As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Outubro/2020.
DESTAQUES LEGISLATIVOS
A estruturação da Autoridade Nacional de Proteção de Dados (ANPD) segue seu caminho e, em 06/11/2020, os nomes aprovados pelo Senado Federal (vide Boletim #12) foram publicados no Diário Oficial da União (DOU). Agora oficialmente diretores, apesar de ainda não terem um local de trabalho publicamente definido, já estão trabalhando para montar suas equipes, bem como na redação de regimento interno e regulamentos. Seguimos monitorando o passo-a-passo da ANPD.
Já no Poder Legislativo, na reta final de trabalhos legislativos de 2021, matérias como o chamado “PL das Fake News” e a PEC 17 (que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais) continuam em nosso radar – embora, diante de tantos temas polêmicos e macro (Orçamento, Reforma Tributária, Auxílio Emergencial, outros), seja pouco provável que avancem neste ano.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
ICO multa Marriott por não manter a proteção dos dados pessoais de hóspedes
Em 30 de outubro de 2020, a Autoridade de Proteção de Dados do Reino Unido (Information Commissioner’s Office – ICO) condenou a cadeia de hotéis Marriott International, Inc. ao pagamento de multa no valor de GBP 18,4 milhões (aproximadamente BRL 131,6 milhões) por violações ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
O caso se refere a um ataque cibernético, ocorrido em 2014, no sistema da Starwood Hotels and Resorts Worldwide Inc. (adquirida pelo Marriott em 2016), que afetou cerca de 339 milhões de registros de hóspedes em todo o mundo. Os dados pessoais envolvidos incluíam nomes, endereços de e-mail, números de telefone, números de passaporte, informações de chegada e partida, status VIP dos hóspedes e número de membro do programa de fidelidade. O ataque se deu através da instalação de um malware no sistema Starwood que permitiu o acesso remoto e irrestrito do invasor ao sistema.
O Marriott detectou o ataque em setembro de 2018 e, após tomar plena ciência da natureza da violação, notificou a ICO e os indivíduos afetados em novembro do mesmo ano. A ICO reconheceu que o Marriott atuou prontamente para adotar medidas corretivas e de mitigação dos efeitos do incidente, bem como para notificar os titulares dos dados e a autoridade. No entanto, a investigação da ICO constatou que o Marriott não havia implementado medidas técnicas ou organizacionais adequadas para assegurar a proteção dos dados pessoais tratados em seus sistemas, conforme exigido pelo GDPR.
ICO multa British Airways por vazamento de dados pessoais
Em 16 de outubro de 2020, a Autoridade de Proteção de Dados do Reino Unido (Information Commissioner’s Office – ICO) condenou a companhia aérea British Airways ao pagamento de multa no valor de GBP 20 milhões (aproximadamente BRL 143,2 milhões) por violações do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Entre junho e setembro de 2018, os sistemas e a rede de TI da British Airways sofreram um ataque cibernético que afetou aproximadamente 429.612 indivíduos. Os dados pessoais comprometidos incluíam nome, endereço e detalhes do cartão de pagamento (incluindo código de segurança – CVV) de clientes, bem como informações de usuário e senha de acesso a contas de funcionários da companhia aérea. A British Airways tomou ciência do incidente através de um terceiro e notificou a ICO logo em seguida.
A investigação da ICO constatou que a British Airways não havia implementado medidas adequadas para assegurar a proteção dos dados pessoais tratados pela companhia, conforme exigido pelo GDPR. A ICO destacou algumas medidas que poderiam ter sido implementadas para mitigar ou prevenir o risco de um ataque cibernético na rede da empresa, tais como: (i) limitar o acesso dos funcionários apenas aos dados pessoais considerados necessários para o exercício de suas funções; (ii) realizar testes de vulnerabilidades rigorosos, simulando um ataque cibernético aos sistemas da empresa; e (iii) proteger o acesso às contas de funcionários e de terceiros com autenticação multifator.
Autoridade de Proteção de Dados de Hamburgo multa H&M por violações à proteção de dados pessoais de funcionários da empresa
Em 1 de outubro de 2020, a Autoridade de Proteção de Dados de Hamburgo condenou a empresa Hennes & Mauritz AB (H&M) ao pagamento de multa no valor de EUR 35,3 milhões (aproximadamente BRL 226 milhões) pelo monitoramento ilegal de seus funcionários. De acordo com o press release publicado pela autoridade, a H&M teria coletado e armazenado, desde 2014, uma excessiva quantidade de dados pessoais pertencentes a centenas de funcionários de sua central de atendimento localizada em Nuremberg. Tais dados pessoais incluíam anotações a respeito de experiências de férias, doenças, diagnósticos, sintomas, problemas familiares e crenças religiosas. Tais informações, obtidas através de conversas entre funcionários e gerentes, eram utilizadas em avaliações de desempenho, na criação de perfis de funcionários e na tomada de decisões relacionadas ao emprego. A coleta excessiva foi identificada após os dados se tornaram acessíveis a toda a empresa em outubro de 2019 devido a um erro de configuração do sistema.
