As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Dezembro/2020.
DESTAQUES LEGISLATIVOS
A Autoridade de Proteção de Dados (ANPD) emitiu, em 4 de dezembro de 2020, documento contendo perguntas frequentes (FAQs) que abordam diversos temas relacionados à LGPD. Em síntese, o documento fornece orientações sobre a aplicabilidade e os objetivos da LGPD, o conceito de dados pessoais e de dados pessoais sensíveis adotado pela legislação, as atividades que configuram tratamento de dados pessoais, as bases legais que fundamentam o tratamento de dados pessoais, os direitos dos titulares dos dados, além de determinadas medidas que as organizações públicas e privadas precisam adotar para se adequarem à legislação.
O documento descreve também a estrutura da ANPD e as atribuições que lhe são conferidas pela LGPD, incluindo (i) desenvolver diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em desconformidade com a LGPD; (iii) promover o conhecimento das normas, das políticas públicas de proteção de dados e das medidas de segurança à população; (iv) incentivar a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais; e (v) deliberar sobre a interpretação da LGPD.
Por fim, o documento ressalta que os dispositivos da LGPD que tratam das sanções administrativas entrarão em vigor em 1º de agosto de 2021.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
Departamento de Justiça dos EUA anuncia acordo com empresa de telecomunicações em decorrência de violações de telemarketing
O Departamento de Justiça dos Estados Unidos anunciou, em 07 de dezembro de 2020, acordo firmado com a empresa provedora de TV por assinatura, DISH Network LLC, para o pagamento de USD 210 milhões a título de contribuição pecuniária – equivalente a cerca de BRL 1,12 bilhão. O acordo deriva de ação judicial movida em 2009 pelo governo federal dos EUA juntamente com os estados da Califórnia, Illinois, Carolina do Norte e Ohio. Em 2017, o Tribunal Distrital competente constatou que a DISH era responsável por mais de 66 milhões de chamadas ilegais de telemarketing para consumidores, incluindo aquelas realizadas por varejistas que comercializavam os produtos e serviços da empresa.
Especificamente, o acordo determina o pagamento de USD 126 milhões (cerca de BRL 675 milhões) ao governo federal dos EUA, bem como um adicional de USD 84 milhões (cerca de BRL 450 milhões) aos estados da Califórnia, Illinois, Carolina do Norte e Ohio. Além do pagamento das contribuições pecuniárias, a DISH continuará adotando as medidas corretivas impostas pelo Tribunal Distrital em 2017, as quais dizem respeito às atividades de telemarketing exercidas pela empresa e previnem futuras violações a legislações federais e estaduais que versem sobre telemarketing. A DISH também deverá submeter, anualmente, relatórios de conformidade ao Departamento de Justiça e ao Federal Trade Commission até 2027.
FTC celebra acordo com empresa acusada de violar o Fair Credit Reporting Act (FCRA)
Em 08 de dezembro de 2020, o Federal Trade Commission (FTC) anunciou acordo celebrado com a AppFolio, Inc., uma empresa sediada na Califórnia que fornece relatórios de análise do histórico de inquilinos a empresas de gestão imobiliária. O acordo resulta de alegações de que a empresa teria violado o Fair Credit Reporting Act (FCRA) ao não implementar procedimentos destinados a garantir a veracidade dos registros de antecedentes criminais e de despejo obtidos através de terceiros.
De acordo com a denúncia apresentada pelo FTC, diversos relatórios de análise elaborados pela AppFolio continham informações incorretas acerca do registro de antecedentes criminais e de despejo de indivíduos, incluindo nome, data de nascimento, tipo de infração penal praticada e ações criminais e de despejo ajuizadas. Como resultado, diversos indivíduos poderiam ter perdido oportunidades de aluguel.
O acordo determina o pagamento de USD 4,25 milhões a título de contribuição pecuniária – equivalente a cerca de BRL 22 milhões. Além disso, exige que a AppFolio mantenha procedimentos razoáveis para assegurar a maior exatidão possível das informações incluídas em seus relatórios de análise. Por fim, a empresa deverá submeter ao FTC relatórios periódicos de conformidade, bem como registros das informações e documentos necessários para demonstrar o cumprimento das disposições acordadas.
Uber é multada por não fornecer informações sobre casos de assédio sexual
A Comissão de Utilidades Públicas da Califórnia (California Public Utility Commission – CPUC) aplicou, em 14 de dezembro de 2020, multa no valor de USD 59 milhões (cerca de BRL 312,5 milhões) à Uber pela recusa em fornecer informações sobre alegações de assédio sexual reportadas por usuários do aplicativo.
