DESTAQUES LEGISLATIVOS

 

Vigência LGPD

A redação final do PL 1179/20, já enviado à sanção presidencial*, modificou o art. 65 da Lei 13.709/18 (LGPD) e determinou que os artigos da lei que tratam das penalidades entrem em vigor a partir do dia 1o/08/21. Já a MP 959/20, que está em vigência, determina a entrada em vigor da LGPD e suas penalidades no dia 03/05/21. Diante disso, os possíveis cenários são:

1) Veto ao dispositivo do PL 1179/20: vigora o texto da MP 959/20 e vigência e penalidades fica para 03/05/21.
2) MP 959/20 caduca (não é votada): prevalece o texto do PL 1179/20: vigência da LGPD em 16/08/20 e das penalidades conforme o texto do PL 1179/20 (01/08/21).
3) MP 959/20 votada: altera novamente a LGPD, já alterada pelo PL 1179/20, e vigência e penalidades ficam para 03/05/21.
4) PL 1179/20 vetado e MP 959/20 perde a validade: prevalece a atual redação da LGPD – vigência e penalidades a partir de 16/08/20.
* O prazo para sanção e/ou vetos se encerra no próximo dia 10/06.

Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br



FTC homologa acordo com empresa fabricante de cadeados inteligentes

A Tapplock, Inc. é uma empresa canadense que vende, entre outros produtos, um cadeado inteligente – smart lock – com conexão à internet e leitor biométrico de impressões digitais. Os cadeados interagem com um aplicativo móvel, permitindo aos usuários dentro do alcance do bluetooth travar e destravar a fechadura. Este aplicativo coleta dados pessoais dos usuários, como nomes, e-mails, fotos, histórico de localização e a geolocalização exata dos cadeados.

Em junho de 2018, diversas vulnerabilidades físicas e eletrônicas foram identificadas nos smart locks da Tapplock. Verificou-se que os referidos cadeados poderiam ser destravados desparafusando o painel traseiro do produto ou explorando a conexão de bluetooth não criptografada entre aplicativo e cadeado. Ademais, verificou-se que uma vulnerabilidade na API da Tapplock poderia ser explorada para contornar o processo de autenticação e obter acesso completo aos dados pessoais de todos os usuários. Por fim, verificou-se que o usuário era impedido de revogar a autorização de acesso ao seu cadeado.

Devido a essas vulnerabilidades, o FTC entendeu que a Tapplock teria enganado seus consumidores ao declarar que seus smart locks eram seguros e que medidas de precaução haviam sido adotadas para garantir a segurança dos dados pessoais coletados.

De acordo com a reclamação administrativa apresentada pelo FTC, a Tapplock (i) não identificou os riscos à segurança das contas dos usuários, os quais poderiam ter sido previstos através de testes de penetração ou vulnerabilidade; (ii) não empregou medidas suficientes para detectar e prevenir que usuários contornassem os procedimentos de autenticação na API para obter acesso às contas de outros usuários; (iii) não adotou políticas expressas de segurança de dados; e (iv) não implementou quaisquer orientações ou treinamentos adequados aos funcionários responsáveis por projetar, tratar e aprovar especificações e requisitos de software.

O acordo homologado proíbe a Tapplock de prestar declarações falsas acerca das medidas de segurança e privacidade implementadas em seus dispositivos. Além disso, o acordo exige que a empresa (i) implemente um programa de segurança completo; (ii) obtenha avaliações, realizadas a cada dois anos por terceiros independentes, de seu programa de segurança; (iii) apresente ao FTC um relatório de conformidade, incluindo descrição de todas as alterações realizadas visando o cumprimento do acordo, bem como registros de informações e documentos necessários para que o FTC monitore a conformidade. Por fim, as disposições do acordo permanecerão em vigor por vinte anos.


