As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Novembro/2020.
DESTAQUES LEGISLATIVOS
A ANPD segue em seus trabalhos de estruturação. Após a oficialização dos diretores, a Agência já nomeou alguns nomes para a composição de seu time técnico. Seguimos monitorando seus trabalhos.
Com o ano legislativo chegando ao final, poucas novidades aconteceram no Parlamento acerca da temática de proteção de dados. No entanto, diversos órgãos do Executivo têm se movimentado para se adequarem à LGPD. Diversos Ministérios, como os do Desenvolvimento Regional e Defesa, além de órgãos como Anatel, ANS, ANP e CNMP já indicaram membros para o exercício da função de Encarregado pelo Tratamento de Dados Pessoais.
Nesse sentido, mencione-se, por exemplo, a Instrução Normativa SGD/ME nº 117, segundo a qual o encarregado do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá possuir conhecimentos multidisciplinares e não deverá se encontrar lotado nas unidades de Tecnologia da Informação. A autoridade máxima do órgão ou entidade deverá assegurar ao encarregado acesso direto à alta administração; apoio das unidades administrativas e contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
ETJDFT suspende a comercialização de dados pessoais pela Serasa Experian
Em 20 de novembro, o Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) proferiu decisão liminar para suspender a comercialização de dados pessoais de consumidores realizada pela Serasa Experian. A decisão deriva de ação civil pública ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT.
O MPDFT verificou, através das investigações conduzidas pela Espec, que a Serasa comercializava uma série de dados pessoais – incluindo nomes, endereços, CPFs, números de telefones, localização, perfil financeiro, poder aquisitivo e classe social – através dos serviços “Lista Online” e “Prospecção de Clientes”. Os dados comercializados pertenciam a mais de 150 milhões de consumidores.
Em sua petição inicial, o MPDFT alegou que o tratamento de dados pessoais realizado pela Serasa viola direitos constitucionais à privacidade, à intimidade e à imagem dos titulares dos dados, bem como a Lei Geral de Proteção de Dados (LGPD), uma vez que a empresa não teria obtido o consentimento específico dos titulares para comercializar seus dados pessoais.
Em sua decisão, o Desembargador César Loyola entendeu que a LGPD obriga à obtenção de consentimento prévio para realização do tratamento de dados pessoais. Nesse sentido, o desembargador concluiu que o compartilhamento de dados pessoais realizado pela Serasa representa sérios riscos de lesão aos direitos fundamentais dos titulares, inclusive em razão da quantidade de indivíduos envolvidos.
Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com clínica psiquiátrica diante de violação ao direito de acesso de pacientes
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 06 de novembro de 2020, acordo firmado com a Riverside Psychiatric Medical Group (RPMG), uma clínica psiquiátrica sediada na Califórnia. O acordo se refere a potencial violação ao direito de acesso previsto na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).
Em março de 2019, um paciente apresentou reclamação à OCR alegando ter submetido diversos pedidos de acesso aos seus prontuários médicos, os quais não teriam sido atendidos pela RPMG. A investigação conduzida pela OCR constatou a não conformidade da RPMG às normas previstas na HIPAA, em particular devido a falhas em responder aos pedidos de acesso do titular dos dados.
A RPMG alegou que não tinha a obrigação de atender ao pedido de acesso do titular dos dados, visto que os dados solicitados diziam respeito a notas de psicoterapia. No entanto, a OCR destacou que, embora a HIPAA não exija a produção de notas de psicoterapia, as entidades devem fornecer aos solicitantes uma justificativa por escrito ao negarem qualquer pedido de acesso.
