Boletim Informativo LGPD #10 | Agosto 2020

As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Julho/2020.

 

DESTAQUES LEGISLATIVOS

 

Vigência da LGPD: Durante a votação da MP 959/20, o sen. Eduardo Braga (MDB/AM), líder do MDB, levantou uma questão de ordem para prejudicialidade do art. 4º da MP 959, alegando que o Senado Federal já havia discutido e decidido, no âmbito do PL 1179/20, que apenas as sanções previstas na LGPD fossem adiadas e não a vigência da lei. A questão de ordem levantada foi acatada pelo presidente David Alcolumbre (DEM/AP) e, com isso, o artigo foi declarado prejudicado e nem chegou a ser apreciado pelos senadores.

Portanto, a LGPD passará a vigorar, com as sanções prorrogadas para agosto/2021, conforme texto aprovado por ocasião da votação do PL 1170 e já incorporado na Lei 13.709/18. O art. 4º da MP 959/20, que prorrogava a entrada em vigor da LGPD, foi suprimido.

Após a votação, em comunicado oficial, a assessoria de imprensa do Senado Federal esclareceu que “a Lei Geral de Proteção de Dados – LGPD só entra em vigor após a sanção ou veto dos demais dispositivos da MP 959/2020”. Leia a nota completa clicando aqui.

PEC 17: O líder do Governo no Senado Federal, sen. Eduardo Gomes (MDB/TO), durante a votação da MP 959/20, fez um apelo ao presidente da Câmara dos Deputados, dep. Rodrigo Maia (DEM/RJ), para rápida inclusão em pauta da PEC 17, que torna a proteção de dados pessoais direito fundamental protegido pela Constituição Federal, além de declarar que cabe à União legislar sobre o assunto. A PEC 17 já foi aprovada pelo Senado Federal, na Comissão Especial da Câmara dos Deputados e em 1º Turno pelo Plenário da Câmara, restando apenas a apreciação em 2º Turno.

Distrito Federal: O Governador do Distrito Federal, Ibaneis Rocha (MDB) vetou integralmente o PL 1133/2020, aprovado em julho pela Câmara Legislativa do Distrito Federal, que previa diretrizes para a criação de Autoridade Distrital de Proteção de Dados (ADPD) e Conselho Distrital de Proteção de Dados e da Privacidade (CDPDP).

Decreto aprova estrutura regimental da ANPD: Foi publicado em 26 de agosto o Decreto nº 10.474 que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados (ANPD). Clique aqui para consultar o texto completo.

CADE como Autoridade de Defesa da Concorrência e de Proteção de Dados
O Conselho Administrativo de Defesa Econômica (CADE) analisa a possibilidade de ampliação de suas atribuições para abarcar as competências conferidas pela Lei Geral de Proteção de Dados (LGPD) à Autoridade Nacional de Proteção de Dados (ANPD). Estudo em elaboração pela autarquia prevê uma série de benefícios gerados pela incorporação, incluindo uma economia de R$ 108 milhões. O estudo sugere que seria possível concluir a incorporação das funções até janeiro de 2021.

Determinados dispositivos contidos na LGPD e na Lei da Concorrência deverão ser alterados – e eventualmente revogados – caso a proposta de incorporação seja acolhida. Tais alterações incluem (i) a reformulação dos ritos administrativos, (ii) a definição das atribuições do novo Superintendente-Geral de Proteção de Dados e (iii) a adaptação das funções de competência dos órgãos que compõem a autarquia, incluindo o Tribunal Administrativo do CADE, a Procuradoria Federal Especializada e o
Departamento de Estudos Econômicos.

O estudo indica que o CADE seria uma solução adequada para a implementação de uma agência responsável pela proteção de dados pessoais, uma vez que apresenta os requisitos considerados fundamentais pela Organização para Cooperação e Desenvolvimento Econômico (OCDE), nomeadamente recursos, expertise e imparcialidade. A autarquia também apresenta as características recomendadas pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), nomeadamente independência e autonomia, para que o Brasil seja considerado um país adequado para permitir o fluxo internacional de dados pessoais.

