As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Junho/2020.
DESTAQUES LEGISLATIVOS
Vigência LGPD
Sem avanço na tramitação da MP 959/20, permanece o cenário explicado no boletim anterior:
1) Se a MP 959 for aprovada
Vigência da LGPD: 03/05/21
Penalidades: 01/08/21
2) Se a MP caducar ou for rejeitada
Vigência da LGPD: 16/08/20
Penalidades: 01/08/21
3) Se a MP for modificada
Vigência e penalidades unificadas para maio ou agosto de 2021.
Fake News
O PL 2630/2020, de autoria do sen. Alessandro Vieira (CIDADANIA/SE), foi aprovado no Senado Federal em 30/06/2020. O texto do projeto e seu pouco tempo de tramitação geraram discussões entre os senadores e repercussões negativas na academia e sociedade civil. Críticas apontam possíveis conflitos com a LGPD, como o potencial acesso indevido a metadados, retenção indevida e violação ao princípio da prevenção.
O presidente da Câmara dos Deputados, dep. Rodrigo Maia (DEM/RJ), afirmou que o projeto está na prioridade da Casa. A Câmara já promoveu dois ciclos de debates (virtuais) e ainda promoverá outros. Além do presidente Rodrigo Mais, o dep. Orlando Silva (PCdoB/SP), uma voz ativa no tema, já afirmou que a Câmara não aprovará o texto do Senado.
A AJDC está monitorando de perto o assunto.
Projeto de Lei do DF cria Autoridade de Proteção de Dados
A Câmara Legislativa do Distrito Federal aprovou, no último dia 08/07/2020, um projeto de lei com objetivo inicial de estabelecer diretrizes para medidas de monitoramento inteligente para combate a pandemia diante do atual cenário de calamidade em razão do Covid-19. O projeto determinou as diretrizes para a criação de uma Autoridade Distrital de Proteção de Dados (ADPD) e Conselho Distrital de Proteção de Dados e da Privacidade (CDPDP).
O projeto já foi encaminhado ao Governador do Distrito Federal, Ibaneis Rocha (MDB), para sanção ou veto. Um conjunto de 9 associações representativas nacionalmente (ABES, Abramed, Abramge, ANBC, Brasscom, CDL DF, CNSaúde, Fenaess e SBH) enviou Ofício ao Governador Ibaneis Rocha pedindo o veto integral do Capítulo III e do art. 7º do Projeto de Lei 1133/2020, em virtude de sua inconstitucionalidade.
Conforme o documento elaborada pelas associações, o texto infringe o art. 2º, parágrafo único, da LGPD, que dispõe que As normas gerais contidas nesta Lei são de interesse nacional e deverão ser observadas pela União, Distrito Federal e Municípios. O documento das associações menciona também a Proposta de Emenda à Constituição (PEC) nº 17 de 2019 , em fase final de tramitação no Congresso Nacional, que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais e fixa a competência privativa da União para legislar sobre o tema.
O prazo para sanção e/ou vetos é o próximo dia 27/07/2020.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
Superior Tribunal Federal da Alemanha mantém decisão proferida pelo Bundeskartellamt condenando o Facebook por abuso de posição dominante
Em 2019, o Bundeskartellamt proferiu decisão proibindo a rede social facebook.com de utilizar dados pessoais provenientes de sites de terceiros e de outras plataformas do Grupo Facebook – como Instagram e WhatsApp – sem o consentimento livre e informado de seus usuários. No caso, o Bundeskartellamt concluiu que tal prática configuraria abuso de posição dominante por parte do Facebook, que estaria condicionando o acesso a rede social à aceitação de seus termos e condições de uso.
O Facebook interpôs recurso com efeito suspensivo perante o Tribunal Regional Superior de Düsseldorf contra a sentença proferida pelo Bundeskartellamt. O recurso ainda não foi julgado. Entretanto, o Tribunal Regional concedeu efeito suspensivo, impedindo a execução da sentença proferida pelo Bundeskartellamt.
Em junho de 2020, o Superior Tribunal Federal (BGH) anulou a decisão do Tribunal Regional que concedeu o efeito suspensivo ao recurso. O BGH constatou que o abuso de posição dominante por parte do Facebook estaria configurado, uma vez que os termos e condições de uso da rede social limitariam a capacidade dos usuários de escolher entre: (i) uma experiência personalizada intensa ao utilizar a plataforma, o que potencialmente exigiria a concessão de acesso irrestrito aos seus dados pessoais; ou (ii) uma experiência personalizada menos intensa apenas com base nos dados concedidos direta e unicamente ao facebook.com.