Tribunal Distrital homologa acordo celebrado entre Facebook e FTC

Em 2012, o FTC apresentou uma reclamação administrativa contra o Facebook alegando que a empresa teria enganado seus usuários sobre (i) suas configurações e política de privacidade; (ii) compartilhamento de dados pessoais de usuários com terceiros desenvolvedores de aplicativos; (iii) compartilhamento de dados pessoais de usuários com empresas de publicidade; (iv) medidas para verificar as práticas de segurança e privacidade de terceiros desenvolvedores de aplicativos; (v) compartilhamento de dados pessoais de usuários, incluindo fotos e vídeos, com terceiros após o usuário ter excluído sua conta na rede social; e (vi) a conformidade com regulamentos internacionais de privacidade.

Ainda em 2012, Facebook e FTC celebraram um acordo proibindo a empresa de prestar declarações falsas acerca (i) das práticas de privacidade e segurança relativas aos dados pessoais de seus usuários; (ii) das medidas que os usuários podem adotar para controlar a privacidade de seus dados pessoais; e (iii) da disponibilidade de acesso fornecida a terceiros com relação aos dados pessoais de usuários. Além disso, o acordo exigia, entre outras coisas, que o Facebook implementasse programa de privacidade para lidar com os riscos gerados aos consumidores, bem como para proteger a confidencialidade dos seus dados pessoais.

Em 2019, o órgão de defesa ao consumidor do Departamento de Justiça dos Estados Unidos denunciou o Facebook por violar o acordo celebrado com o FTC em 2012. De acordo com a denúncia, o Facebook não teria implementado um programa de privacidade adequado e, supostamente, teria enganado os usuários da rede social, levando-os a acreditar que poderiam restringir o acesso aos seus dados pessoais, ao passo que a empresa teria continuado a compartilhar tais dados com terceiros sem que os usuários estivessem cientes. O órgão de defesa ao consumidor cita, por exemplo, que o Facebook teria declarado aos usuários que poderiam limitar o acesso às suas postagens apenas aos seus “amigos”, quando, na verdade, tais postagens poderiam ser acessadas também por terceiros desenvolvedores de aplicativos utilizados por seus “amigos”. Além disso, o Facebook teria ativado automaticamente o reconhecimento facial de cerca de 60 milhões de contas enquanto declarava aos usuários que tal recurso só poderia ser ativado quando estes o solicitassem.

O Facebook também é acusado de ter enganado os usuários sobre os dados compartilhados para fins publicitários. O órgão de defesa ao consumidor alega que o Facebook supostamente teria encorajado os usuários a fornecer seus números de telefone para que pudessem proteger suas contas através da verificação em duas etapas. Todavia, os usuários não foram advertidos de que os dados também seriam utilizados para fins publicitários.

Ainda em 2019, um novo acordo foi proposto e apresentado ao Tribunal Distrital do Distrito de Columbia para aprovação. Este acordo inclui uma multa no valor de USD 5 bilhões ao Facebook – aproximadamente BRL 29,4 bilhões –, bem como a alteração das disposições contidas no acordo celebrado em 2012 com o FTC. O Tribunal Distrital aprovou o acordo em 23 de abril de 2020.

Em 27 de abril de 2020, o FTC aprovou as emendas realizadas no acordo celebrado em 2012. De acordo com o novo acordo, o Facebook é proibido de divulgar equivocadamente (i) suas práticas de coleta, uso e compartilhamento de dados pessoais de seus usuários; (ii) suas políticas de privacidade e segurança; (iii) as medidas que os usuários podem adotar para controlar a privacidade de seus dados pessoais; (iv) a disponibilidade de acesso fornecida a terceiros com relação aos dados pessoais de usuários. O acordo exige que o Facebook divulgue de forma clara quando os dados pessoais de seus usuários serão compartilhados com terceiros. Caso o compartilhamento de dados contrarie as configurações de privacidade do usuário, o Facebook deverá obter o seu consentimento expresso para efetuar o referido tratamento. Além disso, o Facebook deverá eliminar ou anonimizar os dados pessoais do usuário quando este deletar a sua conta na rede social – ou quando a conta for mantida, mas algum dado for apagado pelo titular.

