As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Setembro/2020.
DESTAQUES LEGISLATIVOS
Após encaminhamento de mensagem presidencial com os indicados para compor o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), o Senado aprovou, nesta 3ª feira, 20/10, todos os cinco nomes indicados pelo Presidente da República. Assim, a ANPD começa a ganhar forma e condições para editar as regulamentações da Lei 13.709/2018.
O próximo passo é a nomeação oficial de cada indicado no Diário Oficial e posterior posse nos cargos. Além deste aspecto formal da nomeação e posse, um fator importante para o efetivo começo dos trabalhos será a definição de local físico de estruturação da ANPD.
Saiba mais sobre os novos diretores da ANPD:
Waldemar Gonçalves Ortunho Junior – Presidente – Mandato de 6 anos
Atualmente é o presidente da Telecomunicações Brasileiras S.A. (Telebras). Engenheiro Eletrônico, graduado pelo Instituto Militar de Engenharia, com pós-graduação em Engenharia Elétrica pela UnB (Universidade de Brasília). Profissional com 40 anos de experiência nos Ministérios da Defesa (Exército Brasileiro) e das Comunicações, sempre atuando em tecnologia da informação, com ênfase em telecomunicações, radiodifusão e informática. Como engenheiro militar, no Ministério da Defesa serviu na Diretoria de Telecomunicações e no Gabinete do Comandante do Exército, onde gerenciou o projeto de rede telemática. Foi coordenador da área de tecnologia no Estádio Nacional de Brasília na Copa do Mundo de 2014. Em sua sabatina, Waldemar frisou que a regulamentação da LGPD, um dos objetos da atuação da ANPD, precisa acompanhar as mudanças deste século e o uso da internet para que o Brasil não fique para trás na corrida da inovação. Em votação plenária, seu nome foi aprovado por 39 votos favoráveis e 5 contrários.
Coronel Arthur Pereira Sabbat – Mandato de 5 anos
Atualmente ocupa a diretoria do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República. Bacharel em Administração de Empresas pelo UniCeub (Centro Universitário de Brasília) e graduado em Comunicações Bélicas pela Academia Militar das Agulhas Negras. É mestre em Aplicações Militares pela EsAO (Escola de Aperfeiçoamento do Exército Brasileiro) e pós-graduado em Gestão de Projetos pela UNINTER (Centro Universitário Internacional). É especialista em Segurança da Informação, Proteção de Dados Pessoais e membro da IAPP (Associação Internacional de Profissionais da Privacidade). Tem diversos cursos de extensão nas mais variadas áreas envolvendo comunicação e segurança da informação. Antes de ir para o GSI, foi Assessor Especial de Defesa na Secretaria de Assuntos Estratégicos da Presidência da República, além de Coordenador-Geral do Centro de Tratamento e Resposta a Incidentes de Redes do Governo. Em sua sabatina, Sabbat defendeu que a ANPD deve agir para devolver ao cidadão a capacidade de decidir sobre o destino dos seus dados. Em votação plenária, seu nome foi aprovado por 47 votos favoráveis e 5 contrários (seus votos refletem o maior quórum durante a sessão plenária).
Joacil Basílio Rael – Mandato de 4 anos
Possui graduação em Engenharia de Computação pelo Instituto Militar de Engenharia, graduação em Bacharelado em Ciência Militares pela Academia Militar das Agulhas Negras, mestrado em Sistemas e Computação pelo Instituto Militar de Engenharia e doutorado em Ciências da Informação pela Universidade de Brasília. Possui experiência na área de Ciência da Computação, com ênfase em Ciência da Computação. Tem atuado no ensino superior nas funções de professor, coordenador e diretor. Atualmente, atua como encarregado da proteção de dados na Telecomunicações Brasileiras S.A. (Telebras). Em sua sabatina, Joacil defendeu que haja um tratamento diferenciado da ANPD para micro e pequenas empresas. Em votação plenária, seu nome foi aprovado por 38 votos favoráveis, 5 contrários, além de 1 abstenção.