Por fim, o BGH ressaltou a importância da política de tratamento de dados sob a perspectiva econômica. De acordo com o Tribunal, os termos de uso adotados pelo Facebook não apenas violariam os direitos à autonomia pessoal e à autodeterminação informativa de seus usuários, como também constituiriam uma forma de exploração dos usuários da rede social devido ao efeito lock-in decorrente de sua posição dominante – o que impediria a migração de seus usuários para outras plataformas.
Tribunal Distrital da Geórgia aprova proposta de acordo apresentada pela Equifax e cooperativas de crédito e instituições financeiras
Em 04 de junho de 2020, o Tribunal Distrital da Geórgia aprovou preliminarmente o acordo proposto por instituições financeiras e cooperativas de crédito representadas pela Credit Union National Association (CUNA). O acordo decorre da ação coletiva ajuizada em face da agência de crédito Equifax em razão do vazamento de dados ocorrido em 2017, que afetou mais de 145 milhões de consumidores.
A ação coletiva foi ajuizada com o propósito de obter reparação pelo prejuízo financeiro causado às instituições financeiras e cooperativas de crédito, que tiveram de arcar com uma série de custos resultantes do vazamento de dados. Tais custos incluem o cancelamento e reemissão de cartões de crédito e débito comprometidos, reembolso de consumidores por perdas associadas a fraude, aumento do monitoramento de potenciais fraudes, implementação de medidas para mitigar o risco de roubo de identidade, entre outros.
De acordo com a denúncia apresentada em 2018, a Equifax teria sido negligente ao (i) ignorar alertas de vulnerabilidades identificados por seus próprios funcionários; (ii) implementar e manter medidas e procedimentos de segurança insuficientes; (iii) armazenar dados pessoais em sistemas de fácil acesso; e (iv) não comunicar o vazamento de dados em tempo hábil.
O acordo determina o pagamento de USD 30.5 milhões – o que equivale a cerca de BRL 149.5 milhões –, sendo USD 5.5 milhões destinados a indenizações devidas às instituições financeiras afetadas – aproximadamente BRL 27 milhões. Além disso, o acordo exige que a Equifax utilize os USD 25 milhões – cerca de BRL 122.5 milhões – remanescentes para a finalidade exclusiva de aprimorar as medidas de segurança do seu sistema informático.
O acordo pende de homologação final que, segundo o Tribunal Distrital, deverá ser requerida pelas partes até 21 de setembro de 2020.
Autoridade de Proteção de Dados da Espanha anuncia a imposição de multas no valor total de EUR 169 mil ao Twitter, Xfera Móviles, Equifax Iberica e Glovoapp23
A autoridade de proteção de dados da Espanha condenou o Twitter ao pagamento de EUR 30 mil – cerca de BRL 182,5 mil. No caso, a autoridade concluiu que o Twitter não obteve o consentimento livre e informado dos titulares de dados para a utilização de cookies. De acordo com a decisão, diversos cookies são instalados automaticamente no momento em que o usuário acessa o site da plataforma. Além disso, a política da rede social não permitiria que o usuário rejeite ou configure os cookies de acordo com sua preferência.
A AEPD também condenou a empresa Xfera Móviles ao pagamento de EUR 39 mil – aproximadamente BRL 237,3 mil – por violação aos requisitos de segurança previstos no GDPR. A empresa teria enviado SMS a um de seus clientes comunicando dados relativos ao pagamento e suspensão do serviço prestado de outro cliente. A autoridade constatou, então, a ausência de medidas de segurança adequadas ao realizar o tratamento de dados pessoais de seus clientes.
Além disso, a AEPD aplicou multas administrativas no valor de EUR 74 mil – cerca de BRL 450,3 mil – à agência de crédito Equifax Iberica por se recusar a deletar os dados pessoais após solicitação do titular dos dados, e de EUR 25 mil – aproximadamente BRL 152 mil – à empresa Glovoapp23 por não designar um indivíduo encarregado em relação ao tratamento de dados pessoais (DPO).
Tribunal Distrital do Alabama homologa acordo celebrado com a cadeia de lojas de departamento Macy’s
Em 2 de junho de 2020, o Tribunal Distrital do Alabama homologou acordo decorrente de ação coletiva ajuizada após incidente de vazamento de dados ocorrido em 2018. No incidente, um terceiro não autorizado obteve acesso aos dados pessoais de usuários das plataformas online das lojas de departamento Macy’s e Bloomingdale’s. Os dados incluíam nomes, endereços, números de telefone, datas de aniversário, números de cartões de crédito e débito e suas respectivas datas de validade.
Segundo a denúncia apresentada em 2018, a Macy’s teria incorrido em práticas negligentes ao deixar de implementar e manter salvaguardas adequadas para realizar o tratamento de dados pessoais de seus clientes. Além disso, a autora da ação argumenta que a Macy’s teria violado o Alabama’s Deceptive Trade Practices Act, uma vez que teria omitido as falhas em seu sistema de segurança e proteção de dados. No caso, os clientes que tiveram seus dados acessados foram notificados apenas cerca de um mês após o incidente.
