação, direito de objeção).

A associação Noyb acaba de sofrer um revés perante o Tribunal de Recurso de Bruxelas..

Em uma decisão datada de 19 de março, o tribunal decidiu que...As queixas transmitidas pela associação devem demonstrar um interesse pessoal por parte da pessoa em causa..

Neste caso específico, o Tribunal de Mercado indica que não encontrou qualquer justificação para tal interesse por parte dos demandantes relativamente às violações das regras relativas aos cookies.

Ela menciona, entre outras indicações, que Noyb não alega em nenhum momento do processo que os demandantes eram visitantes regulares ou mesmo ocasionais dos sites/jornais em questão.

Na Bélgica, uma sauna erótica também recebeu uma advertência da câmara de litígios da APD, em particular por manter um livro de visitas online que permitia a divulgação pública de dados sensíveis relativos aos clientes.

A APD observou a falta de transparência na política de privacidade, a ausência de uma base legal para o processamento de dados e o não cumprimento das obrigações relativas ao registo das atividades de processamento.

Na Espanha, a APD multou um banco em 3.500.000 euros por uma grave falha de projeto em um aplicativo bancário que permitia aos clientes acessar contas para as quais não tinham autorização.

Uma seguradora também foi multada em € 1.000.000 por um erro de programação que resultou no envio de dados pessoais, incluindo dados sensíveis, de 3.395 pessoas por e-mail para 354 empresas destinatárias.

Na Grécia, a APD multou um banco em 3.000 euros por não ter implementado medidas de segurança adequadas após uma violação interna de dados.

Um funcionário manteve indevidamente os direitos de administrador após deixar a empresa e acessou os dados de mais de 6.000 outros funcionários sem autorização.

Decisão semelhante foi tomada pela Autoridade Italiana de Proteção de Dados (APD).

Num caso de spam por SMS, a Autoridade Grega de Proteção de Dados (APD) solicitou à autoridade nacional de nomes de domínio a suspensão do nome de domínio da empresa em causa, sob o fundamento de que este nome de domínio estava a ser utilizado de má-fé ou de forma contrária à ordem pública.

Observação que, no âmbito da ICANN, os registradores "suspenderam 2.528 nomes de domínio e desativaram 328 sites usados para operações de phishing". como parte dos esforços para implementar medidas de conformidade.

A Autoridade Italiana de Proteção de Dados (APD) multou uma empresa de energia em 300 mil euros por processar ilegalmente dados pessoais para fins de marketing direto, por não implementar corretamente os princípios de proteção de dados e por não informar adequadamente os candidatos a emprego sobre o processamento de seus dados.

O Tribunal Administrativo do Luxemburgo confirmou a multa de € 746.000.000 imposta a uma subsidiária da Amazon pela APD em 2021 pelo processamento ilegal de dados de visitantes do site para fins de publicidade baseada em interesses, por não fornecer informações transparentes e por violar diversos direitos dos titulares dos dados.

Embora a Amazon esteja supostamente considerando apresentar uma apelação, a APD declarou que não fornecerá detalhes sobre sua decisão durante o período de apelação ou sobre quaisquer procedimentos potenciais.

A Autoridade Polonesa de Proteção de Dados (APD) multou o serviço postal em 6,3 milhões de euros por atender a uma solicitação governamental de processamento de dados de 30 milhões de cidadãos no contexto das eleições realizadas durante a pandemia de Covid, sem verificar a base legal da solicitação. 

La Poste deveria ter esperado até que todas as vias de recurso contra essa decisão tivessem sido esgotadas, a qual acabou sendo anulada pelos tribunais.

 

Em 17 de março, entrou em vigor a Lei de Segurança Online do Reino Unido, exigindo que as plataformas online implementassem uma série de medidas destinadas a reduzir os riscos para as crianças e a remover conteúdo prejudicial de forma mais geral.

Os prestadores de serviços britânicos têm até 16 de março para realizar avaliações de risco dos seus serviços.

