As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Agosto/2020.

 

DESTAQUES LEGISLATIVOS

 

A LGPD está em vigor a partir de hoje, 18/09/2020

A oficialização da vigência é a publicação no Diário Oficial de hoje da Lei 14.058/2020. Essa é a Lei referente à MP 959/20, na qual constava a prorrogação da LGPD, que mesmo tendo sido retirada pelo Senado Federal precisava ser convertida em lei para fins de vigência.


ANPD

Apesar de o Decreto 10.474/20 ter sido editado em 27/08, a ANPD segue sem perspectiva de efetiva instalação e funcionamento, uma vez que o art. 6º condiciona sua vigência à publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial.


Sanções – Alerta

Apesar de as sanções administrativas só poderem ser aplicadas a partir de agosto/2021, órgãos como Ministério Público, Senacon e Procons tendem a invocar a Lei em representações judiciais.


Novo Projeto –
PDL 394/2020

O Deputado Federal Alessandro Molon (PSB/RJ), líder do partido na Câmara, apresentou um Projeto de Decreto Legislativo que pretende sustar dispositivos do recém editado Decreto 394/20, que aprova a estrutura da ANPD. Os dispositivos mencionados no projeto tratam da competência da Agência, indicação presidencial para a composição do Conselho Nacional de Proteção de Dados, requisição de militares para a ANPD e presidência do CNPD pela Casa Civil.

O PDL 394/20 seguirá seu trâmite normal na Câmara dos Deputados e tem um timing de tramitação longo, salvo se algum pedido de urgência for apresentado e aprovado.

A tendência é que mais propostas legislativas referentes à LGPD e ANPD sejam apresentadas. Continuamos nosso habitual monitoramento.

(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)



DESTAQUES

 

Hering é multada pela coleta indevida de dados pessoais de consumidores a partir do uso de tecnologia de reconhecimento facial

Em maio de 2019, o Departamento de Proteção e Defesa do Consumidor (DPDC), da Secretaria Nacional do Consumidor (SENACON), instaurou procedimento de averiguação preliminar em face da empresa Hering para apurar a prática notificada pelo Instituto Brasileiro de Defesa do Consumidor (Idec) relativa à suposta coleta de dados de consumidores por meio de tecnologia de reconhecimento facial.

De acordo com a notificação do Idec, a Hering estaria monitorando a reação de consumidores a seus produtos por meio da implementação da tecnologia de reconhecimento facial em uma de suas lojas. Considerando a ausência de consentimento dos consumidores para a coleta dos dados, o Idec alegou que a Hering estaria incorrendo em práticas abusivas ao conduzir uma espécie de “pesquisa de mercado compulsória”. Considerando a natureza sensível dos dados pessoais tratados (dados biométricos), a Hering também estaria violando a Lei Geral de Proteção de Dados (LGPD) ao não obter o consentimento dos titulares antes de realizar a coleta de seus dados pessoais.

De acordo com a Nota Técnica emitida pela Coordenação-Geral de Consultoria Técnica e Sanções Administrativas do DPDC em 2019, a Hering afirmou que “a tecnologia implementada na loja conceito do Morumbi Shopping, de Video Analytics e Digital Signature, se destinava à realização de diagnóstico estimado de dados estatísticos (não pessoais), relacionados a gênero, faixa etária e humor dos clientes, a partir de câmeras instaladas no local e da detecção de sinais de wi-fi”. A Hering alegou que os dados coletados eram anonimizados e que, portanto, não haveria como identificar os consumidores a partir de tais informações.

A SENACON concluiu que a Hering violou diversos dispositivos do Código de Defesa do Consumidor ao utilizar a tecnologia de reconhecimento facial para a coleta e armazenamento dos dados pessoais de consumidores sem o prévio consentimento destes – nomeadamente, o dever de informação e o princípio de reconhecimento da vulnerabilidade do consumidor no mercado de consumo. Nesse sentido, o referido órgão condenou a empresa ao pagamento de multa no valor de BRL 58.767,00.