O acordo exige o pagamento de USD 257 mil – cerca de BRL 1,3 milhões –, sendo USD 192.5 mil a título de indenização aos consumidores afetados pelo vazamento de dados, USD 60 mil em honorários advocatícios e USD 5 mil em demais despesas.
FTC celebra acordo com varejista acusada de violar o Fair Credit Reporting Act (FCRA)
Em 10 de junho de 2020, o Federal Trade Comission (FTC) anunciou a celebração de acordo com a varejista Kohl’s Department Stores, Inc. acusada de violar o Fair Credit Reporting Act (FCRA).
A política comercial inicialmente adotada pela Kohl’s permitia a disponibilização dos registros de transação diretamente ao consumidor solicitante dentro do prazo de 30 dias. No entanto, de acordo com a denúncia apresentada pelo FTC, a varejista alterou a sua política comercial e, a partir de 2018, passou a disponibilizar tais registros apenas mediante ordem judicial.
Nesse sentido, o FTC alega que a empresa teria violado as disposições do FCRA ao (i) se recusar a disponibilizar os registros completos de transações potencialmente fraudulentas diretamente aos consumidores vítimas do crime de roubo de identidade; e (ii) não responder aos pedidos de acesso dentro do período de 30 dias.
O acordo impõe o pagamento de contribuição pecuniária no valor de USD 220 mil – aproximadamente BRL 1,1 milhões –, bem como a obrigação de (i) providenciar aos clientes que tiveram sua identidade roubada acesso aos registros de transações comerciais no prazo de 30 dias; (ii) notificar os consumidores que tiveram o acesso negado a tais registros no passado; e (iii) colocar aviso em seu site informando as vítimas sobre como obter os registros de transações relacionados ao roubo de identidade. Por fim, o acordo também exige que a empresa apresente ao FTC um relatório de conformidade, incluindo descrição de todas as alterações realizadas visando o cumprimento do acordo, bem como registros de informações e documentos necessários para que o FTC monitore a conformidade.
Tribunal Distrital de Illinois aprova versão preliminar de acordo proposto em ação coletiva sobre violações à Lei de Privacidade de Informações Biométricas de Illinois (BIPA)
A cadeia de restaurantes Corner Bakery Café implementou, em 2017, um sistema de ponto eletrônico a partir do qual seus funcionários deveriam escanear suas impressões digitais para fins de registro da jornada de trabalho. Após a implementação de tal sistema eletrônico, a companhia foi acusada, em ação coletiva ajuizada em 2019, de violar a Lei de Privacidade de Informações Biométricas de Illinois (“BIPA”), uma vez que (i) não teria obtido o consentimento expresso e informado de seus funcionários para coletar, armazenar e transferir suas impressões digitais à empresa fornecedora do sistema de registro de ponto eletrônico, (ii) não teria providenciado informações acerca da finalidade do tratamento e do período de armazenamento dos dados biométricos; e (iii) não teria implementado e divulgado aos seus funcionários uma política de retenção e eliminação dos dados em questão.
O Juiz Federal Jorge Alonso aprovou, em 12 de junho de 2020, o acordo proposto pelas partes, segundo o qual a Corner Bakery Café deverá pagar o valor total de USD 3,2 milhões – cerca de BRL 17 milhões –, incluindo indenizações aos funcionários, honorários advocatícios e demais despesas. A audiência para homologação do acordo ocorrerá em 22 de outubro de 2020.
Conselho de Estado da França anula parcialmente recomendações da CNIL quanto ao uso de cookies
A decisão decorre de ação impetrada por diversas organizações dos setores de mídia, publicidade e e-commerce em face das diretrizes sobre o uso de cookies e outros mecanismos de rastreamento publicadas pela CNIL em julho de 2019.
Em sua decisão, o Conselho de Estado anulou a decisão da CNIL que proibira a utilização de cookie walls, através da qual editores bloqueiam o acesso ao conteúdo de um site ou aplicativo aos usuários que não tenham consentido com o uso de cookies. O Conselho de Estado considerou que a CNIL estaria excedendo os limites de sua competência ao impor tal proibição de forma absoluta e genérica.
Por outro lado, o Conselho de Estado confirmou a legalidade das demais recomendações previstas nas diretrizes, notadamente no que diz respeito à facilitação da recusa ou revogação do consentimento aos cookies, à necessidade de obter consentimento para a finalidade específica de cada cookie e à disponibilização da identidade dos controladores responsáveis por decisões sobre cookies aos titulares dos dados.