Nairane Farias Rabelo Leitão – Mandato de 3 anos
Advogada com atuação na área de Direito Público, especialmente em Direito Tributário e em Direito Administrativo. Pós-graduada em Direito Tributário pelo Instituto Brasileiro de Estudos Tributários (IBET). Sócia do Serur Advogados, foi responsável pelas áreas de Direito Regulatório e de Privacidade e Proteção de Dados do escritório. Em votação plenária, seu nome foi aprovado por 38 votos favoráveis, 3 contrários, além de 1 abstenção.
Miriam Wimmer – Mandato de 2 anos
Doutora em Políticas de Comunicação e Cultura pela Faculdade de Comunicação da Universidade de Brasília (UnB) e mestre em Direito Público pela Universidade Estadual do Rio de Janeiro (UERJ). Possui certificação CIPP/E da IAPP (Associação Internacional de Profissionais da Privacidade). Foi bolsista do programa internacional da Universidade de Waseda, em Tóquio, entre 2001 e 2002. É servidora pública desde 2007, atualmente trabalhando como diretora de Políticas para Telecomunicações e Acompanhamento Regulatório no Ministério das Comunicações. É professora de Direito, Tecnologia e Inovação no Instituto Brasiliense de Direito Público (IDP) e professora convidada de direito digital e proteção de dados pessoais em diversas instituições, como Data Privacy Brasil, Escola Paulista de Direito (EPD), Instituto de Tecnologia e Sociedade do Rio (ITS) e Escola Nacional de Administração Pública (ENAP). Em votação plenária, seu nome foi aprovado por 46 votos favoráveis e 5 contrários.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
Cyrela é condenada por compartilhamento indevido de dados pessoais de seus clientes
A ação foi proposta por um cliente que havia celebrado um contrato com a Cyrela para a aquisição de um imóvel em novembro de 2018. Após a celebração do contrato de compra e venda, o autor passou a receber contatos de marketing indesejados de instituições financeiras, consórcios e empresas de arquitetura que ofereciam serviços associados à compra do imóvel. O contrato celebrado entre as partes previa apenas a inclusão dos dados do autor no cadastro positivo, não abrangendo o compartilhamento dos demais dados pessoais a terceiros estranhos à relação contratual.
Segundo a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, houve violação não apenas à LGPD, mas também ao Código de Defesa do Consumidor e à própria Constituição Federal. A juíza afirmou que os dados pessoais do autor foram tratados em violação aos direitos fundamentais que norteiam a disciplina da proteção de dados. Além disso, a Cyrela também teria violado os princípios da finalidade e adequação, uma vez que tais dados foram utilizados para finalidades diversas das previstas na relação contratual e sem que o autor tivesse sido informado adequadamente.
A Cyrela apresentou reconvenção contra o autor, requerendo o pagamento de indenização por danos morais, uma vez que o ajuizamento da ação teria prejudicado a sua imagem e honra. No entanto, tal pretensão foi julgada improcedente pela juíza, que concluiu que eventuais impactos decorreram da própria conduta ilícita praticada pela empresa.
Na sentença, proferida em 29 de setembro, a juíza condenou a Cyrela ao pagamento de indenização no valor de R$ 10 mil, bem como à obrigação de se abster de compartilhar os dados pessoais do autor a terceiros, sob pena de multa de R$ 300 por cada contato indevido.
Primeira ação judicial fundamentada na LGPD após entrada em vigor é extinta sem julgamento de mérito
Trata-se de ação civil pública ajuizada pela Unidade de Proteção de Dados e Inteligência Artifical (Espec) do MPDFT em face da empresa Infortexto Ltda. e do Núcleo de Informação e Coordenação do Ponto BR (NIC.BR).
Segundo o Ministério Público, a Infortexto teria comercializado, através do website “Lembrete Digital”, uma série de dados pessoais – incluindo nomes, e-mails, endereços e telefones – para fins de envio de marketing direto. Tais dados eram vendidos em pacotes e segmentados por profissão, bairro, cidade, estado e CEP.