O acordo também exige que o Facebook (i) deixe de utilizar números de telefone de seus usuários para outras finalidades diferentes daquela para a qual tais dados foram fornecidos; (ii) obtenha o consentimento expresso e específico do usuário antes de ativar o recurso de reconhecimento facial; (iii) implemente um programa de privacidade mais robusto, incluindo análise dos riscos aos dados pessoais de usuários e medidas adotadas para mitigar tais riscos; (iv) apresente ao FTC avaliações de riscos realizadas periodicamente por terceiros independentes sobre suas políticas de privacidade; (v) informe o FTC caso os dados pessoais de quinhentos ou mais usuários sejam comprometidos; (vi) apresente um relatório de conformidade, incluindo uma descrição detalhada da forma através da qual o acordo está sendo cumprido; e (vii) mantenha registros de informações e documentos necessários para o cumprimento do acordo.


Procuradorias de Indiana e Massachusetts anunciam acordos com a Equifax

Os Tribunais Superiores dos estados de Indiana e Massachusetts homologaram os acordos celebrados com a Equifax. Os acordos decorrem das ações ajuizadas pelos procuradores-gerais dos referidos estados contra a empresa, em razão do vazamento de dados ocorrido em 2017.

Terceiros não autorizados invadiram o sistema informático da Equifax e coletaram informações pessoais de seus consumidores. O incidente afetou cerca de 147 milhões de cidadãos americanos em todo o país. Dentre os dados comprometidos estavam nomes completos, números de Seguro Social, datas de nascimento, endereços e, em alguns casos, números de carteira de motorista e números de cartão de crédito.

De acordo com a denúncia apresentada pela procuradoria-geral do estado de Massachusetts em 2017, o sistema da Equifax carecia de salvaguardas suficientes para proteger os dados pessoais de seus consumidores. Além disso, a Equifax teria violado a lei estadual ao demorar em notificar o incidente – em julho de 2017, a empresa já tinha ciência do vazamento, mas apenas notificou a procuradoria-geral e seus consumidores em setembro do mesmo ano. Na denúncia apresentada em 2019, a procuradoria-geral do estado de Indiana alegava, por sua vez, que a Equifax não teria protegido adequadamente os dados de seus consumidores e que, inclusive, havia emitido declarações falsas acerca das medidas de segurança implementadas.

Os acordos celebrados impõem multas no valor de USD 18.2 milhões – cerca de BRL 107 milhões – e USD 19.5 milhões – cerca de BRL 114,7 milhões –, a serem pagas pela Equifax aos estados de Massachusetts e Indiana, respectivamente. O acordo também exige que a Equifax adote medidas substanciais para fortalecer suas práticas de segurança, tais como (i) implementar programa de segurança de dados que documente as medidas adotadas para salvaguardar dados pessoais; (ii) obter avaliações de terceiros independentes sobre o seu programa de segurança de dados; (iii) conduzir avaliações periódicas relativa à conformidade do acesso de terceiros; (iv) elaborar relatórios identificando os riscos relacionados aos seus servidores e demais equipamentos e as medidas implementadas para controlar ou mitigá-los; (v) conduzir testes de penetração para identificar, avaliar e sanar vulnerabilidades de segurança em todos os seus equipamentos; (vi) implementar mecanismos apropriados para gerenciar contas de acesso aos equipamentos, incluindo senhas robustas, políticas de confidencialidade de senhas, políticas de rotação de senhas e autenticação em duas etapas; e (vii) elaborar, periodicamente, inventário dos usuários que possuem acesso aos servidores e demais equipamentos, a fim de verificar e determinar se tal acesso se mantém necessário ou apropriado.

Além disso, o acordo determina que a Equifax publique, na página inicial de seus sites, aviso contendo (i) a categoria de dados pessoais coletados e armazenados, (ii) o meio através do qual foram obtidos, (iii) como são utilizados, (iv) como são protegidos, (v) os tipos de dados compartilhados e a categoria dos terceiros com os quais são compartilhados, e (vi) o tipo de controle por consumidores sobre seus dados pessoais.