Tribunal de Justiça da União Europeia condena Hungria por violações à legislação europeia
O Tribunal de Justiça da União Europeia (CJEU) declarou, por meio de decisão proferida em 18 de junho de 2020, que a Lei da Transparência, promulgada em 2017 pelo governo húngaro, introduziu restrições discriminatórias e injustificadas ao financiamento de organizações civis por pessoas estabelecidas fora do país. O julgamento decorre da ação proposta em 2017 pela Comissão Europeia, segundo a qual as obrigações previstas na Lei de Transparência violariam, entre outras, as normas de proteção de dados pessoais previstas na Carta dos Direitos Fundamentais da União Europeia (CFREU).
A Lei de Transparência submete organizações beneficiárias que recebem apoio financeiro direto ou indireto do exterior a um conjunto de obrigações, tais como (i) a realização de registro perante o tribunal competente como “organização beneficiária de ajuda proveniente do estrangeiro”; (ii) a indicação de tal título em todas as publicações efetuadas em seu website; e (ii) a elaboração e entrega de relatórios anuais ao tribunal competente, indicando dados das pessoas físicas ou jurídicas estrangeiras da qual recebe apoio financeiro, bem como dados sobre o montante recebido. Além disso, a lei autoriza a divulgação das informações relativas às organizações beneficiárias e às pessoas jurídicas e físicas estrangeiras no website do governo.
O CJEU concluiu que as obrigações previstas na Lei de Transparência constituem medidas discriminatórias em razão da nacionalidade. Além disso, o CJEU decidiu pela existência de violação aos direitos à vida privada e familiar, bem como à proteção de dados, uma vez que as obrigações previstas na Lei de Transparência preveem a divulgação a terceiros e a comunicação a autoridades públicas, sem o consentimento dos titulares, de dados pessoais, inclusive financeiros, pertencentes às pessoas físicas estrangeiras que financiam organizações civis.
Seguradora de planos de saúde da Alemanha é condenada ao pagamento de EUR 1,24 milhão
A autoridade de proteção de dados de Baden-Württemberg condenou, em 30 de junho de 2020, a Allgemeine Ortskrankenkasse Baden-Württemberg (AOK) ao pagamento de contribuição pecuniária no valor de EUR 1,24 milhões – aproximadamente BRL 7,5 milhões. A condenação se deu em virtude de tratamento ilegal de dados pessoais e da inadequação das medidas de técnicas e organizacionais para obtenção do consentimento de titulares dos dados pessoais tratados para fins publicitários.
No caso, a AOK organizava sorteios online, coletando dados pessoais de seus participantes. Medidas técnicas e organizacionais, incluindo diretrizes internas e treinamento de proteção de dados, tinham como objetivo garantir que somente os dados dos participantes que tinham dado seu consentimento prévio fossem utilizados para fins publicitários. Entretanto, a autoridade de proteção de dados de Baden-Württemberg constatou que as medidas adotadas pela AOK não estavam em conformidade com os requisitos legais e que, como resultado, os dados pessoais de mais de 500 participantes dos sorteios sofreram incidente e foram utilizados para fins publicitários sem o consentimento destes.
Após o incidente, a AOK interrompeu as suas atividades e, em cooperação com a autoridade, adaptou as medidas técnicas e organizacionais para garantir as salvaguardas necessárias para o tratamento adequado dos dados pessoais. As condutas praticadas pela AOK após o incidente, incluindo extensas revisões e ajustes internos das medidas técnicas e organizacionais, bem como a cooperação construtiva com a autoridade competente, foram consideradas como fatores atenuantes para fins de cálculo do valor da contribuição pecuniária.
Tribunal de Apelações da Nona Circunscrição indefere pedido do Facebook requerendo a realização de nova audiência
A decisão decorre da ação coletiva ajuizada em face do Facebook por supostas violações à Lei de Invasão de Privacidade da Califórnia (CIPA) e à Lei de Wiretap. Tais violações se referem à utilização de cookies para coletar dados do histórico de navegação de usuários do Facebook, bem como à interceptação de comunicações entre seus usuários enquanto estes estavam desconectados da rede social. Os autores da ação argumentaram que os termos e condições de uso do Facebook não informavam que tais dados seriam coletados enquanto estes estivessem desconectados da plataforma.
Em 2017, o Tribunal Distrital da Califórnia arquivou a ação por entender que os autores não teriam apresentado indícios suficientes de violação a referida legislação. Em abril de 2020, ao julgar o recurso interposto contra tal decisão, o Tribunal da Nona Circunscrição reverteu o julgamento do Tribunal Distrital, concluindo pela existência de indícios suficientes para justificar o andamento da ação. O Tribunal da Nona Circunscrição foi unânime ao indeferir o pedido do Facebook requerendo a realização de nova audiência.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br