As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Fevereiro/2021.
DESTAQUES LEGISLATIVOS
Projetos de Lei sobre Inteligência Artificial (IA) incluem a proteção de dados com fundamento ou princípio
O sen. Veneziano Vital do Rêgo (MDB/PB) apresentou, em 12/03, um projeto de lei que dispõe sobre Inteligência Artificial (IA). Trata-se do PL 872/2021, que traz em seu texto os fundamentos, princípios, objetivos e diretrizes para o uso de IA. Com a apresentação deste PL, agora são 3 matérias que tramitam no Senado Federal a respeito de IA. O sen. Styvenson Valentim (PODEMOS/RN) apresentou, em 2019, dois projetos de lei a respeito de IA: o PL 5051/2019, apresentado em setembro e que estabelece os princípios para o uso da Inteligência Artificial no Brasil e o PL 5691/2019, apresentado logo depois, em outubro e com escopo mais amplo para instituir uma Política Nacional de IA – ambos tramitam na Comissão de Ciência e Tecnologia sob relatoria do sen. Rogério Carvalho (PT/SE). O PL 872/2021 ainda não teve movimentação. Já na Câmara dos Deputados, o principal projeto é o PL 21/2020, apresentado pelo dep. Eduardo Bismark (PDT/CE) em fevereiro de 2020 e que estabelece princípios, direitos e deveres para o uso de inteligência artificial no Brasil, e dá outras providências e que também está no começo de sua tramitação na Comissão de Ciência e Tecnologia, Comunicação e Informática, sem relatoria designada. Todos os PLs incluem a proteção de dados entre seus fundamentos ou princípios. O tema de IA deve ser foco de atenção neste ano legislativo.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
DESTAQUES
ANPD divulga orientações para comunicação de incidentes de segurança e aprova Regimento Interno
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 22 de fevereiro, orientações para comunicação de incidentes de segurança envolvendo dados pessoais. As orientações trazem (i) as medidas que devem ser adotadas em incidente de segurança; (ii) o agente de tratamento responsável por comunicar a ANPD sobre eventual incidente; (iii) as informações que deverão ser comunicadas à ANPD; (iv) os casos em que o incidente deverá ser comunicado ao titular de dados; e (v) o prazo para comunicar um incidente à ANPD. Além disso, ANPD também disponibilizou em seu website um formulário que servirá de modelo para notificação de incidentes de segurança à autoridade.
Em 08 de março, por sua vez, foi publicada a Portaria nº 1, aprovando o Regimento Interno da ANPD. O documento define a estrutura organizacional da ANPD, indicando as competências e obrigações dos membros integrantes do Conselho Diretor, do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e dos demais órgãos que compõem a autoridade, bem como estabelece os procedimentos administrativos que serão observados pela ANPD em casos de violações à Lei Geral de Proteção de Dados (LGPD).
Plenário do STF decide pelo não reconhecimento do direito ao esquecimento
O Supremo Tribunal Federal (STF), por maioria, negou provimento ao Recurso Extraordinário nº 1.010.606, impetrado pela família de Aída Curi, vítima de homicídio em 1958 no Rio de Janeiro. Em 2004, o crime foi retratado no programa “Linha Direta” da Rede Globo. Posteriormente, a família ajuizou ação requerendo a indenização por danos morais decorrente do uso da imagem da vítima no referido programa, bem como o reconhecimento do direito ao esquecimento do caso.
Ao negar provimento ao recurso, o Ministro Relator Dias Toffoli concluiu que não há previsão do direito ao esquecimento no ordenamento jurídico brasileiro, e que, portanto, este não poderia se sobrepor ao direito de liberdade de expressão constitucionalmente previsto. Nesse sentido, de acordo com o Ministro Relator, a ideia de impedir a divulgação de fatos ou dados verídicos em meios de comunicação social em razão da passagem do tempo seria incompatível com a Constituição Federal de 1988. Além disso, o Ministro Relator acrescentou que o direito ao esquecimento representaria “uma restrição excessiva e peremptória às liberdades de expressão e de manifestação de pensamento”, bem como “ao direito que todo cidadão tem de se manter informado a respeito de fatos relevantes da história social.” Acompanharam o voto do Relator os Ministros Ricardo Lewandowski, Alexandre de Moraes, Luiz Fux, Marco Aurélio, Cármen Lúcia e Rosa Weber, ficando parcialmente vencidos os Ministros Edson Fachin, Nunes Marques e Gilmar Mendes. O Ministro Luís Roberto Barroso se declarou suspeito e, portanto, não participou do julgamento.
