As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Janeiro/2021.

 

DESTAQUES LEGISLATIVOS

 

ANPD publica agenda regulatória para o biênio 2021-2022

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 28 de janeiro, a Portaria nº 11 de 2021, tornando pública sua agenda regulatória para os anos de 2021 e 2022. A regulamentação dos temas inseridos na agenda regulatória será realizada em três fases distintas.

Dentre os temas incluídos na primeira fase, com previsão de início no primeiro semestre de 2021, estão: (i) a publicação do Regimento Interno da ANPD, (ii) a publicação do Planejamento Estratégico da ANPD, (iii) o estabelecimento de regras para a adequação à LGPD de pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos, (iv) a regulamentação das sanções de multa previstas na LGPD; (v) a edição de normativos sobre comunicação de incidentes de segurança, especificando o prazo de notificação, o formulário e a melhor forma de encaminhamento das informações; e (vi) a regulamentação do Relatório de Impacto à Proteção de Dados Pessoais.

Na segunda fase, prevista para iniciar no primeiro semestre de 2022, foram incluídos os seguintes temas: (i) a edição de normas complementares sobre a definição e atribuições do Encarregado de Proteção de Dados Pessoais, incluindo as hipóteses que dispensam a sua indicação; e (ii) a regulamentação da transferência internacional de dados pessoais e temas relacionados.

Por fim, na terceira fase, estão: (i) a regulamentação dos direitos dos titulares de dados pessoais, com previsão para o primeiro semestre de 2022; e (ii) a publicação, prevista para o segundo semestre de 2022, do Guia de Boas Práticas para orientar o público sobre as hipóteses legais de tratamento de dados pessoais.

 

ANPD publica Planejamento Estratégico para 2021-2023

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 01 de fevereiro, o Planejamento Estratégico 2021-2023. O documento apresenta três objetivos que a ANPD pretende alcançar no período entre 2021 e 2023, quais sejam: (i) promover o fortalecimento da cultura de proteção de dados pessoais; (ii) estabelecer o ambiente normativo eficaz para a proteção de dados pessoais; e (iii) aprimorar as condições para o cumprimento das competências legais. O documento apresenta, ainda, as ações estratégicas que serão realizadas para que tais objetivos sejam atingidos.

O primeiro objetivo envolve uma série de ações estratégicas voltadas à prevenção e à detecção de infrações à Lei Geral de Proteção de Dados (LGPD). As ações preventivas incluem a promoção de eventos de capacitação e oficinas voltadas ao tema de proteção de dados, além da elaboração de guias e recomendações sobre proteção de dados. Já a ação de detecção envolve medidas de verificação de infrações. Por fim, a ANPD objetiva promover o diálogo com entidades governamentais e não-governamentais.

O segundo objetivo consiste em estabelecer as prioridades da agenda regulatória, bem como procedimentos eficazes para lidar com incidentes e reclamações. Para tanto, a ANPD definiu três ações estratégicas: (i)  implementação de um fluxo com os requisitos, prazos, critérios e procedimentos para tratar notificações de incidentes de segurança e recebimento de reclamações de titulares de dados; (ii) estabelecimento da agenda regulatória da ANPD e (iii) regulamentação dos temas nela incluídos.

Por fim, para a concretização do terceiro objetivo, a ANPD definiu ações estratégicas voltadas à garantia de condições físicas, orçamentárias e de recursos humanos para garantir o bom funcionamento da ANPD.

 

ANPD publica Editais para a composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD)

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 04 de fevereiro, os Editais n.º 01/2021, 02/2021, 03/2021, 04/2021 e 05/2021, para a formação de lista tríplice, pela ANPD, para composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). Os chamamentos incluem vagas destinadas a (i) organizações da sociedade civil; (ii) instituições científicas, tecnológicas e de inovação; (iii) confederações sindicais representativas do setor produtivo; (iv) setor empresarial; e (v) entidades representativas do setor laboral. O CNPD é um órgão integrante da estrutura da ANPD com caráter consultivo. Suas atribuições principais incluem propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade; elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; além de disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. Sua composição está prevista na LGPD (art. 58-A) e no Decreto 10.474/2020 no art. 15. Os nomes indicados deverão ser enviados em 30 dias a partir da publicação dos editais (prazo em 08/03) para formação de lista tríplice pela ANPD, a ser submetida ao Ministro de Estado Chefe da Casa Civil para nomeação pelo Presidente da República.