Um código de boas práticas e um programa de implementação foram desenvolvidos pela autoridade reguladora do Reino Unido (Ofcom).

Os críticos desta lei criticam particularmente o seu âmbito de aplicação em áreas cinzentas, como o assédio ou o controlo do comportamento, e os consequentes riscos de censura.

Essa lei se soma a outras duas regulamentações britânicas que podem comprometer a renovação da decisão de adequação do Reino Unido em junho: uma nota publicada pelo Serviço de Pesquisa do Parlamento Europeu menciona o Projeto de Lei de Dados e uma emenda à Lei de Poderes Investigativos, ambos com o objetivo de ampliar o acesso do governo e das autoridades policiais aos dados dos usuários.

O Gabinete do Comissário de Informação da Austrália publicou um estudo em 19 de março sobre as políticas e práticas das agências do setor público australiano em relação ao uso de aplicativos de mensagens.

O relatório constata que os aplicativos de mensagens são comumente usados no serviço público australiano sem supervisão ou procedimentos adequados. O estudo apresenta uma lista de recomendações para solucionar esse problema.

O Comissário de Privacidade do Canadá acaba de lançar uma ferramenta para avaliar se uma violação de dados pessoais representa um risco real de danos significativos aos indivíduos.

Na China, o "Escritório Nacional de Informação da Internet" publicou, em 13 de março, medidas de gestão de segurança para a aplicação de tecnologias biométricas, que exigem que as atividades de reconhecimento facial estejam em conformidade com as leis aplicáveis, adotem medidas de segurança e minimizem o impacto sobre os direitos humanos.

O jornal alemão Der Spiegel anunciou em 26 de março que havia conseguido acessar dados pessoais, informações de contato online e até mesmo senhas de alguns dos principais funcionários de segurança americanos, incluindo o Secretário de Defesa e o ex-apresentador da Fox News, Pete Hegseth.

Os jornalistas utilizaram mecanismos de busca públicos, bem como "dados de clientes hackeados" que haviam sido publicados online.

Acredita-se que o conselheiro de segurança nacional Mike Waltz e a diretora de inteligência nacional Tulsi Gabbard também estejam entre aqueles cujas informações foram vazadas online.

Nos Estados Unidos também, a regulamentação da IA está aumentando significativamente: em 2024, foram identificados mais de 600 projetos de lei relacionados à IA, dos quais quase 100 foram promulgados.

No entanto, o nível de proteção varia muito de estado para estado.

Um rastreador oferecido pelo site "Multistate" permite visualizar o estado das regulamentações em 2025.

Entretanto, em 18 de março, o presidente Trump demitiu os dois membros democratas da Comissão Federal de Comércio (FTC), aumentando a incerteza atual sobre a eficácia dos mecanismos de proteção e controle do consumidor nos Estados Unidos e enfraquecendo ainda mais a estabilidade do acordo transatlântico de proteção de dados.

No Vietname, a lei de proteção de dados poderá ser adotada na primavera.

O governo adotou recentemente uma resolução para acelerar o processo legislativo, e o Ministério da Segurança Pública foi incumbido de submeter o projeto de lei à Assembleia Nacional para adoção formal em maio de 2025.

Os geradores de imagens com inteligência artificial avançada têm implicações significativas para a proteção de dados, como evidenciado por um artigo de L. Jarosvky.

• O efeito “Ghibli”, que permite a criação de imagens no estilo dos famosos desenhos animados de Myasaki, levou milhares de pessoas nos últimos dias a enviarem voluntariamente seus rostos e fotos pessoais para o ChatGPT, dando assim à OpenAI acesso direto e gratuito a milhares de novos rostos para treinar seus modelos de inteligência artificial.
• Os geradores de imagens também tornam a criação de provas falsas extremamente fácil, barata e acessível. Qualquer pessoa com intenções maliciosas pode, portanto, criar faturas, documentos de identidade, comprovantes de endereço ou até mesmo documentos bancários falsos em minutos e praticamente sem custo, com os consequentes riscos de roubo de identidade.