Além disso, o estudo sugere que a incorporação da matéria de proteção de dados ao CADE apresenta diversos aspectos positivos, incluindo (i) segurança jurídica com relação a entendimentos das matérias; (ii) promoção da concorrência entre agentes do mercado; (iii) soluções mais adequadas para casos envolvendo proteção de dados e concorrência.

Por fim, o estudo destaca que a unificação de ambas as matérias em uma autoridade não seria exclusiva do Brasil, uma vez que diversas autoridades estrangeiras, como o Federal Trade Commission dos Estados Unidos e o Australian Competition and Consumer Commission da Austrália, acumulam as funções.

(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)

---

DESTAQUES

 

Tribunal de Justiça da União Europeia confirma a validade das SCCs e revoga EU-US Privacy Shield

Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia (CJEU) proferiu decisão invalidando o programa EU-US Privacy Shield e definindo novas obrigações a serem incorporadas às cláusulas-padrão (Standard Contractual Clauses – SCC), utilizadas para a transferência de dados pessoais da União Europeia a países fora do Espaço Econômico Europeu. A decisão do CJEU tem efeito imediato.

A decisão decorre de Reclamação apresentada por um cidadão europeu, Maximillian Schrems, contra o Facebook Ireland Ltda. perante a autoridade de proteção de dados da Irlanda. Segundo o Reclamante, a legislação americana não oferece proteção suficiente contra o acesso, por parte de autoridades públicas de segurança nacional, aos dados pessoais transferidos ao país. Em outras palavras, os direitos e liberdades fundamentais de cidadãos europeus estariam sendo violados a partir da transferência de dados da União Europeia aos EUA em razão das atividades de vigilância e fiscalização realizadas pelo governo americano.

O CJEU concluiu que o EU-US Privacy Shield não é capaz de proporcionar um nível de proteção equivalente ao GDPR, uma vez que o tratamento de dados pessoais previsto na lei de segurança nacional dos EUA não seria compatível com os princípios de proporcionalidade e necessidade do GDPR. Além disso, a legislação americana não disporia de vias jurídicas suficientemente adequadas que possam ser utilizadas por cidadãos europeus contra eventual tratamento ilegal de seus dados pessoais pelo governo americano.

O Reclamante requereu a suspensão e proibição da transferência de seus dados pessoais pelo Facebook Ireland Ltda. aos servidores do Facebook Inc., que estão localizados nos EUA. O Facebook utiliza cláusulas-padrão (SCC) para a transferência de dados pessoais de seus usuários da Europa aos EUA.

Embora as SCCs não vinculem autoridades de proteção de dados dos países destinatários dos dados, o CJEU reafirmou a validade das SCCs para transferência internacional de dados. Todavia, o CJEU definiu obrigações adicionais que devem ser incorporadas às SCCs celebradas entre empresas. A análise do nível de proteção oferecido deve levar em consideração tanto as cláusulas contratuais acordadas entre exportador e importador dos dados, quanto a legislação adotada pelo país de destino. Dentre as obrigações adicionais definidas pelo CJEU, inclui-se: (i) o dever do importador dos dados de notificar o exportador europeu sobre eventual incapacidade de cumprir as obrigações previstas na SCC; (ii) caso o exportador receba tal notificação, este deverá suspender a transferência de dados ou rescindir a SCC; e (iii) ao verificar que o nível de proteção concedido pela legislação do país de destino é insuficiente, a autoridade competente do Estado-membro deverá suspender ou proibir a transferência internacional de dados caso o exportador não o tenha feito.

 

Autoridade de Proteção de Dados da Holanda impõe multa ao Departamento de Registro de Crédito por violações ao GDPR

Em 6 de julho de 2020, a Autoridade de Proteção de Dados da Holanda condenou o Departamento de Registro de Crédito holandês (BKR) ao pagamento de contribuição pecuniária no valor de EUR 830 mil – aproximadamente BRL 5,26 milhões – por criar obstáculos para o exercício do direito de acesso de titulares de dados.

Após receber diversas reclamações de titulares de dados relatando dificuldades para acessar seus dados pessoais, a autoridade iniciou uma investigação a respeito dos procedimentos para disponibilização de acesso a dados pessoais implementados pelo BKR. A investigação revelou que, entre maio de 2018 e março de 2019, o BKR cobrava taxas para que os titulares solicitassem acesso aos seus dados pessoais em formato digital. Além disso, embora o BKR permitisse aos interessados obter uma cópia física de seus dados gratuitamente, esta só podia ser solicitada uma vez ao ano.