 

ANPD inicia Tomada de Subsídio para regulamentação da LGPD para MPE, empresas de pequeno porte e startups | Marco Legal das Startups

Cumprindo sua agenda regulatória, a Autoridade Nacional de Proteção de Dados (ANPD) deu início, em 29 de janeiro, à Tomada de Subsídios nº 01/2021 para regulamentação da aplicação do art. 55-J, XVIII da LGPD – microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos. As contribuições podem ser enviadas até o dia 1º de março de 2021. O tema ainda será objeto de consultas e audiências públicas antes de ser definitivamente regulamentado.

O projeto de lei que regulamenta as atividades e ações das startups (Marco Legal das Startups – PLP 146/2019), aprovado pela Câmara dos Deputados no final de 2020, está em pauta do Plenário do Senado Federal e deve ser votado nos próximos dias. Em seu art. 4º, traz a definição de startup, que deve impactar a regulamentação do art. 55-J da LGPD.

 

Requerimento de presença da ANPD na Câmara dos Deputados

Em virtude dos recentes vazamentos de dados, vários deputados do PSOL apresentaram ao Plenário da Câmara dos Deputados, em 09 de fevereiro, o primeiro requerimento de comparecimento da Autoridade Nacional de Proteção de Dados (ANPD) na Casa. Trata-se do Requerimento nº 112/2021 que “Requer o comparecimento do Diretor-Presidente da Autoridade Nacional de Proteção de Dados (ANPD), órgão diretamente vinculado à Presidência da República, para prestar esclarecimentos ao Plenário da Câmara dos Deputados sobre os recentes vazamentos de dados, que deixaram expostos 223 milhões de CPFs de cidadãs e cidadãos brasileiros”. O Requerimento ainda está em seu estágio inicial e não há previsão de quando será analisado. Caso aprovado, o Diretor-Presidente da ANPD deverá comparecer à Câmara para prestar os esclarecimentos devidos.

 

PL 294/2021 (Mensageria Privada)

Foi apresentado, em 08 de fevereiro, o PL 294/2021, que propõe alteração na Lei nº 13.709/18 (Lei Geral de Proteção de Dados – LGPD) para criar restrições ao uso compartilhado, comunicação, transferência ou difusão de dados pessoais por serviços de mensageria privada. O projeto, de autoria do dep. Rui Falcão (PT/SP), propõe a inclusão de um inciso ao art. 5º da LGPD (inciso XX) para conceituar o serviço de mensageria privada e um outro artigo (55-M) dispondo sobre uma espécie de “controle estrutural” do serviço de mensageria privada. O artigo requer a submissão prévia de determinados acordos que envolvam dados pessoais por serviços de mensageria privada. A matéria ainda está em sua fase inicial de tramitação e não há previsibilidade de tramitação e/ou eventuais apoios partidários.

(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)



DESTAQUES

 

Autoridade de Proteção de Dados da Baixa Saxônia multa varejista de eletrônicos pela vigilância ilegal de seus funcionários

A Autoridade de Proteção de Dados da Baixa Saxônia anunciou, em 08 de janeiro de 2021, a imposição de multa no valor de EUR 10,4 milhões (aproxmadamente BRL 67,2 milhões) contra a notebooksbilliger.de pelo monitoramento ilegal de seus funcionários.

Em particular, a Autoridade constatou que a empresa não havia estabelecido uma base legal adequada para realizar a vigilância por vídeo de seus funcionários. Câmeras haviam sido instaladas nas áreas comuns dos funcionários, incluindo locais de trabalho, armazéns e pontos de venda. De acordo com a Autoridade, a vigilância por vídeo não era visava apenas funcionários, mas também clientes.