De acordo com a petição inicial, apresentada em 21 de setembro, a comercialização indiscriminada de dados pessoais causaria danos aos direitos à intimidade e à privacidade dos titulares dos dados. Como exemplo, o MPDFT destaca que cerca de 500 mil indivíduos tiveram seus dados vendidos, apenas na cidade de São Paulo.
Assim, o MPDFT requereu a concessão de tutela de urgência para que a Infortexto se abstenha de disponibilizar, gratuita ou onerosamente, dados pessoais, bem como para que a NIC.BR desative o website operado pela Infortexto. Como pedido final, o MPDFT requereu a condenação da Infortexto à eliminação de todos os dados pessoais tratados de forma indevida, bem como a condenação do NIC.BR ao cancelamento definitivo do website através do qual os dados estariam sendo vendidos.
Segundo o juiz Wagner Pessoa Vieira, da 5ª Vara Cível de Brasília, não foi possível identificar dano ou risco de dano que justifique o ajuizamento da ação, tendo em vista que, após a propositura da demanda, o site em questão foi desativado. Por essa razão, o Tribunal de Justiça do Distrito Federal e Territórios decidiu extinguir a ação sem julgamento do mérito em virtude de ausência de interesse processual de agir.
Autoridade de proteção de dados húngara multa editora da revista Forbes
De acordo com o press release emitido pelo EDPB, um total de 4,5 milhões de HUF (equivalente a R$ 81.632,91) em multas de proteção de dados foram aplicadas em dois casos distintos envolvendo a Mediarey Hungary Services Zrt., editora da revista Forbes na Hungria.
Em ambos os casos, a Autoridade constatou que a editora teria violado o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) ao não realizar uma avaliação adequada de seu legítimo interesse em relação à publicação de artigos, através da Forbes, contendo as maiores empresas familiares e os 50 cidadãos húngaros mais ricos. Além disso, a editora teria violado o GDPR ao não fornecer informações adequadas aos titulares dos dados a respeito das condições de tratamento e dos seus direitos como titulares dos dados.
Por essas razões, além da aplicação de multa, a editora foi condenada a fornecer informações aos titulares dos dados acerca (i) das condições de tratamento de seus dados, incluindo informações relativas aos interesses legítimos da editora; e (ii) do direito de oposição conferido aos titulares pela legislação.
A Autoridade não concluiu que a elaboração e publicação de listas contendo informações de empresários não seria permitida. Segundo a Autoridade, a Forbes pode compilar listas com base em dados comerciais acessíveis ao público, mas a publicação dessas listas deve estar sujeita às exigências previstas no GDPR.
A Autoridade Norueguesa de Proteção de Dados multa o município de Bergen
De acordo com o press release publicado pelo EDPB, a Autoridade de Proteção de Dados norueguesa (Datatilsynet) impôs multa de NOK 3 milhões (aproximadamente BRL 1,8 milhão) ao município de Bergen por não implementar medidas adequadas para assegurar a proteção de dados pessoais no sistema de comunicação entre a escola e os lares, bem como por não assegurar a confidencialidade e integridade de tais informações.
Em outubro de 2019, a Datatilsynet foi notificada a respeito de um vazamento de dados pessoais em uma nova ferramenta digital implementada pelo município de Bergen para possibilitar a comunicação entre a escola e os lares. Em particular, a Datatilsynet observou que a ferramenta de comunicação adotada pelo município de Bergen permitia o acesso aos dados pessoais de crianças sem o consentimento dos pais. Além disso, a Datatilsynet verificou que uma lista contendo os endereços das crianças havia sido enviada para toda a série escolar através da ferramenta, bem como que a avaliação de risco realizada pelo município não seria adequada. Por fim, a Datatilsynet concluiu que o município de Bergen não havia estabelecido e comunicado as diretrizes necessárias a fim de informar adequadamente às crianças a respeito do tratamento de seus dados pessoais.