Após a investigação conduzida pela autoridade, o BKR modificou suas práticas. Segundo a autoridade, o BKR violou o GDPR ao criar diversos obstáculos para que os titulares dos dados exercessem seu direito de acesso. Assim sendo, além do pagamento de contribuição pecuniária, a autoridade determinou que o BKR se abstenha de cobrar taxas para que indivíduos acessem os dados pessoais que lhe dizem respeito. Além disso, caso os titulares desejem obter uma cópia física de seus dados, o BKR deve permitir que esta seja solicitada com mais frequência, e não apenas uma vez ao ano.

 

Tribunal de Justiça da União Europeia considera Comissão de Petições do Parlamento de Hessen como autoridade pública sujeita às disposições do GDPR

No presente caso, um cidadão alemão havia solicitado à Comissão de Petições do Parlamento de Hessen o acesso aos seus dados pessoais registrados pela referida comissão. O Presidente do Parlamento de Hessen indeferiu o pedido, alegando que o tratamento de dados realizado pela Comissão não estaria sujeito ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR), uma vez que se trataria de uma atividade própria do Estado. Em março de 2013, o cidadão interpôs um recurso contra a decisão proferida pelo Presidente do Parlamento de Hessen perante o Tribunal Administrativo de Wiesbaden (Verwaltungsgericht Wiesbaden).

Segundo o Verwaltungsgericht Wiesbaden, a Comissão de Petições do Parlamento de Hessen configura uma autoridade pública que, portanto, estaria sujeita ao GDPR. Todavia, dado que o GDPR não contempla definição de “autoridade pública”, o Verwaltungsgericht Wiesbaden suspendeu o julgamento do recurso interposto e submeteu ao Tribunal de Justiça da União Europeia (CJEU) uma questão prejudicial relativa à qualificação da Comissão como autoridade pública controladora do tratamento de dados pessoais. O objetivo de tal questionamento seria verificar se o impetrante poderia fazer uso de seu direito de acesso com base no GDPR.

Em 09 de julho de 2020, o CJEU proferiu Acórdão, segundo o qual a Comissão deve ser considerada controladora nos termos do GDPR, uma vez que determina a forma de realização do tratamento de dados pessoais relativos às petições que lhe são submetidas. Além disso, o CJEU considera que, embora a Comissão de Petições do Parlamento de Hessen execute atividades próprias do Estado, tais atividades não se enquadram em uma das exceções previstas expressamente pelo GDPR. Assim, o tratamento de dados pessoais realizado pela Comissão está sujeito ao GDPR e, em particular, à disposição que confere aos titulares dos dados o direito de acessar os dados pessoais que lhes dizem respeito.

 

Superior Tribunal Federal da Alemanha indefere pedido de eliminação de dados pessoais dos resultados de busca do Google

Em 27 de julho de 2020, o Superior Tribunal Federal da Alemanha (BGH) julgou improcedente duas ações ajuizadas contra o Google com base no direito à eliminação previsto no GDPR. A primeira ação foi ajuizada pelo diretor de uma instituição social de caridade, requerendo que o Google eliminasse e se abstivesse de incluir artigos de imprensa que lhe dizem respeito em sua lista de resultados de busca. Em 2011, diversos artigos foram publicados a respeito da dívida financeira de aproximadamente EUR 1 milhão da instituição na qual o Autor era diretor. Tais artigos mencionavam o nome completo do Autor. Diante da decisão proferida pelo tribunal a quo indeferindo a ação ajuizada, o Autor interpôs recurso perante o BGH. Ao rejeitar o recurso interposto, o BGH destacou que os direitos fundamentais do Autor e dos provedores de conteúdo devem ser sopesados e ponderados igualmente. Nesse sentido, não se pode presumir a prevalência dos interesses e direitos do Autor em detrimento dos direitos fundamentais dos provedores de conteúdo. Portanto, tendo em vista o princípio da proporcionalidade, o BGH concluiu que os direitos fundamentais do Autor ficariam em segundo plano com relação aos interesses do Google, de seus usuários e dos organismos de imprensa responsáveis pela publicação dos artigos impugnados.