A notebooksbilliger.de alegou que as câmeras teriam sido instaladas com o objetivo de detectar e evitar infrações criminais, bem como de rastrear o fluxo de mercadorias nos armazéns. Segundo a empresa, o sistema de vídeo não teria sido projetado para monitorar o comportamento dos funcionários nem o desempenho destes.

No entanto, a Autoridade ressaltou que a empresa deveria ter primeiro considerado meios menos instrusivos para evitar infrações cirminais – como, por exemplo, a revista aleatória de bolsas. A Autoridade também destacou que a implementação de câmeras para detectar infrações criminais só é lícita quando há suspeita concreta contra pessoas específicas, devendo ser realizada por um período de tempo determinado. No presente caso, a vigilância realizada pela notebooksbilliger.de não era limitada nem dirigida a funcionários específicos. Além disso, em muitos casos, as gravações permaneciam armazenadas por 60 dias, período significativamente maior do que o necessário, no entendimento da Autoridade.

 

Autoridade de Proteção de Dados da Itália proíbe TikTok de realizar o tratamento de dados de usuários cuja idade não seja identificada

A Autoridade de Proteção de Dados da Itália proferiu, em 22 de janeiro, despacho proibindo o aplicativo TikTok de realizar o tratamento de dados pessoais de usuários cuja idade não seja conhecida. A proibição é uma decorrência do falecimento de uma menina de 10 anos que havia realizado, no aplicativo, o desafio chamado “blackout challenge” (em que o usuário deveria tentar prender a respiração pelo máximo de tempo possível). A medida imposta pela Autoridade é válida até 15 de fevereiro de 2021.

Em 03 de fevereiro, a Autoridade anunciou que a TikTok implementará medidas para proibir o acesso de usuários menores de 13 anos ao aplicativo e para adotar um sistema de inteligência artificial que possa verificar a idade dos usuários da plataforma. Segundo a Autoridade, a TikTok já teria criado um recurso que permite aos usuários do aplicativo denunciarem outros usuários que aparentam ter menos de 13 anos de idade. Por fim, a Autoridade destacou a intenção da TikTok de aprimorar a redação dos avisos de privacidade destinados a usuários menores de idade, de modo a incluir uma explicação fácil e compreensível acerca dos métodos de coleta e tratamento de seus dados pessoais.

 

Autoridade de Proteção de Dados da Polônia multa a empresa por vazamento de dados pessoais

A Autoridade de Proteção de Dados da Polônia (UODO) anunciou, em 31 de dezembro de 2020, a condenação da ID Finance Poland ao pagamento de PLN 1 milhão (aproximadamente BRL 1,4 milhão) por deixar de implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais armazenados em seus servidores.

O vazamento teria ocorrido após a tentativa da empresa de restaurar as configurações de seus sistemas de segurança. A UODO concluiu que a empresa, apesar de ter sido notificada sobre as vulnerabilidades por especialistas em segurança cibernética, não adotou as providências necessárias com relação a seus sistemas de segurança. Como resultado, os dados armazenados em seus servidores foram copiados e eliminados por um terceiro não autorizado, que passou a exigir o pagamento de “resgate” para que a empresa recuperasse os dados pessoais perdidos. Segundo a UODO, os controladores devem ser capazes de identificar, de forma rápida e efetiva, vazamentos de dados pessoais para possibilitar a investigação do incidente e adoção das medidas corretivas apropriadas.

 

Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com prestadora de serviços de saúde diante de violação ao direito de acesso de pacientes

A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 12 de janeiro de 2021, um acordo firmado com a Banner Health, uma prestadora de serviços de saúde sem fins lucrativos sediada no Arizona. O acordo resulta de duas denúncias apresentadas à OCR, segundo as quais a Banner Health teria levado aproximadamente seis meses para conceder o acesso dos titulares de dados aos seus prontuários médicos. De acordo com a OCR, a Banner Health teria incorrido em violações ao direito de acesso previsto na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA) ao deixar de atender em tempo hábil aos pedidos de acesso dos titulares.