A autoridade afirmou, através do press release, que a H&M adotou medidas corretivas, incluindo a nomeação de um novo Encarregado pela Proteção de Dados, atualizações mensais do status de proteção de dados e a elaborações de um mecanismo consistente para assegurar o exercício do direito de acesso pelos titulares dos dados. Além disso, a H&M emitiu declaração anunciando medidas a serem adotadas para aprimoramento interno da proteção de dados. Tais medidas incluem (i) treinamento de gerentes a respeito das legislações de proteção de dados e trabalhista; (ii) criação de novos cargos com competências específicas para avaliar e investigar os processos de privacidade; (iii) aperfeiçoamento dos mecanismos de eliminação de dados pessoais; e (iv) implementação de medidas adicionais de segurança da informação. A H&M declarou, ainda, que pretende indenizar funcionários afetados. A autoridade considerou positivos os esforços da H&M para compensar os funcionários afetados e restaurar a confiança na empresa.
Segundo Tribunal de Apelações da Califórnia, a gravação de conversas telefônicas exige o consentimento de todos os participantes, mesmo que apenas as falas de uma das partes esteja sendo registrada
O caso se refere a um advogado que, entre 2014 e 2016, foi contatado diversas vezes por representantes de vendas do Yelp com o objetivo de lhe vender espaço publicitário na plataforma digital. O autor alega que o Yelp teria violado a Lei de Invasão de Privacidade da Califórnia (CIPA) ao gravar as ligações telefônicas realizadas entre representantes de vendas e potenciais consumidores sem obter o consentimento prévio de ambas as partes.
A instrução do processo revelou que o Yelp não mantinha gravações bilaterais das ligações realizadas com o autor da ação: somente as falas dos representantes de vendas do Yelp teriam sido gravadas. Em 2018, o tribunal a quo concluiu que gravações de conversas unidirecionais não estariam sujeitas às regras da CIPA, razão pela qual deferiu o requerimento do Yelp para julgamento sumário da ação.
Em 7 de outubro de 2020, o Tribunal de Apelações da Califórnia reverteu a decisão proferida pelo tribunal a quo, destacando que houve erro na determinação de que a CIPA só se aplicaria ao registro integral de conversas telefônicas. Em sua decisão, o Tribunal de Apelações da Califórnia concluiu que a gravação unilateral de conversas (isto é, aquelas em que as falas de apenas uma das partes é gravada) também está sujeita às regras da CIPA e que, portanto, tal registro exigiria o consentimento de todos os participantes da conversa.
Provedora de seguro saúde deverá pagar USD 39,5 milhões em decorrência de um incidente de vazamento de dados
Em 30 de setembro de 2020, 43 estados americanos – incluindo Connecticut, Nova Iorque, Flórida, Iowa e Califórnia – anunciaram a celebração de acordo com a empresa Anthem Inc., decorrente de um incidente de vazamento de dados que expôs dados pessoais pertencentes a 78,8 milhões de cidadãos norte-americanos.
Em fevereiro de 2015, a empresa revelou que os responsáveis pelo ataque cibernético haviam se infiltrado em seus sistemas a partir de fevereiro de 2014, utilizando malware instalado através de um e-mail de phishing. Os invasores tiveram acesso ao banco de dados da Anthem, onde coletaram nomes, datas de nascimento, números de seguridade social, números de identificação de saúde, endereços residenciais, endereços de e-mail, números de telefone e informações de emprego.
Além do pagamento de USD 39,5 milhões (equivalente a cerca de BRL 214,6 milhões) a título de contribuição pecuniária, a Anthem concordou com uma série de disposições destinadas a fortalecer suas práticas de segurança, tais como (i) abster-se de fazer declarações falsas a respeito das medidas de privacidade e segurança implementadas pela empresa; (ii) implementar um programa abrangente de segurança da informação; (iii) desenvolver e manter requisitos específicos de segurança, incluindo segmentação, registro, monitoramento, manutenção de antivírus, controles de acesso e duplo fator de autenticação, criptografia, avaliações de risco, testes de penetração, filtragem de e-mail e treinamento de funcionários; e (iv) obter uma avaliação anual elaborada por um terceiro acerca das condições de segurança da informação previstas em suas políticas durante três anos.