A segunda ação foi ajuizada por sócios de determinada empresa que oferece serviços financeiros. Em 2015, diversos artigos foram publicados na internet, contendo fotos e descrições negativas sobre os Autores e a empresa da qual são sócios. Assim como no primeiro caso, os Autores requereram a eliminação dos artigos e fotos da lista de resultados de busca do Google. O Google, por sua vez, informou que não é capaz de julgar a veracidade do conteúdo publicado sobre os Autores. Após a decisão proferida pelo tribunal a quo, que julgou improcedente a ação ajuizada, os Autores interpuseram recurso perante o BGH. Neste caso, o BGH decidiu suspender o julgamento do recurso e submeter questões prejudiciais para análise do Tribunal de Justiça da União Europeia (CJEU).

 

Autoridade de Proteção de Dados da Bélgica impõe multa ao Google Belgium S/A

Em 12 de agosto de 2019, um cidadão belga apresentou uma reclamação contra o Google Belgium S/A, alegando que a empresa teria violado o seu direito à eliminação de dados. No caso, o Reclamante teria solicitado a remoção de diversos links da página de resultados de buscas do Google que continham informações negativas sobre o Reclamante, especificamente informações prejudiciais à sua honra e reputação.

Considerando que o tratamento de dados relativo aos resultados de busca seria realizado pelo Google LLC, o Google Belgium S/A arguiu a sua ilegitimidade passiva no caso. Com relação a este argumento, a autoridade considerou que tanto o pedido de eliminação enviado pelo Reclamante quanto a resposta apresentada pelo Google não identificavam explicitamente o responsável pelo tratamento dos dados. Sendo assim, a autoridade concluiu que a reclamação apresentada poderia ser dirigida ao Google Belgium, mesmo que o tratamento dos dados do reclamante fosse realizado fora da União Europeia pelo Google LLC.

Com relação ao conteúdo dos links impugnados pelo Reclamante, a Autoridade concluiu que alguns links não deveriam ser removidos, uma vez que continham informações relevantes sobre o Reclamante classificadas como de interesse público. Tais informações diziam respeito a possível relação do Reclamante com um partido político. Todavia, a autoridade concluiu que os demais links deveriam ser removidos pelo Google, pois apresentavam informações desatualizadas, infundadas e que poderiam prejudicar seriamente a reputação do Reclamante.

A autoridade, portanto, decidiu aplicar as seguintes sanções ao Google Belgium S/A: (i) remoção do conteúdo prejudicial à honra e reputação do Reclamante; (ii) multa no valor de EUR 100.000 – cerca de BRL 634 mil – devido à alegada ausência de transparência quanto ao responsável pelo tratamento de dados relativo ao serviço de busca; (iii) multa de EUR 500.000 – aproximadamente BRL 3,17 milhões – por supostamente limitar o exercício do direito de eliminação pelo titular; (iv) atualização dos formulários disponibilizados pelo Google Belgium S/A, identificando precisamente a pessoa jurídica responsável pelo tratamento dos dados de usuários que utilizem os serviços de busca do Google no território belga.

 

Tribunal Distrital do Maine confirma constitucionalidade da nova lei de proteção da privacidade do estado

Em 07 de julho de 2020, o Tribunal Distrital do Maine julgou improcedente a ação de declaração de inconstitucionalidade ajuizada por provedores de serviços de Internet (“ISPs”) com relação a Lei de Proteção da Privacidade das Informações Online do Consumidor do Maine, que entrou em vigor em 1º de julho de 2020. Particularmente, a referida lei proíbe ISPs do Maine de usar, divulgar, vender ou permitir o acesso às informações pessoais de consumidores sem o consentimento expresso destes.

Dentre as alegações dos ISPs está a de que a referida lei viola a Primeira Emenda da Constituição dos EUA ao impor restrições excessivas e sem precedentes à liberdade de expressão. Tais restrições incluem, entre outras, a forma como os ISPs se comunicam com seus consumidores, (i) exigindo que os ISPs obtenham o consentimento destes antes de fazer uso de dados que não sejam sensíveis ou sequer identifiquem o titular; e (ii) limitando serviços e anúncios publicitários por parte dos ISPs. Além disso, os ISPs alegam que a referida lei entra em conflito com a legislação federal.