O acordo estabelece o pagamento de USD 25 mil (aproximadamente BRL 128 mil) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a RPMG deverá (i) revisar suas políticas e procedimentos para assegurar uma resposta tempestiva e adequada a pedidos de acesso, consistente com as normas de privacidade e proteção de dados da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter uma proposta de programa de treinamento ao HHS para sua revisão e aprovação; (iii) fornecer, dentro de 15 dias, uma resposta às solicitações de acesso a dados pessoais de pacientes; (iv) notificar o HHS quando um colaborador ou um parceiro comercial não cumprir com as políticas e procedimentos de acesso a dados pessoais da empresa; e (v) manter todos os documentos e registros que comprovem a conformidade da clínica com o plano de ação corretiva por seis anos.
Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com o departamento de saúde do município de New Haven, Connecticut
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 30 de outubro de 2020, um acordo firmado com o Departamento de Saúde do Município de New Haven (NHHD). O acordo se refere a potenciais violações das normas de privacidade e segurança previstas na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).
Em janeiro de 2017, o NHHD apresentou relatório de vazamentos de dados pessoais à OCR, relatando a ocorrência de um acesso não autorizado a dados pessoais de saúde pertencentes a 498 indivíduos. A investigação conduzida pela OCR revelou que um ex-funcionário havia utilizado seu login e senha para acessar o banco de dados do NHHD e transferir dados pessoais de pacientes para um dispositivo USB. Os dados pessoais subtraídos incluíam nomes, endereços, datas de nascimento, origem racial, gênero e resultados de testes de doenças sexualmente transmissíveis. Além disso, a OCR constatou que o NHHD não havia conduzido uma avaliação dos riscos associados aos tratamentos de dados realizados, além de não ter implementado procedimentos adequados de controle de acesso ao seu banco de dados, considerando que as credenciais do ex-funcionário permaneciam ativas mesmo após a rescisão do contrato de trabalho.
O acordo estabelece o pagamento de USD 202.400 – aproximadamente BRL 1 milhão – a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a NHHD deverá (i) conduzir uma avaliação de risco abrangente e completa dos potenciais riscos e vulnerabilidades relativas à confidencialidade, integridade e disponibilidade de dados pessoais de saúde, bem como obter a aprovação do HHS em relação a tal avaliação; (ii) revisar suas políticas e procedimentos de tratamento de dados pessoais para atender às normas da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (iii) submeter todos os funcionários que tenham acesso a dados pessoais de saúde a um treinamento específico sobre as políticas e procedimentos adotados pelo NHHD; (iv) notificar o HHS sempre que verificar que um colaborador deixou de cumprir com as políticas e procedimentos de tratamento de dados pessoais estabelecidos pelo NHHD; e (v) manter, por um período de seis anos, todos os documentos e registros que comprovem a conformidade da NHHD com o plano de ação corretiva.
FTC celebra acordo com plataforma de videoconferência Zoom
O Federal Trade Commission (FTC) anunciou, em 09 de novembro de 2020, a celebração de acordo com a plataforma de videoconferência Zoom, acusada de enganar consumidores a respeito de suas práticas de privacidade e segurança.
De acordo com a denúncia apresentada pelo FTC, a Zoom teria induzido os consumidores a acreditarem que suas comunicações eram protegidas pelo sistema de criptografia de ponta a ponta, quando, na verdade, as chaves de segurança da plataforma permitiam à Zoom acessar o conteúdo das reuniões de seus usuários. O FTC destacou que as declarações da Zoom proporcionaram aos usuários uma falsa sensação de segurança, especialmente para discussão de tópicos como informações de saúde ou financeiras.
O FTC também alegou que a empresa comprometeu a segurança de seus usuários ao instalar o software ZoomOpener como parte de uma atualização manual de seu aplicativo para Mac. O ZoomOpener contornava recursos de segurança do navegador Safari da Apple, permitindo à Zoom incluir usuários em reuniões automaticamente, bem como iniciar reuniões sem necessidade de qualquer ação do usuário. O software permanecia nos computadores dos usuários mesmo após o aplicativo Zoom ter sido deletado.