 

STJ nega provimento ao recurso interposto pelo Google contra o fornecimento de dados de seus usuários no caso Marielle Franco

Em 26 de agosto de 2020, a Terceira Seção do Superior Tribunal de Justiça (STJ) decidiu manter o julgamento proferido pela 4ª Vara Criminal da Comarca do Rio de Janeiro que determinou que o Google Brasil Internet fornecesse dados de localização de todos os usuários que estivessem transitando em áreas próximas ao local da morte da vereadora Marielle Franco e de seu motorista, Anderson Gomes.

O Google alegou, em seu recurso, que a medida seria genérica e desproporcional, tendo em vista a ausência de individualização e a quantidade de pessoas que seriam afetadas pela quebra do sigilo de seus dados.

O Ministro Relator Rogerio Schietti do STJ refutou o argumento de que a ordem judicial seria desproporcional, uma vez que não acarretaria “risco desmedido” aos direitos de privacidade e intimidade dos usuários dos serviços do Google. Além disso, o Ministro acrescentou que os direitos fundamentais não são absolutos, podendo ser restringidos em casos de interesse público relevante.

Com relação à ausência de individualização, o Ministro explicou que a quebra de sigilo se refere aos dados informáticos estáticos – isto é, dados que permitem a identificação dos usuários de aplicativos presentes em determinado perímetro geográfico –, e não ao conteúdo das comunicações desses usuários. O Ministro citou, inclusive, que os artigos 22 e 23 do Marco Civil da Internet não exigem que a ordem judicial para o fornecimento de dados estáticos individualize as pessoas afetadas.

 

Empresa dinamarquesa é multada por violação aos requisitos de segurança previstos no GDPR

A Autoridade de Proteção de Dados da Dinamarca (Datatilsynet) aplicou multa no valor de DKK 150 mil – aproximadamente BRL 126 mil – à empresa PrivatBo por violação aos requisitos de segurança previstos no Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Em 2018, a empresa dinamarquesa apoiou um fundo habitacional com a venda de três propriedades. Nessa ocasião, a PrivatBo distribuiu dispositivos USB aos ocupantes dos referidos imóveis, contendo diversos materiais como, por exemplo, contratos de locação. A empresa, no entanto, não estava ciente de que em alguns dos contratos armazenados nos referidos dispositivos haviam sido anexados documentos que continham dados pessoais de natureza confidencial.

O entendimento adotado pela autoridade, conforme extraído do press release publicado em 04 de agosto, é de que empresas que tratam dados pessoais têm a responsabilidade de garantir que tais dados não sejam divulgados a terceiros não autorizados. Nesse sentido, a autoridade concluiu que a PrivatBo violou o GDPR ao deixar de implementar medidas de segurança técnicas e organizacionais adequadas para impedir a divulgação de dados pessoais. Além da aplicação de multa, a autoridade denunciou a PrivatBo a a respeito da divulgação não intencional de dados pessoais.

 

Tribunal de Apelação do Reino Unido declara ilegal o uso de tecnologia de reconhecimento facial automatizado pela Polícia do Sul do País de Gales

Em 11 de agosto de 2020, o Tribunal de Apelação do Reino Unido anulou a decisão do tribunal a quo que havia julgado improcedente recurso impetrado por um cidadão impugnando o uso da tecnologia de Reconhecimento Facial Automatizado (AFR) pela Polícia do Sul do País de Gales (SWP). Em setembro de 2019, o tribunal a quo havia determinado que o uso de tal tecnologia era necessário e proporcional para o exercício das atividades da SWP.

O AFR funciona extraindo imagens de rostos de indivíduos capturadas em tempo real por câmeras de segurança e comparando-as com os rostos de indivíduos inseridos no banco de dados de procurados da SWP. Caso não houvesse correspondência entre os rostos analisados, a imagem extraída das câmeras de segurança era automaticamente deletada do sistema.