Superintendência de Indústria e Comércio da Colômbia condena instituição financeira pelo tratamento de dados realizado sem consentimento do titular

A decisão resultou de reclamação apresentada por um cidadão colombiano, segundo a qual os seus dados pessoais estariam sendo utilizados para fins publicitários sem o seu consentimento. O reclamante alegou que, em diversas ocasiões, havia requerido ao Scotiabank Colpatria que eliminasse todos os dados pessoais, especialmente seu número de telefone, contidos no seu banco de dados. Todavia, após ser notificado de que seus dados já haviam sido eliminados, o reclamante continuou recebendo mensagens publicitárias do banco.

Durante a investigação, a autoridade colombiana concluiu que os dados do reclamante teriam sido obtidos através da Empresa de Telecomunicações de Bogotá (ETB). No caso, o Scotiabank Colpatria e a ETB celebraram um contrato prevendo o compartilhamento dos dados coletados pela ETB com o banco.

A autoridade concluiu que o tratamento realizado pela instituição era ilegal, tendo em vista a ausência de consentimento prévio, expresso e informado do reclamante, bem como o não atendimento ao requerimento de eliminação dos dados. Além disso, segundo a autoridade, o banco se envolveu em práticas ilegais ao catalogar os dados obtidos sem o consentimento do titular em listas de potenciais clientes para fins publicitários, disparando mensagens de SMS com anúncios de seus serviços.

Ainda, apesar de o banco ter implementado o chamado Programa Integral de Gestão de Dados Pessoais, a autoridade entendeu que os procedimentos e políticas previstos em tal documento eram insuficientes para garantir o tratamento adequado de dados pessoais.

Por essas razões, a Superintendência de Indústria e Comércio determinou (i) a eliminação de todos os dados pessoais pertencentes ao reclamante dos bancos de dados do Scotiabank Colpatria; (iii) a implementação de medidas capazes de mitigar os riscos associados ao tratamento indevido de dados; e (iv) o pagamento de COP 356.070.000 a título de multa – o que equivale a BRL 528.619,92. Por sua vez, com relação ao contrato firmado com a ETB, a autoridade ordenou a realização de uma auditoria externa para determinar se a referida empresa possuía o consentimento prévio, expresso e informado dos titulares para realizar o compartilhamento de seus dados pessoais com o Scotiabank Colpatria, bem como identificar quais dados foram repassados à instituição financeira.


Acordo proposto por prestadora de serviços de saúde sem fins lucrativos é homologado pelo Tribunal Distrital do Arizona

O acordo decorre da ação coletiva ajuizada contra a Banner Health pelo vazamento dos dados pertencentes a 3,7 milhões de pacientes, membros de planos de saúde (e seus beneficiários), consumidores de alimentos e bebidas, médicos e prestadores de serviços de saúde.

Em junho de 2016, hackers invadiram a rede de computadores do Banner Health e extraíram dados pessoais sensíveis que se encontravam armazenados nos servidores. O incidente só foi identificado cerca de um mês depois, em 17 de julho de 2016. Os dados comprometidos incluem nomes, endereços, datas de nascimento, números de telefone, números de Seguro Social, dados de cartões de crédito, dados médicos (nomes dos médicos, datas de atendimento, históricos médicos e farmacêuticos dos pacientes, informações sobre seguros, etc.) e credenciais de médicos e demais prestadores do serviço de saúde (números de registro de identificação, etc.). Logo após o incidente, alguns dados passaram a ser usados de modo fraudulento.

De acordo com a denúncia apresentada pelas vítimas, Banner Health teria agido de forma ilegal ao não implementar medidas adequadas – como autenticação multifatorial, firewalls ou criptografia – para evitar o ataque cibernético. Além disso, não cumpriu com seu dever legal de proteger e salvaguardar adequadamente os dados coletados. Embora algumas vítimas tenham afirmado que seus dados haviam sido utilizados para fins fraudulentos, outras argumentaram que apenas o risco de roubo de identidade decorrente do vazamento de dados era suficiente para alegar danos.