O acordo celebrado proíbe a Zoom de prestar declarações falsas acerca das medidas de segurança implementadas para proteger a privacidade de seus usuários, incluindo sobre a forma como a empresa coleta, utiliza, armazena ou divulga dados pessoais, bem como sobre até que ponto os usuários podem controlar a privacidade ou segurança de seus dados pessoais. Além disso, o acordo exige que a empresa (i) implemente um programa de segurança da informação abrangente; (ii) apresente, para aprovação do FTC, avaliações relativas ao seu programa de segurança elaboradas periodicamente por um terceiro independente; e (iii) revise as atualizações de seu software em busca de falhas de segurança para garantir que tais atualizações não prejudiquem os recursos de segurança de terceiros.
Tribunal Distrital de Illinois indefere pedido de arquivamento da Apple em processo envolvendo violação de dados biométricos
O Tribunal Distrital de Illinois julgou improcedente o pedido de arquivamento apresentado pela Apple Inc. em ação coletiva envolvendo alegações de que a empresa teria violado a Lei de Privacidade de Informações biométricas de Illinois (BIPA).
De acordo com a denúncia apresentada, a Apple teria implementado software de reconhecimento facial para coletar dados de geometria facial contidos em imagens armazenadas por usuários de seus dispositivos no aplicativo “Fotos”. O software de reconhecimento facial teria sido implementado ao aplicativo em 2016, de modo que todos os dispositivos fabricados a partir de deste ano passaram a ter esta tecnologia. Os autores destacaram, ainda, que o aplicativo “Fotos” viria pré-instalado nos dispositivos da Apple e que os usuários não teriam a opção de remover o aplicativo ou desativar o software de reconhecimento facial.
Nesse sentido, os autores da ação consideram que a Apple teria violado a BIPA ao (i) não estabelecer um cronograma de retenção disponível publicamente e diretrizes para destruir permanentemente os dados biométricos coletados; (ii) não obter o consentimento expresso e informado dos titulares para coletar seus dados biométricos; e (iii) lucrar com a comercialização de dispositivos equipados com o software de reconhecimento facial.
O Tribunal Distrital concluiu que não teria competência para decidir sobre a alegação de que a Apple estaria armazenando dados biométricos sem ter estabelecido um cronograma de retenção, bem como sobre a alegação de que a empresa estaria lucrando com a venda de dispositivos equipados com o software de reconhecimento facial. Assim, o Tribunal Distrital determinou a remessa dos autos ao tribunal estadual, o qual seria competente para apreciar as referidas questões. Por outro lado, o Tribunal Distrital concluiu que a ação poderia prosseguir na esfera federal quanto à alegação de que a Apple estaria coletando dados biométricos sem o consentimento dos usuários.
Autoridade de Proteção de Dados italiana condena Vodafone por práticas ilegais de telemarketing
Em 12 de novembro de 2020, a Autoridade de Proteção de Dados da Itália (Garante per la protezione dei dati personali) condenou a operadora Vodafone Italia S.p.A. ao pagamento de multa no valor de EUR 12,25 milhões – aproximadamente BRL 75,6 milhões – em virtude do tratamento ilegal de dados de milhões de usuários para fins de marketing.
A decisão decorre de investigação instaurada pela autoridade para apurar centenas de reclamações individuais relatando chamadas de telemarketing não solicitadas efetuadas pela Vodafone e/ou pela rede de vendas da empresa. A partir das investigações, a autoridade identificou graves violações relacionadas à coleta de consentimento e aos princípios de accountability e de privacy by design.
Em particular, a autoridade constatou que a Vodafone coletava dados telefônicos por meio de parceiros comerciais sem o consentimento livre, informado e específico dos titulares de dados. A empresa também utilizava números de telefone falsos que não contavam no Registro Nacional Consolidado de Operadores de Comunicação (ROC) para efetuar chamadas de telemarketing. A autoridade também considerou inadequadas as medidas de segurança implementadas pela empresa com relação aos seus serviços de atendimento ao cliente, uma vez que seus funcionários solicitavam o envio de documentos de identidade através do WhatsApp.