O Ministro Gilmar Mendes acompanhou a divergência apresentada pelo Ministro Nunes Marques e concedeu parcial provimento ao recurso. De acordo com o Ministro, a divulgação de fatos e dados pessoais deve ser permitida em casos de interesse público ou histórico. No entanto, o Ministro reconheceu o dever de indenizar nos casos em que a exposição de dados pessoais for vexatória, independentemente de haver interesse público, histórico e social. Nesse sentido, o Ministro Gilmar Mendes concluiu que, no caso concreto, a reconstituição do crime pelo programa “Linha Direta” foi humilhante para a família de Aída Curi e, assim, votou pela remessa dos autos à primeira instância para apuração da indenização por danos morais.
O Ministro Edson Fachin apresentou Voto-Vogal reconhecendo a existência do direito ao esquecimento. No entanto, o Ministro concluiu que o referido direito não poderia ser aplicado ao caso concreto, tendo em vista que as informações veiculadas no programa “Linha Direta” foram extraídas de acervo público de notícias e trabalhos acadêmicos. Além disso, o Ministro ressaltou que o caso de Aída Curi envolve interesse histórico e jornalístico, bem como que não houve abuso do direito à liberdade de expressão por parte da Rede Globo ao realizar a reconstituição do crime por meio do programa “Linha Direta”.
Ao final do julgamento, o Plenário do STF aprovou a seguinte tese com repercussão geral: “É incompatível com a Constituição Federal a ideia de um direito ao esquecimento, assim entendido como o poder de obstar, em razão da passagem do tempo, a divulgação de fatos ou dados verídicos e licitamente obtidos e publicados em meios de comunicação social – analógicos ou digitais. Eventuais excessos ou abusos no exercício da liberdade de expressão e de informação devem ser analisados caso a caso, a partir dos parâmetros constitucionais, especialmente os relativos à proteção da honra, da imagem, da privacidade e da personalidade em geral, e as expressas e específicas previsões legais nos âmbitos penal e cível”.
ANPD investiga incidente de vazamento de dados de operadoras de telefonia
A Autoridade Nacional de Proteção de Dados (ANPD) informou, por meio de nota oficial publicada em 11 de fevereiro, que decidiu apurar as informações sobre o incidente de vazamento de dados pessoais envolvendo mais de 102 milhões de usuários dos serviços de telefonia móvel. Segundo a ANPD, diversos órgãos já foram oficiados, incluindo a Polícia Federal, a empresa que comunicou o incidente e as operadoras móveis envolvidas, para auxiliar na investigação e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos indivíduos afetados.
FTC celebra acordo com empresa de seguro-viagem
O Federal Trade Commission anunciou, em 05 de fevereiro de 2021, a celebração de acordo com a SkyMed International, Inc., empresa sediada em Nevada que presta serviços de assistência emergencial em viagens. O acordo decorre de denúncia apresentada pelo FTC, segundo a qual a empresa teria deixado de implementar medidas de segurança razoáveis para garantir a proteção dos dados pessoais sensíveis de seus clientes. Como resultado, cerca de 130.000 registros de clientes teriam sido armazenados em um banco de dados desprotegido, podendo ser localizado e acessado por qualquer indivíduo via internet. As informações pessoais comprometidas incluíam nomes, datas de nascimento, endereços residenciais, registros de saúde e números dos registros de apólices. Além disso, o FTC também constatou que a empresa teria incorrido em práticas enganosas ao exibir o selo de conformidade com as normas de privacidade e segurança previstas na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA) em cada página de seu website.
O acordo determina que a SkyMed notifique os consumidores afetados, detalhando os dados pessoais expostos através do incidente de vazamento. A empresa também deverá (i) implementar programa de segurança da informação abrangente; (ii) encaminhar, para aprovação do FTC, avaliações referentes ao seu programa de segurança elaboradas periodicamente por um terceiro independente; (iii) apresentar ao FTC relatórios de conformidade periódicos, incluindo uma descrição de todas as alterações realizadas visando o cumprimento do acordo; e (iv) manter os registros de informações e documentos necessários para que o FTC monitore a conformidade. Por fim, o acordo proíbe a SkyMed de prestar declarações falsas sobre as medidas de segurança implementadas para proteção dos dados de seus clientes, bem como sobre sua adesão ou conformidade com qualquer programa de privacidade ou segurança promovido por entidades governamentais.
Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com prestadora de serviços de assistência médica diante da violação do direito de acesso de pacientes
A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 12 de fevereiro de 2021, acordo firmado com a Sharp HealthCare, uma prestadora de serviços de assistência médica sediada na Califórnia. O acordo resulta de denúncia, apresentada em junho de 2019 à OCR, segundo a qual a Sharp HealthCare teria incorrido em violações ao direito de acesso previsto na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA) ao deixar de atender ao pedido do titular para acessar seus registros médicos em tempo hábil. Em agosto de 2019, a OCR recebeu uma segunda reclamação do titular dos dados, informando que a Sharp HealthCare ainda não havia respondido ao seu pedido de acesso.
O acordo estabelece o pagamento de USD 70 mil (cerca de BRL 396 mil) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a Sharp HealthCare deverá (i) revisar suas políticas e procedimentos para assegurar uma resposta tempestiva e adequada a pedidos de acesso, consistente com as normas de privacidade e proteção de dados da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter uma proposta de programa de treinamento ao HHS para sua revisão e aprovação; (iii) notificar o HHS quando um colaborador não cumprir com suas políticas e procedimentos de acesso a dados pessoais; e (iv) manter por seis anos todos os documentos e registros que comprovem a conformidade com o plano de ação corretiva.
Tribunal de Justiça da União Europeia multa Espanha por infrações às normas de proteção de dados pessoais
O Tribunal de Justiça da União Europeia (TJUE) condenou a Espanha, em 25 de fevereiro de 2021, ao pagamento de sanção pecuniária no valor de EUR 15 milhões (cerca de BRL 100,5 milhões) à Comissão Europeia pelo descumprimento da Diretiva EU 2016/680. A Diretiva regula o tratamento de dados pessoais realizado por autoridades competentes para fins de prevenção, investigação, detecção ou repressão de infrações penais.
Segundo a decisão, a Diretiva deveria ter sido incorporada ao ordenamento jurídico interno de cada Estado-Membro da União Europeia até o dia 6 de maio de 2018. No entanto, ao não receber qualquer informação relativa à adoção das normas previstas na Diretiva dentro do prazo estipulado, a Comissão Europeia enviou, em julho de 2018, uma notificação à Espanha, requerendo o cumprimento da ordem. Em setembro de 2019, a Comissão Europeia levou o caso ao TJUE devido à demora da Espanha para se adequar à Diretiva.
O TJUE concluiu que a Espanha violou a Diretiva ao não cumprir com o prazo estipulado para incorporação da norma ao ordenamento jurídico nacional, bem como ao não informar a Comissão Europeia sobre quaisquer medidas de incorporação adotadas. Caso o descumprimento persista, além da sanção pecuniária no valor de EUR 15 milhões, a Espanha deverá pagar uma multa diária de EUR 89 mil (cerca de BRL 596,7 mil) até que as normas da Diretiva sejam incorporadas à legislação nacional.
Autoridade Antitruste italiana multa Facebook por práticas desleais associadas ao tratamento de dados pessoais de seus usuários
A autoridade italiana de defesa da concorrência (AGCM) anunciou, em 17 de fevereiro, a imposição de multa no valor total de EUR 7 milhões (cerca de BRL 47 milhões) ao Facebook Ireland Ltd. e Facebook Inc. pelo descumprimento das medidas corretivas impostas pela AGCM em novembro de 2018.
Em 2018, a AGCM havia aplicado multa de EUR 5 milhões (cerca de BRL 33,5 milhões) após concluir que as empresas teriam incorrido em práticas desleais ao induzir usuários a se registrarem na plataforma sem informar adequadamente a finalidade para qual seus dados pessoais seriam coletados e utilizados. A AGCM havia constatado que as informações fornecidas aos usuários do Facebook, no momento da ativação da conta, eram genéricas e incompletas, não havendo distinção expressa entre a utilização de dados para fins de personalização do serviço prestado – com o objetivo de facilitar a socialização com outros usuários – e a utilização de dados para envio de anúncios publicitários direcionados. Além da imposição de multa, a AGCM havia determinado que as empresas publicassem, na página inicial de seu website, uma declaração corretiva informando os usuários sobre a coleta e utilização de seus dados pessoais para fins comerciais.
A partir da presente investigação, a AGCM concluiu que o Facebook não havia publicado a declaração corretiva. Em particular, a AGCM constatou que as empresas ainda não forneciam informações claras acerca da finalidade para a qual os dados pessoais dos usuários da plataforma são coletados e utilizados. Considerando o valor econômico atribuído pelo Facebook aos dados pessoais de seus usuários, a AGCM considera necessário que estes estejam cientes da finalidade para qual seus dados serão utilizados para que possam decidir se desejam, de fato, aderir à plataforma.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br