Segundo os termos acordados, Banner Health deverá pagar o valor total de USD 8,9 milhões – USD 6 milhões a título de reembolso por eventuais despesas arcadas pelas vítimas e USD 2,9 milhões em honorários advocatícios. Também deverá realizar modificações em suas práticas comerciais, bem como nas medidas de segurança da informação, implementando procedimentos de segurança aprimorados e investindo recursos para melhorar seu sistema de defesa cibernética, a fim de evitar violações de dados no futuro.


Consumer Financial Protection Bureau anuncia a celebração de acordo com fornecedora de empréstimos

No início de abril, o Consumer Financial Protection Bureau (CFPB) celebrou acordo com a Cottonwood Financial, Ltd., empresa que opera cadeia de empréstimos a curto prazo. O CFPB concluiu que a empresa teria se envolvido em práticas de cobrança ilícitas, incluindo telefonemas a empregadores de seus consumidores e terceiros. O acordo exige o pagamento de indenização a mutuários aos quais a empresa falsamente prometeu desconto. Adicionalmente, a empresa deverá pagar uma multa no valor de USD 1.100.000 – aproximadamente BRL 6,4 milhões – ao CFPB. O acordo também prevê a proibição de determinadas práticas ilegais e enganosas, tais como: (i) telefonemas direcionados a consumidores ou terceiros com a intenção de assediar ou incomodar, ou ainda, após pedidos de cessação; (ii) telefonemas direcionados ao local de trabalho do consumidor quando este tenha expressamente solicitado à empresa que não o fizesse; (iii) revelação da existência de dívidas do consumidor a qualquer empregador, colega de trabalho ou terceiro sem o consentimento voluntário, afirmativo e específico do consumidor.


A Suprema Corte do Reino Unido decidiu que os princípios gerais do DPA se aplicam aos dados pessoais transferidos aos EUA para fins de assistência jurídica mútua

Em 25 de março de 2020, a Suprema Corte do Reino Unido determinou, através de decisão unânime, que dados pessoais só podem ser transferidos aos Estados Unidos, sob o Tratado de Assistência Jurídica Mútua (MLAT), caso os requisitos da Lei de Privacidade de Dados (DPA) do Reino Unido estejam satisfeitos.

Trata-se do julgamento de recurso interposto pela mãe de um suposto integrante de um grupo terrorista ativo na Síria, responsável pelo homicídio de cidadãos norte-americanos e britânicos. Em junho de 2015, os EUA apresentaram pedido de assistência jurídica mútua ao Reino Unido em relação a uma investigação sobre as atividades do referido grupo.

A recorrente havia impugnado a decisão do Secretário de Estado através de um pedido de revisão judicial, que foi indeferido pelo Tribunal de Divisão. O julgamento buscou determinar, entre outros aspectos, se a transferência de dados pessoais foi realizada de forma lícita segundo os termos do DPA. A Suprema Corte foi unânime ao considerar a conduta praticada pelo Secretário de Estado ilegal por violar a Lei de Proteção de Dados de 2018. Ao considerar as informações transferidas aos EUA como dados pessoais, a Corte entendeu que a transferência de tais dados exigiria observância às três condições essenciais, previstas na Parte 3, Seção 73, do DPA/2018.

As referidas condições estão relacionadas (i) à necessidade de se realizar a transferência de dados, (ii) à base legal para tal transferência e (iii) à categoria do destinatário. Com relação à segunda condição, o DPA prevê a transferência de dados realizada com base em (i) decisão de adequação; (ii) salvaguardas apropriadas; ou (iii) circunstâncias especiais. Segundo a decisão proferida pela Corte, a transferência dos dados efetuada pelo Secretário de Estado não apresentava salvaguardas, bem como não tinha como base uma decisão de adequação. Além disso, a transferência não se enquadrava em uma das hipóteses de circunstâncias especiais previstas pela DPA. Neste sentido, a Suprema Corte concluiu que a transferência de dados autorizada pelo Secretário de Estado não preencheu todas as condições.


Elaboração: Equipe de Proteção de Dados da AJDC Responsáveis

Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br