ICO multa empresa de consultoria por realizar chamadas de marketing não autorizadas
Em 10 de setembro, a autoridade do Reino Unido (ICO) impôs uma multa no valor de GBP 130 mil (aproximadamente BRL 941 mil) à CPS Advisory Limited, uma empresa de consultoria sediada em Swansea, por realizar mais de 100 mil ligações de marketing não autorizadas para assinantes a respeito de suas pensões.
Em 9 de janeiro de 2019, o Regulamento de Privacidade e Comunicações Eletrônicas (PECR) foi emendado para proteger os destinatários de chamadas sobre previdência. O PECR estabelece que as empresas só podem realizar tal tipo de ligação mediante autorização da Financial Conduct Authority (FCA) ou caso gerenciem um esquema de aposentadoria. A lei também estabelece que o destinatário deve consentir em receber a chamada ou ter ao menos a expectativa de receber tal chamada devido ao seu relacionamento existente com a empresa.
O ICO concluiu que a CPS não cumpriu com os requisitos acima e, portanto, a conduta praticada teria representado uma violação significativa da privacidade dos destinatários de tais chamadas.
ICO multa empresa por realizar o tratamento ilegal de dados pessoais para fins publicitários
A empresa Digital Growth Experts Limited (DGE) foi multada em GBP 60 mil (aproximadamente BRL 434 mil) por enviar mensagens de textos para fins publicitários no contexto da pandemia Covid-19. Cerca de 17.241 mensagens de texto foram enviadas entre 29 de fevereiro e 30 de abril de 2020 com o intuito de promover um produto higienizante para as mãos que afirmava ser “eficaz contra o coronavírus”.
A autoridade de proteção de dados do Reino Unido (ICO) concluiu que (i) a maioria das mensagens recebidas não permitia que os destinatários optassem por não receber futuras mensagens de marketing; (ii) as mensagens não deixam claro que estavam sendo enviadas por e em nome da DGE; (iii) a DGE não demonstrou qualquer registro que comprovasse a obtenção de consentimento para enviar as mensagens de marketing; e (iv) os indivíduos não tinham, no momento de coleta dos seus dados, um mecanismo simples para deixar de permitir que seus dados de contato fossem utilizados para fins de marketing.
Além disso, a ICO constatou que, com relação a indivíduos que haviam se inscrito para receber uma amostra grátis do higienizador de mãos, a DGE deixou de fornecer informações precisas sobre como os dados seriam coletados. Assim, ao inserir seus dados pessoais para receber a amostra, os indivíduos passaram automaticamente, e sem aviso prévio, a receber mensagens de marketing da DGE. A ICO concluiu que tais meios de obtenção de consentimento não seriam válidos, uma vez que este não teria sido fornecido pelo titular dos dados de maneira livre.
Autoridade de Proteção de Dados da Colômbia condena Google pelo tratamento ilegal dos dados pessoais de crianças e adolescentes
A decisão, proferida em 4 de setembro, deriva de um press release publicado pelo Federal Trade Commission (FTC) dos Estados Unidos informando que o Google e o YouTube LLC, haviam sido alvos de uma investigação para apurar a coleta de dados pessoais de menores sem o consentimento dos pais. A Superintendência de Indústria e Comércio da Colômbia (SIC) decidiu iniciar uma investigação ex officio e solicitou ao Google que informasse como a empresa tratava os dados pessoais de crianças na Colômbia.
Durante a investigação, a autoridade concluiu que o Google realizava o tratamento de dados pessoais de 38.962.184 colombianos maiores de idade e de 1.847.592 crianças e adolescentes através da instalação de cookies em dispositivos móveis e em computadores localizados na Colômbia. Com relação ao tratamento de dados de crianças e adolescentes, a SIC concluiu que o Google teria violado sua obrigação de obter o consentimento prévio, expresso e informado dos pais ou responsáveis desses menores para tratar seus dados pessoais. No caso, a SIC verificou que os termos e condições do YouTube e do YouTube Kids isentavam o Google de cumprir esta exigência, delegando a responsabilidade de obter o consentimento dos pais às próprias crianças e adolescentes que utilizam seus serviços.