O acordo estabelece o pagamento de USD 200 mil (cerca de BRL 1 milhão) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva. Segundo o plano, a Banner Health deverá (i) revisar suas políticas e procedimentos para assegurar uma resposta tempestiva e adequada a pedidos de acesso, consistente com as normas de privacidade e proteção de dados da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter uma proposta de programa de treinamento ao HHS para sua revisão e aprovação; (iii) notificar o HHS quando um colaborador não cumprir com suas políticas e procedimentos de acesso a dados pessoais; e (iv) manter por seis anos todos os documentos e registros que comprovem a conformidade da clínica com o plano de ação corretiva.

 

Departamento de Saúde e Serviços Humanos celebra acordo com seguradora de saúde pelo vazamento de dados pessoais de saúde de clientes

A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 15 de janeiro, a celebração de um acordo com a Excellus Health Plan (EHP), uma seguradora de saúde sediada no estado de Nova Iorque. O acordo diz respeito a potenciais violações das normas de privacidade e segurança contidas na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA).

Em 09 de setembro de 2015, a EHP apresentou à OCR relatório de vazamento de dados notificando o acesso não autorizado a seus sistemas de tecnologia da informação proveniente de um ataque cibernético. A violação perdurou de 2013 até 2015 e resultou na divulgação de dados pessoais de saúde de mais de 9,3 milhões de indivíduos, incluindo nomes, endereços, datas de nascimento, endereços de e-mail, números da Seguridade Social, dados bancários, sinistralidade de planos de saúde e informações sobre tratamentos clínicos. A investigação conduzida pela OCR constatou a não conformidade da EHP com as normas de privacidade e segurança da HIPAA, incluindo falhas em conduzir uma análise de risco e em implementar planos de gestão de riscos, atividades de revisão do sistema de segurança da informação e controles de acesso.

O acordo estabelece o pagamento de USD 5,1 milhões (aproximadamente BRL 27,4 milhões) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a EHP deverá (i) conduzir uma análise precisa e completa dos potenciais riscos e vulnerabilidades à confidencialidade, integridade e acessibilidade dos dados pessoais de saúde armazenados pela empresa; (ii) implementar planos de gestão de riscos para lidar e mitigar quaisquer riscos e vulnerabilidades de segurança identificados na análise de risco; (iii) revisar políticas e procedimentos relativas às atividades de revisão do sistema de segurança da informação e controles de acesso, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (iv) notificar o HHS quando um colaborador não cumprir com suas políticas e procedimentos; e (v) manter por seis anos todos os documentos e registros que comprovem a conformidade da EHP com o plano de ação corretiva.

 

Departamento de Justiça dos EUA multa empresa de marketing por facilitar esquemas de fraude

O Departamento de Justiça dos EUA (DOJ) anunciou, em 27 de janeiro, a celebração de um acordo com a Epsilon Data Management LLC referente à venda de dados pessoais de consumidores. O DOJ destacou que a Epsilon utilizava a técnica de modelagem de dados para identificar os consumidores mais suscetíveis às campanhas de marketing de seus clientes, bem como que as listas de dados criadas a partir de tal técnica eram vendidas por seus funcionários a clientes envolvidos em esquemas de fraude.

O acordo determina o pagamento de USD 150 milhões (aproxadamente BRL 805,6 milhões), dos quais USD 127,5 milhões (cerca de BRL 684,7 milhões) serão destinados à compensação de vítimas dos esquemas de fraude. Além disso, o acordo exige que a Epsilon implemente medidas de conformidade significativas destinadas a salvaguardar os dados pessoais de consumidores e impedir a comercialização de tais dados para indivíduos ou entidades envolvidas em campanhas de marketing fraudulentas ou enganosas. Por fim, segundo os termos do acordo, a Epsilon deverá manter procedimentos para que os consumidores possam solicitar que seus dados pessoais não sejam comercializados.


Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br