Departamento de Saúde e Serviços Humanos celebra acordo com clínica médica diante da violação do direito de acesso de pacientes
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 09 de outubro, um acordo firmado com a NY Spine Medicine (NYSM), uma clínica médica, com unidades em Nova Iorque e em Miami, que fornece serviços dedicados ao tratamento de dor na coluna vertebral. O acordo diz respeito a potencial violação ao direito de acesso contido na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).
Em julho de 2019, um paciente apresentou reclamação à OCR alegando ter submetido diversos pedidos de acesso aos seus prontuários médicos, os quais não teriam sido atendidos pela NYSM. A investigação conduzida pela OCR constatou a não conformidade da NYSM às normas previstas no HIPPA, em particular devido a falhas em fornecer em tempo hábil acesso a todos os registros médicos solicitados pelo titular dos dados.
O acordo estabelece o pagamento de USD 100.000 (aproximadamente BRL 543,5 mil) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a NYSM deverá (i) revisar suas políticas e procedimentos para cumprir com as normas de privacidade e proteção de dados da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter uma proposta de programa de treinamento para revisão e aprovação do HHS; (iii) fornecer, dentro de 15 dias, respostas às solicitações de acesso a dados pessoais de pacientes; (iv) notificar o HHS quando um colaborador ou um parceiro comercial não cumprir com as políticas e procedimentos de acesso a dados pessoais da empresa; e (v) manter por seis anos todos os documentos e registros que comprovem a conformidade da clínica com o plano de ação corretiva.
Departamento de Saúde e Serviços Humanos celebra acordo com prestadora de seguro saúde pelo vazamento de dados pessoais de seus clientes
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 28 de outubro, acordo firmado com a Aetna Life Insurance Company, uma empresa de seguro saúde. O acordo diz respeito a potenciais violações das normas de privacidade e segurança contidas na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).
Ao longo do ano de 2017, a Aetna apresentou três relatórios de vazamento de dados à OCR. O primeiro indicou que dois aplicativos utilizados pela empresa para exibir documentos relacionados aos planos de saúde contratados por clientes permitiam que tais documentos fossem acessíveis sem a inserção de credenciais. Além disso, os documentos eram indexados por vários mecanismos de busca na Internet. A Aetna relatou que 5.002 indivíduos foram afetados por este vazamento e que os dados pessoais divulgados em tais documentos incluíam nomes, números de identificação de seguros, valores de pagamentos, códigos de serviço de procedimentos e datas de serviço.
No segundo relatório, a empresa declarou que, logo após o envio de correspondências contendo anúncios de benefícios, passou a receber ligações e e-mails de clientes informando que era possível vizualizar conteúdo sensível da correspondência através do envelope, em especial o trecho “medicação para HIV” abaixo do nome e do endereço do destinatário da correspondência. A Aetna relatou que cerca de 11.887 indivíduos foram afetados por este vazamento.
O terceiro relatório indicou que as correspondências enviadas pela Aetna a alguns de seus clientes apresentavam, no próprio envelope, o nome e o logotipo do estudo de pesquisa de fibrilação atrial (batimento cardíaco irregular) do qual os clientes participavam. A Aetna relatou que 1.600 indivíduos foram afetados por este vazamento.
A investigação conduzida pela OCR constatou a não conformidade da Aetna com as normas de privacidade e segurança da HIPAA, incluindo falhas em conduzir avaliações periódicas dos mecanismos de segurança da empresa, em implementar procedimentos para verificar a identidade de pessoas ou entidades que buscam acesso aos dados pessoais, em limitar o acesso aos dados estritamente necessários para atingir a finalidade do tratamento e em estabelecer salvaguardas adequadas para assegurar a proteção dos dados pessoais.
O acordo estabelece o pagamento de USD 1.000.000 (aproximadamente BRL 5,4 milhões) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a Aetna deverá (i) revisar suas políticas e procedimentos para cumprir com as normas de privacidade e segurança do HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter todos os funcionários com acesso a dados pessoais a um treinamento específico sobre as políticas e procedimentos, além de apresentar a proposta do programa de treinamento ao HHS para revisão e aprovação; (iii) notificar o HHS sempre que verificar que um colaborador deixou de cumprir com as políticas e procedimentos de tratamento de dados pessoais estabelecidos pela empresa; e (iv) manter por seis anos todos os documentos e registros que comprovem a conformidade da clínica com o plano de ação corretiva.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br