Com relação ao argumento de que lei violaria a Primeira Emenda da Constituição, o Tribunal reconheceu que a lei de privacidade do Maine envolve a apreciação da Primeira Emenda, uma vez que criação e disseminação de informação são consideradas uma forma de discurso. No entanto, o Tribunal afirma que nem todos os discursos merecem o mesmo nível de proteção. Nesse sentido, a Primeira Emenda conferiria menor proteção ao discurso comercial – ou seja, relacionado unicamente aos interesses econômicos do orador e de seu público – do que a outras formas de expressão constitucionalmente garantidas.

O argumento de que lei de privacidade do estado conflitaria com a legislação federal também foi rejeitado pelo Tribunal, uma vez que a referida lei não cria qualquer obstáculo que impossibilite o cumprimento da legislação federal.

 

Autoridade de Proteção de Dados da Itália impõe multa a instituição financeira por implementação insuficiente de medidas de segurança

Em 25 de julho de 2017, a instituição financeira UniCredit S.p.A informou a Autoridade de Proteção de Dados da Itália (Garante per la protezione dei dati personali) sobre um ataque cibernético que teria ocorrido em dois momentos distintos entre abril de 2016 e julho de 2017. O incidente resultou no acesso não autorizado a dados pessoais pertencentes a aproximadamente 762 mil indivíduos. A investigação conduzida pela autoridade constatou que o ataque teria ocorrido em razão do uso indevido de credenciais de acesso por funcionários da empresa Penta Finanziamenti Italia S.r.l. – parceiro comercial da Unicredit – através do aplicativo chamado Speedy Arena. Dentre os dados pessoais acessados incluíam-se dados de contato, profissão, escolaridade, documentos de identificação, dados relativos ao empregador, salários, valores de empréstimos, status de pagamento, classificação de crédito e números de contas bancárias.

Com relação à violação ao Código de Proteção de Dados Pessoais da Itália, a autoridade constatou que o banco teria feito uso de um sistema de autorização de acesso inadequado, além de não limitar o acesso de funcionários da empresa Penta aos dados pessoais estritamente necessários para realizar as suas respectivas funções.

Diante dos fatos, autoridade decidiu impor uma multa valor de EUR 600 mil – cerca BRL 3,8 milhões – à Unicredit. Ao determinar o valor da multa, a autoridade levou em consideração os seguintes aspectos: (i) quantidade de indivíduos afetados pelo incidente; (ii) a implementação, por parte da Unicredit, de diversas medidas e iniciativas destinadas a reforçar o seu sistema de segurança após o incidente; (iii) inexistência de processos e sanções previamente aplicadas à Unicredit; e (iv) as demonstrações financeira da Unicredit para o ano de 2018.

 

Autoridade de Proteção de Dados da Itália condena operadora de telefonia pelo tratamento ilegal de dados pessoais para fins publicitários

A decisão, proferida em 09 de julho de 2020 em face da empresa Wind Tre S.p.A., decorre de diversas reclamações de indivíduos que afirmaram ter recebido contatos promocionais indesejados, sem consentimento prévio, via mensagens de texto (SMS), e-mails, fax e chamadas telefônicas automatizadas. Em diversos casos, os reclamantes afirmaram que não conseguiram revogar seu consentimento ou se opor ao tratamento de dados realizado pela empresa para fins publicitários.

A Wind Tre S.p.A. afirmou à autoridade que, em alguns casos, o contato promocional havia sido realizado por engano e, em outros casos, a possibilidade de revogação do consentimento ainda não havia sido prontamente implementada. A autoridade constatou que o consentimento obtido pela empresa – em alguns casos – não seria válido, uma vez que, a partir da documentação apresentada, não era possível verificar que tal consentimento teria sido fornecido de forma livre, específica e informada pelo titular dos dados.