Por essas razões, a SIC determinou que o Google implementasse um mecanismo ou procedimento efetivo de notificação aos titulares de dados acerca (i) do tipo de tratamento ao qual seus dados serão submetidos e para qual finalidade; (ii) dos direitos que podem exercer; (iii) da opção por não fornecer dados sensíveis ou dados pessoais de crianças e adolescentes; e (iv) da identidade, endereço físico ou eletrônico e número de telefone do controlador. Além disso, a SIC determinou a criação de uma Política de Tratamento de Dados que atenda aos requisitos legais, bem como a implementação de mecanismo ou procedimento apropriado de manutenção de registros que comprovem a obtenção de consentimento expresso do responsável para a coleta de dados pessoais de crianças e adolescentes.
Superintendência de Indústria e Comércio da Colômbia multa instituição financeira por violação ao direito de eliminação dos dados
A decisão, proferida em 22 de setembro, resultou de reclamação apresentada por um cidadão colombiano, segundo o qual seus dados pessoais estariam sendo utilizados para fins publicitários sem o seu consentimento. O reclamante alegou que havia informado ao Banco Popular que não autorizava o uso de seus dados pessoais para o envio de anúncios comerciais e solicitou a eliminação de seus dados pessoais do banco de dados da instituição financeira. Apesar das solicitações feitas pelo reclamante, o Banco continuou enviando mensagens de texto contendo anúncios publicitários.
Durante a investigação, a Superintendência de Indústria e Comércio da Colômbia (SIC) concluiu que o Banco havia violado o direito à eliminação de dados, bem como o direito do titular de dados de revogar seu consentimento para o tratamento de seus dados pessoais. Além disso, a SIC também constatou que o Banco não teria cumprido o prazo de 15 dias úteis previsto na legislação para responder ao pedido de eliminação dos dados pessoais – tendo levado mais de 10 meses para atender ao pedido.
A SIC determinou o pagamento de multa no valor de COP 269.046.492,00 (equivalente a BRL 394.186,93), além da adoção de medidas adequadas, úteis, eficazes e verificáveis com a finalidade de (i) evitar que os fatos que deram origem à investigação se repetissem; (ii) respeitar e garantir em tempo hábil os direitos dos titulares dos dados; e (iii) aplicar o princípio da prestação de contas, com especial ênfase no uso de mecanismos de monitoramento e controle que permitam a eficácia das medidas adotadas para garantir o exercício dos direitos dos titulares dos dados.
Tribunal Distrital de Illinois concede parte do pedido de arquivamento da IBM em processo envolvendo violação de dados biométricos
O Tribunal Distrital de Illinois julgou parcialmente procedente um pedido de arquivamento apresentado pela International Business Machines Corporation (IBM) em ação coletiva envolvendo alegações de que a empresa teria violado a Lei de Privacidade de Informações Biométricas de Illinois (BIPA) ao coletar, utilizar e divulgar dados biométricos, especificamente de geometria facial.
De acordo com a denúncia apresentada em 24 de janeiro de 2020, a IBM teria adquirido dados biométricos faciais através de imagens postadas na plataforma Flickr. Os autores alegaram que a Flickr teria compartilhado um conjunto de dados biométricos de 99 milhões de fotos com a IBM, que então criou o seu próprio banco de dados. A partir das imagens contidas no banco de dados da IBM, seria possível rastrear a conta individual do Flickr pertencente a cada indivíduo.
Assim, os autores da ação alegaram, em suma, que a IBM violou a BIPA ao (i) não estabelecer um cronograma de retenção disponível publicamente e diretrizes para destruir permanentemente os dados biométricos coletados; (ii) não obter o consentimento expresso e informado dos titulares para coletar e divulgar seus dados biométricos; (iii) vender os dados biométricos coletados; (iv) não implementar medidas adequadas para assegurar que os dados biométricos coletados não fossem divulgados.