Além do pagamento de multa, a decisão determina o cumprimento de uma série de ações corretivas, incluindo a implementação de um sistema que demonstre que o tratamento de dados realizado para fins de marketing atende aos requisitos de consentimento, bem como de medidas de segurança mais robustas para evitar acessos não autorizados aos dados pessoais de clientes.
ICO multa Ticketmaster por vazamento de dados pessoais
Em 13 de novembro de 2020, a Autoridade de Proteção de Dados do Reino Unido (Information Commissioner’s Office – ICO) condenou a empresa Ticketmaster UK Limited ao pagamento de multa no valor de GOP 1,25 milhão – aproximadamente BRL 8,54 milhões – por não manter a proteção dos dados pessoais de seus clientes.
O caso se refere a um ataque cibernético, ocorrido em 2018, ao bot de bate-papo (chatbot) fornecido pela Inbenta Technologies Inc. e instalado na página de pagamento online da Ticketmaster, que teria afetado cerca de 9,4 milhões de consumidores. Os dados pessoais envolvidos incluíam nomes, números de cartões de pagamento, datas de expiração e códigos de verificação do cartão (CVV).
Através da investigação conduzida, a ICO verificou que a Ticketmaster não havia implementado medidas de segurança adequadas para impedir o ataque cibernético. Mais especificamente, a ICO constatou que a Ticketmaster deixou de (i) avaliar os riscos associados à utilização do chatbot, (ii) implementar medidas de segurança apropriadas para neutralizar tais riscos e (iii) identificar a fonte do ataque cibernético em tempo hábil, já que a Ticketmaster passou a monitorar o tráfego da rede de sua página de pagamento on-line apenas nove semanas após receber alertas de fraude de diversas instituições financeiras.
Autoridade de Proteção de Dados da França impõe multas a duas empresas do Grupo Carrefour
Em 26 de novembro de 2020, a Autoridade de Proteção de Dados da França (Commission nationale de l’informatique et des libertés – CNIL) condenou as empresas Carrefour France e Carrefour Banque ao pagamento de multas no valor de EUR 2,25 milhões (cerca de BRL 13,9 milhões) e EUR 800 mil (cerca de BRL 4,94 milhões), respectivamente. Ambas as empresas teriam violado o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e os requisitos para uso de cookies previstos na lei de proteção de dados da França.
Em sua decisão contra o Carrefour France, a CNIL concluiu que a empresa armazenava em seu programa de fidelidade dados pessoais pertencentes a clientes inativos por um período de tempo excessivo. A CNIL também constatou que o Carrefour France violou os direitos dos titulares ao deixar de atender aos pedidos de eliminação de dados apresentados por seus clientes, bem como ao deixar de cumprir os prazos estabelecidos pelo GDPR para apresentação de resposta a tais pedidos. Além disso, a CNIL verificou que o Carrefour France não fornecia, em seu website, informações adequadas e compreensíveis acerca das transferências internacionais de dados realizadas pela empresa, bem como a respeito das bases legais utilizadas para operações de tratamento de dados. Por fim, a CNIL concluiu que o Carrefour France violou a legislação de proteção de dados da França ao introduzir cookies em dispositivos de usuários por meio do simples acesso ao website da empresa, sem consentimento prévio do usuário para tanto.
Em sua decisão contra o Carrefour Banque, a CNIL concluiu que a empresa não fornecia, em seu website, informações adequadas acerca das operações de tratamento de dados realizadas. Segundo a autoridade, as informações disponibilizadas eram incompletas e de difícil acesso e compreensão pelo titular dos dados. A CNIL também constatou que o Carrefour Banque violou os requisitos de utilização de cookies previstos na legislação de proteção da França ao introduzir tais ferramentas sem o consentimento prévio do usuário.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br