Em dezembro de 2019, a Uber publicou um relatório de segurança informando a existência de milhares de casos de assédio sexual envolvendo motoristas da empresa nos EUA. Subsequentemente, a CPUC proferiu despacho determinando a apresentação de informações detalhadas sobre os casos ocorridos no estado da Califórnia entre 2017 e 2019 – incluindo a data, hora e local onde ocorreram, bem como os nomes e informações de contato de testemunhas e dos funcionários para os quais os casos foram reportados. A CPUC não chegou a exigir especificamente os nomes das vítimas, mas, em muitos casos, elas eram as únicas a terem presenciado os fatos. A CPUC também determinou que a Uber identificasse os funcionários responsáveis pela elaboração e aprovação do relatório de segurança.
Em janeiro de 2020, a Uber se opôs ao despacho proferido pela Comissão, ressaltando que as vítimas não haviam consentido com o compartilhamento de suas identidades e relatos com terceiros. Além disso, a Uber argumentou que, mesmo que as informações fossem mantidas sob confidencialidade, uma investigação pela CPUC poderia fazer com que as vítimas revisitassem momentos traumáticos. Por fim, a Uber também destacou a expectativa de privacidade dos funcionários envolvidos na elaboração e aprovação do relatório de segurança, bem como daqueles que integram a equipe de segurança da empresa. Segundo a Uber, a divulgação da identidade de tais funcionários representaria uma violação ao direito de privacidade deles.
Em sua decisão, a CPUC concluiu que os fundamentos apresentados pela Uber não seriam suficientes para justificar a recusa em atender ao pedido de informações adicionais. Segundo a Comissão, a conduta praticada pela Uber seria particularmente severa por comprometer a capacidade da CPUC para investigar os procedimentos adotados pela empresa ao lidar com casos de assédio sexual. Além do pagamento de multa, a decisão determina que a Uber apresente as informações requisitadas e crie, em conjunto com a CPUC, um código ou outro codinome para substituir os nomes reais das vítimas.
Autoridade de Proteção de Dados da Noruega condena hospital pelo armazenamento ilegal de dados pessoais de pacientes
O Comitê Europeu para a Proteção de Dados (EDPB) anunciou, em 25 de novembro, a imposição de multa, pela Autoridade de Proteção de Dados da Noruega (Datatilsynet), ao Hospital Østfold HF por violações aos requisitos para armazenamento de dados previstos no Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Em particular, a Datatilsynet constatou que o hospital não havia implementado medidas de controle de acesso às pastas onde os dados pessoais de pacientes eram armazenados. Além disso, a Datatilsynet verificou que os relatórios de alta de pacientes internados haviam sido armazenados além do período necessário. Tais relatórios continham diversos tipos de dados pessoais de pacientes, incluindo nome, data de nascimento, município, número do documento de identidade e motivo da internação.
A Datatilsynet concluiu que o hospital não havia implementado medidas técnicas e organizacionais suficientes para salvaguardar os dados pessoais e impedir o acesso não autorizado. Como resultado, o hospital foi condenado ao pagamento de multa no valor de NOK 750 mil – equivalente a cerca de BRL 460 mil.
Autoridade de Proteção de Dados da Colômbia aplica multa a empresa de seguro saúde por violação aos direitos do titular de dados
A Superintendência de Indústria e Comércio (SIC) anunciou, em 16 de dezembro de 2020, a condenação da EPS Sanitas ao pagamento de multa no valor de COP 894.365.280,00 – aproximadamente BRL 1,3 milhão.
A decisão decorre de reclamação apresentada por um cidadão colombiano, que alegou ter sofrido danos em razão da alteração não autorizada de seus dados pessoais pela EPS. Após conduzir a investigação, a SIC constatou que a empresa havia alterado, sem consentimento prévio, os dados pessoais fornecidos pelo cidadão por meio do preenchimento de um formulário de adesão ao plano de saúde. A alteração se deu quanto aos dados relativos ao município de residência do cidadão.
Além disso, a EPS teria levado mais de 10 meses para atender aos diversos pedidos apresentados pelo cidadão para correção de seus dados pessoais, em violação ao prazo de 15 dias úteis estabelecido na legislação de proteção de dados da Colômbia. A SIC enfatizou que cabe ao agente responsável pelo tratamento dos dados pessoais fazer valer os direitos dos titulares dentro dos prazos previstos em lei. Nesse sentido, um único pedido deveria ter sido suficiente para assegurar o exercício dos direitos do titular.