O Tribunal deferiu o pedido de arquivamento da IBM com relação a alegação de que a empresa teria deixado de estabelecer um cronograma de retenção dos dados biométricos coletados. Segundo o Tribunal, os autores da ação não demonstraram dano concreto, motivo pelo qual tal alegação foi rejeitada. Por outro lado, o Tribunal decidiu manter a denúncia com relação às demais alegações feitas pelos autores da ação.
Tribunal Distrital do Novo México arquiva ação judicial contra o Google
Em 25 de setembro, o Tribunal Distrital do Novo México julgou procedente pedido apresentado pelo Google requerendo o arquivamento de ação judicial movida pelo Procurador Geral do Estado do Novo México. O caso decorre de denúncia relacionada ao “G Suite for Education”, serviço que permite a estudantes ter acesso a diversos aplicativos do Google, incluindo Gmail, Calendário, Drive e Docs. De acordo com a denúncia apresentada pelo Procurador Geral, o Google teria violado a Lei de Proteção à Privacidade Online das Crianças (COPPA) ao utilizar o “G Suite for Education” para rastrear as atividades online dos estudantes para fins comerciais, sem notificar ou obter o consentimento dos pais.
Segundo o Tribunal, ao utilizar as escolas como intermediárias ou como representantes dos pais para fins de notificação e obtenção do consentimento, o Google respeitou as normas da COPPA, bem como as orientações emitidas pelo Federal Trade Commission (FTC) acerca do tema.
Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com clínica ortopédica pelo vazamento de dados pessoais de saúde de pacientes
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 21 de setembro, acordo firmado com a Athens Orthopedic Clinic PA (AOC), uma clínica sediada na Geórgia que fornece serviços ortopédicos a aproximadamente 138.000 pacientes anualmente. O acordo diz respeito a potenciais violações das normas de privacidade e segurança contidas na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).
Em 26 de junho de 2016, um jornalista notificou a AOC de que diversos dados pessoais pertencentes a pacientes da AOC haviam sido publicados para venda online. Posteriormente, a AOC foi contatada via e-mail por um hacker que exigiu pagamento em troca de uma cópia completa do banco de dados roubado. A AOC foi capaz de determinar, através de análise interna, que o hacker usou as credenciais de um fornecedor para acessar seu sistema de registro médico eletrônico e extrair os dados de saúde dos pacientes. O hacker continuou a acessar dados pessoais de saúde por mais de um mês.
Em 29 de julho de 2016, a AOC apresentou a OCR um relatório de vazamento de dados, com comprometimento de dados de 208.557 indivíduos. Os dados pessoais divulgados incluíam os nomes dos pacientes, datas de nascimento, números do seguro social, procedimentos médicos, resultados de exames, medicamentos, histórico de pagamento e informações de seguro de saúde.
A investigação conduzida pela OCR constatou a não conformidade da AOC com as normas de privacidade e segurança da HIPAA, incluindo falhas em conduzir uma análise de risco, implementar gerenciamento de risco e controles de auditoria, manter políticas e procedimentos previsto na HIPAA, garantir contratos com múltiplos associados comerciais e fornecer treinamento sobre as normas de privacidade e segurança da HIPAA aos colaboradores da clínica.
O acordo estabelece o pagamento de USD 1.500.000 (aproximadamente R$ 8,4 milhões) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a AOC deverá (i) revisar todos os contratos celebrados com fornecedores e prestadores de serviços de terceiros; (ii) conduzir uma análise precisa e completa dos riscos e vulnerabilidades de segurança em toda a empresa; (iii) revisar suas políticas e procedimentos para cumprir com as normas de privacidade, segurança e notificação de vazamento de dados, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (iv) submeter uma proposta de programa de treinamento ao HHS para sua revisão e aprovação; e (v) manter todos os documentos e registros que comprovem a conformidade da clínica com o plano de ação corretiva por seis anos.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br