A investigação também concluiu que os aplicativos MyWind e My3, responsáveis pelo gerenciamento do perfil do usuário dos serviços de telefonia, obrigavam o usuário a fornecer, a cada novo acesso, uma série de consentimentos para diferentes finalidades de tratamento – quais sejam: marketing, profiling, compartilhamento de dados com terceiros, aprimoramento de dados e geolocalização. Neste ponto, a autoridade considera que, embora os usuários de tais aplicativos tivessem a opção de gerenciar suas preferências para revogar o consentimento fornecido, os processos de gerenciamento eram inadequados, tendo em vista a sua complexidade e seu difícil acesso. Além disso, a autoridade constatou que os usuários somente poderiam revogar o seu consentimento após o período de 24 horas. Portanto, diante de tais fatos, a autoridade concluiu que a mera possibilidade de gerenciamento de consentimento não seria suficiente para que o consentimento obtido pela operadora fosse considerado válido.

Dentre as sanções aplicada à Wind Tre S.p.A., destaca-se (i) a proibição imediata do tratamento de dados pessoais realizado por meio dos aplicativos MyWind e My3, bem como do tratamento realizado para fins publicitários com relação aos indivíduos para os quais não é possível verificar a coleta de um consentimento adequado; (ii) a adoção de medidas adequadas para garantir que os indivíduos que se opuseram ao tratamento de seus dados pessoais não sejam contatados por terceiros; e (iii) o pagamento de contribuição pecuniária no valor de EUR 16.729.600 – aproximadamente BRL 107 milhões.

 

De acordo com o Tribunal de Justiça da União Europeia, a garantia dos direitos de propriedade intelectual não exige a divulgação dos endereços de IP e e-mail de infratores

Constantin Film Verleih GmbH é uma sociedade de distribuição de filmes que detém direitos de propriedade intelectual sobre diversas obras cinematográficas na Alemanha. Entre 2013 e 2014, usuários do YouTube disponibilizaram, através da referida plataforma, filmes de propriedade da distribuidora. Diante do ocorrido, a empresa ajuizou ação em face das pessoas jurídicas YouTube LLC e Google LCC, requerendo diversas informações para identificar os usuários responsáveis pela violação aos seus direitos de propriedade intelectual. Os dados solicitados incluíam endereços de e-mail, endereços de IP e números de telefone.

Em maio de 2016, a ação foi julgada improcedente pelo Tribunal Regional de Frankfurt. Em contrapartida, em 2018, o Tribunal Regional Superior de Frankfurt proferiu decisão julgando parcialmente procedente o recurso interposto pela Constantin Film Verleih e condenando YouTube LCC e Google LCC a disponibilizarem apenas os endereços de e-mail dos usuários. Em face da decisão proferida pelo Tribunal Regional Superior de Frankfurt foram interpostos recursos perante o Superior Tribunal Federal da Alemanha (BGH), tanto pela Constantin Film Verleih – solicitando a disponibilização dos demais dados dos usuários – quanto pelo Google LLC e YouTube LCC – solicitando a improcedência total do pedido. O BGH decidiu suspender o julgamento dos recursos e submeter uma questão prejudicial ao Tribunal de Justiça da União Europeia (CJEU), nomeadamente a respeito da interpretação e abrangência do termo “endereços”, previsto pela Diretiva 2004/48, que trata dos direitos de propriedade intelectual.

Segundo decisão proferida pelo CJEU, uma vez que a Diretiva 2004/48 não define o conceito do termo “endereço”, a determinação do seu sentido e alcance deve ser feita de acordo com o seu sentido habitual na linguagem comum. Assim, o termo “endereço”, previsto na Diretiva 2004/48, deve ser interpretado apenas como endereço postal – isto é, endereço domiciliar ou residencial de um indivíduo –, não se referindo, portanto, ao endereço de e-mail, ao número de telefone ou ao endereço de IP. Além disso, o CJEU destaca que a Diretiva visa permitir ao titular de um direito de propriedade intelectual identificar quem viola esse direito e tomar as medidas necessárias a protegêlo. Todavia, ao prever os tipos de informação que podem ser requeridas pelo titular de um direito de propriedade intelectual violado – especialmente, nome e endereço do infrator –, a Diretiva busca conciliar o respeito ao direito à informação dos titulares e o direito à proteção dos dados pessoais dos usuários.