CNIL condena profissionais de saúde ao pagamento de EUR 9 mil – aproximadamente BRL 58 mil – por vazamento de dados pessoais de pacientes
A Autoridade de Proteção de Dados da França (Commission nationale de l’informatique et des libertés – CNIL) anunciou, em 17 de dezembro de 2020, a imposição de multas nos valores de EUR 3 mil (cerca de BRL 19,3 mil) e EUR 6 mil (cerca de BRL 38,7 mil) contra dois médicos por violações ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Após uma investigação realizada em setembro de 2019, a CNIL concluiu que os médicos não forneceram proteção suficiente aos dados pessoais de seus pacientes. Além disso, a CNIL constatou que os médicos deixaram de notificar a autoridade acerca de um incidente de vazamento de dados pessoais. Em particular, a CNIL verificou que milhares de imagens médicas armazenadas em servidores pertencentes aos médicos foram disponibilizadas na internet devido aos ajustes de configuração do software em seus dispositivos e à ausência de criptografia em seus servidores.
As identidades dos médicos em questão não foram publicadas. No entanto, a CNIL destacou a importância de assegurar a publicidade das decisões proferidas para alertar os demais profissionais de saúde sobre seus deveres legais, bem como sobre a necessidade de implementação de medidas de segurança adequadas para garantir a proteção dos dados pessoais tratados.
CNIL condena Google e Amazon ao pagamento de EUR 135 milhões – aproximadamente BRL 871 milhões – por uso indevido de cookies
A Autoridade de Proteção de Dados da França (Commission nationale de l’informatique et des libertés – CNIL) anunciou, em 10 de dezembro de 2020, a imposição de multas no valor de EUR 60 milhões (cerca de BRL 387 milhões) ao Google LLC e EUR 40 milhões (cerca de BRL 258 milhões) ao Google Ireland Limited por violações às normas que regulamentam o uso de cookies. De acordo com a decisão proferida em 07 de dezembro, as empresas não teriam obtido o consentimento prévio dos usuários para ativação de cookies em seus dispositivos.
No caso, a CNIL verificou que os cookies eram ativados automaticamente a partir do acesso dos usuários ao mecanismo de busca do Google. A CNIL também concluiu que as empresas não forneceram aos usuários informações adequadas sobre o uso de cookies, especialmente quanto à sua instalação automática. Por fim, a CNIL constatou a ausência de um mecanismo eficaz para revogação do consentimento dos usuários, tendo em vista que os cookies teriam permanecido instalados em seus dispositivos mesmo após serem desativados.
A CNIL anunciou, na mesma ocasião, a imposição de multa no valor de EUR 35 milhões (cerca de BRL 225 milhões) à Amazon Europe Core, também por infrações relacionadas ao uso de cookies. Após conduzir as investigações, a CNIL verificou que os cookies eram instalados automaticamente nos dispositivos dos usuários que visitassem o website da empresa. A autoridade destacou, em sua decisão, que a ativação automática de cookies é incompatível com a obrigação de obtenção do consentimento prévio do titular dos dados prevista no GDPR. Além disso, a CNIL constatou que a empresa não forneceu informações adequadas aos usuários quanto à finalidade para a qual os cookies seriam usados, bem como quanto à possibilidade de recusarem a sua ativação.
Autoridade de Proteção de Dados da Irlanda condena Twitter por violações aos requisitos de notificação de vazamento de dados pessoais
A Autoridade de Proteção de Dados da Irlanda (Data Protection Commission – DPC) anunciou, em 15 de dezembro de 2020, a condenação do Twitter International Company por violações ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR). A decisão decorre de investigação, iniciada em janeiro de 2019, acerca de um incidente de vazamento de dados notificado pelo Twitter.
De acordo com a decisão proferida em 09 de dezembro de 2020, o Twitter teria violado os requisitos para notificação de vazamento de dados previstos no GDPR. Além de não documentar adequadamente o incidente, a DPC constatou que a empresa excedeu o prazo legal de 72 horas para notificação da ocorrência. Em particular, a DPC destacou que cabe ao controlador de dados – tal como o Twitter – implementar e manter sistemas e procedimentos internos que viabilizem a rápida detecção de incidentes de vazamento, bem como a notificação oportuna da autoridade.
Tendo em vista o ocorrido, a DPC decidiu aplicar multa no valor de EUR 450 mil – aproximadamente BRL 2,9 milhões – ao Twitter como medida eficaz, proporcional e dissuasiva.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br