Dentre os argumentos acolhidos pelo Tribunal, ressalta-se a discricionariedade relativa ao uso do AFR e a inadequação do relatório de impacto à proteção de dados pessoais (DPIA) apresentado pela SWP. No primeiro caso, o Tribunal constatou que as normas relativas ao uso do AFR conferiam excessiva discricionariedade aos agentes policiais para que determinassem quais indivíduos poderiam ser incluídos no banco de dados de procurados e em qual local o AFR poderia ser instalado.

Por fim, no que se refere ao segundo argumento, o Tribunal concluiu que a SWP não elaborou um DPIA adequado, uma vez que (i) não reconheceu que dados pessoais de indivíduos que não estavam incluídos na lista de procurados também foram objeto de tratamento; (ii) não reconheceu que o tratamento de dados pessoais pertencentes aos indivíduos não inseridos na lista de procurados violaria o direito à vida privada destes; e (iii) não indicou os potenciais danos derivados do uso de AFR, incluindo riscos ao direito de liberdade de expressão ou ao direito de liberdade de associação.

 

Tribunal Federal australiano aprova acordo celebrado entre a Comissão Australiana da Concorrência e do Consumidor (ACCC) e a plataforma HealthEngine

HealthEngine é uma plataforma online para agendamento de consultas médicas. Além de disponibilizar o acesso a mais de 70 mil profissionais de saúde em toda a Austrália, a plataforma permite que seus usuários publiquem avaliações acerca da qualidade dos serviços médicos prestados por determinado profissional.

Em 2019, a ACCC instaurou um processo contra a HealthEngine em virtude do seu envolvimento em condutas relativas ao compartilhamento de dados pessoais de usuários com corretoras de planos de seguro saúde, bem como praticas relacionadas à publicação de avaliações e classificações em sua plataforma.

No caso, a HealthEngine admitiu ter compartilhado dados pessoais de mais de 135 mil usuários de sua plataforma com corretoras de planos de seguro saúde sem o conhecimento daqueles. Tais dados incluíam nomes, datas de nascimento, números de telefone, endereços de e-mail, horário de consultas, área médica do profissional com o qual o usuário realizou o agendamento da consulta e o provedor de seguro saúde contratado pelo usuário. Além disso, a HealthEngine também admitiu ter ocultado e modificado diversas avaliações com o intuito de remover aspectos negativos.

Além do pagamento de AUD 2,9 milhões em penalidades – aproximadamente BRL 11,2 milhões – , o acordo aprovado pelo Tribunal Federal exige que a HealthEngine entre em contato com os usuários afetados e os informe sobre (i) o compartilhamento de seus dados pessoais com corretora de seguro saúde; (ii) a identidade da corretora com a qual os dados pessoais foram compartilhados; e (iii) o procedimento para que o usuário possa solicitar a exclusão de seus dados pessoais.

 

Autoridade de Proteção de Dados norueguesa impõe multa a Administração Pública de Estradas da Noruega pelo tratamento ilegal de dados pessoais

Em 25 de agosto, a Autoridade de Proteção de Dados norueguesa (Datatilsynet) condenou a Administração Pública de Estradas da Noruega ao pagamento de uma multa no valor de NOK 400 mil – aproximadamente BRL 234 mil – em virtude do tratamento de dados pessoais para fins incompatíveis com a finalidade original, bem como em razão da não exclusão das imagens captadas por câmeras de gravação dentro do prazo legal.

A Administração Pública de Estradas da Noruega instalou diversas câmeras ao longo de rodovias e estradas do país com a finalidade original de garantir a segurança em tais locais. No entanto, a autoridade constatou que as imagens coletadas através das câmeras estavam sendo utilizadas para fins diversos, incluindo o monitoramento de contratados, funcionários, subcontratados e funcionários de subcontratados, bem como a fiscalização do cumprimento das obrigações contratuais por parte destes.

Além do desvio de finalidade, a autoridade verificou que o período legal de armazenamento de tais imagens também estaria sendo violado. As imagens estariam sendo utilizadas para documentar eventuais violações contratuais meses após terem sido capturadas, enquanto a legislação de proteção de dados pessoais da Noruega determina que as gravações devem ser deletadas no prazo máximo de sete dias a partir da captura.

 

Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br