 

Tribunal Distrital de Missouri nega pedido de arquivamento de processo instaurado em face de escritório de advocacia

O escritório de advocacia Warden Grier, LLP requereu o arquivamento do processo ajuizado pela seguradora Hiscox Insurance Co. Inc. perante o Tribunal Distrital de Missouri. O processo se refere ao vazamento de dados ocorrido em 2016, a partir do qual uma organização internacional de hackers invadiu os servidores da Warden Grier e coletou diversos dados sensíveis pertencentes a seus clientes, dentre os quais a Hiscox.

No caso, os servidores da Warden Grier armazenavam dados altamente sensíveis e confidenciais, incluindo dados de saúde pertencentes à Hiscox e seus segurados. A Hiscox considera que os deveres legais e contratuais da Warden Grier exigiam que o escritório de advocacia adotasse medidas de segurança adequadas para proteger os dados sensíveis armazenados em seu servidor.

De acordo com a decisão proferida em 23 de julho de 2020 pelo Tribunal, o Warden Grier tinha o dever de proteger os dados pessoais, sensíveis ou não, de seus clientes e o incidente de vazamento de dados em um escritório de advocacia não necessariamente dependeria da caracterização de negligência profissional. Inclusive, o Tribunal ressalta que a jurisprudência do estado de Missouri tem sustentado que as acusações de práticas que não estejam relacionadas à atividade profissional não constituem negligência profissional. Nesse sentido, o Tribunal concluiu que, pelo fato de as acusações não se basearem necessariamente em negligência profissional, o presente processo não poderia ser arquivado.

 

Suprema Corte do Canadá confirma a constitucionalidade de lei que proíbe a discriminação com base em dados genéticos

O Governo do Quebec ajuizou uma ação de declaração de inconstitucionalidade, alegando que o Parlamento canadense teria excedido os limites de sua competência ao elaborar certas disposições contidas na Lei de Não Discriminação Genética (Genetic NonDiscrimination Act) de 2017. A referida lei proíbe pessoas físicas e jurídicas de (i) forçar indivíduos a realizar testes genéticos ou divulgar resultados destes como condição de acesso a bens, serviços e contratos; (ii) impedir o acesso de um indivíduo a bens, serviços e contratos caso estes se recusarem a realizar um teste genético ou a divulgar os resultados deste; e (iii) utilizar os resultados de testes genéticos sem consentimento do titular de dados para fins de contratação e fornecimento de bens e serviços.

A Constituição Federal do Canadá confere competências distintas às províncias e ao governo federal. No caso, o Parlamento teria competência para elaborar legislações penais, enquanto as províncias teriam competência para elaborar normas relativas a direitos civis e de propriedade, incluindo regulamentos sobre contratos de compra e venda de bens e serviços. Ao julgar procedente a ação ajuizada pelo Governo de Quebec, o Tribunal de Apelações entendeu que o Parlamento teria excedido sua competência ao elaborar uma lei que não guarda relação com a matéria penal. Tal decisão foi objeto de recurso por parte da Canadian Coalition for Genetic Fairness.

Em 10 de julho de 2020, a Suprema Corte do Canadá proferiu decisão dando provimento ao recurso interposto, destacando que o caráter essencial das proibições representa os esforços do Parlamento para impedir danos que podem resultar da eventual discriminação com base em resultados de testes genéticos. Segundo a Corte, a proibição de tais práticas representa interesses públicos tradicionalmente protegidos pela legislação penal, tais como autonomia, privacidade, igualdade e saúde pública. A Suprema Corte concluiu que as condutas proibidas pela Lei de Não Discriminação Genética representam uma clara ameaça os direitos à autonomia e à privacidade, uma vez que cabe aos próprios indivíduos decidir acessar e compartilhar os resultados de seus testes genéticos. Além disso, a Corte destacou que eventual discriminação baseada em dados genéticos representa riscos ao direito fundamental de igualdade, tendo em vista a possibilidade de estigmatização e imposição de tratamento adverso aos indivíduos em decorrência de características genéticamente herdadas e imutáveis. Por fim, a Corte acrescentou que também haveria riscos de violação do direito à saúde pública, considerando que a discriminação genética pode impedir que determinados indivíduos tenham acesso aos serviços de saúde, bem como representar barreiras à prevenção de enfermidades e à participação em pesquisas e outras iniciativas de saúde pública.

 

Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br