As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Março/2021.

 

DESTAQUES LEGISLATIVOS E INSTITUCIONAIS

 

ANPD divulga lista de indicações recebidas para compor o CNPD

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 13 de abril de 2021, a lista com as 122 indicações recebidas pela sociedade para compor o Conselho Nacional de Proteção de Dados (CNPD). O próximo passo é a formação de lista tríplice, que será encaminhada para escolha dos membros pelo Presidente da República. As entidades representativas do setor empresarial indicaram a maior quantidade de nomes: foram 47 sugestões para compor 2 vagas. Já as entidades representativas do setor laboral indicaram apenas 9 nomes para o mesmo número de vagas – 2 no total.

 

Senacon e ANPD celebram acordo de cooperação técnica

A Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (Senacon) celebraram, em 22 de março de 2021, acordo de cooperação técnica com o objetivo de promover a proteção de dados pessoais dos consumidores.

O acordo prevê uma série de ações conjuntas, incluindo (i) o compartilhamento de informações sobre reclamações de consumidores relacionadas ao tratamento indevido de seus dados pessoais; (ii) a uniformização de entendimentos; (iii) a cooperação em ações de fiscalização relacionadas à proteção de dados pessoais de consumidores; (iv) o desenvolvimento de materiais educativos e informativos para capacitação da sociedade; e (v) a elaboração e o compartilhamento de estudos e pesquisas sobre direitos do consumidor e proteção de dados pessoais.

O acordo representa uma das ações previstas no Planejamento Estratégico da ANPD com vistas a promover o fortalecimento da cultura de proteção de dados pessoais através do diálogo com entidades governamentais e não governamentais.

 

Cobrança por dados abertos é vetada na sanção da Lei 14.129/21

Em 30 de março de 2021, foi editada a Lei 14.129/21, que dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública. Um dos princípios do Governo Digital é a proteção de dados pessoais, sendo os conceitos da LGPD aplicáveis à lei sancionada. O §3º do art. 29, que previa a possibilidade de cobrança por acesso a dados públicos, foi vetado. O Poder Executivo acatou o pleito feito por várias entidades empresariais no sentido de que o dispositivo aprovado pelo Congresso Nacional, além de inconstitucional, feria dispositivos legais, principalmente a Lei de Acesso à Informação.

 

II Diálogo Digital Brasil – Reino Unido 2021

A Autoridade Nacional de Proteção de Dados (ANPD) participou, nos dias 19 e 20 de abril de 2021, de evento virtual com representantes do Reino Unido para debate sobre agenda digital nos dois países. O II Diálogo Digital Brasil – Reino Unido (UK-Brazil Digital and Cyber Dialogue 2021) também contou com a participação dos Ministérios das Relações Exteriores, das Comunicações e da Ciência, Tecnologia e Inovações. Em sua fala, a diretora Miriam Wimmer destacou a promoção do fortalecimento da cultura de proteção de dados pessoais no Brasil, o estabelecimento de um ambiente normativo eficaz para a proteção de dados pessoais e o aprimoramento das condições legais para o cumprimento das competências legais da ANPD, além da futura regulamentação sobre transferências internacionais de dados. Pelo lado britânico, participaram do debate Joe Jones e Declan Shaw, representantes do Departament for Digital, Culture, Midia and Sport – DCMS, e William Middleton, diretor do Foreign Commonweath & Development Office­ – FCDO.

 

Capacitação de Servidores da ANPD pela Universidade de Maastricht

Os servidores da Autoridade Nacional de Proteção de Dados (ANPD) participaram, entre os dias 12 e 23 de abril de 2021, de curso promovido pelo Centro Europeu em Privacidade e Cibersegurança da Universidade de Maastricht (Maastricht University European Centre on Privacy and Cybersecurity) em parceria com o Data Protection Academy da Comunidade Europeia. Além do objetivo de fortalecer a integração da ANPD com a Comissão Europeia, o curso abordou temas práticos das legislações brasileiras e europeias como, por exemplo, as obrigações e responsabilidades das organizações, os direitos dos titulares e transferências internacionais de dados pessoais.  Por meio de estudos de casos, os servidores da ANPD puderam trocar pontos de vista e de experiências com os representantes europeus.

(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)



DESTAQUES

 

Justiça Federal de São Paulo indefere pedido de tutela de urgência contra a Serasa Experian

A 22ª Vara Cível Federal de São Paulo indeferiu, em 16 de março de 2021, o pedido de tutela provisória de urgência em ação civil pública ajuizada pelo Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Instituto Sigilo) em face da Serasa Experian. O Instituto demandava que a empresa comunicasse incidente de vazamento de dados, por meio de carta com aviso de recebimento, a todos os titulares que tiveram seus dados pessoais expostos na internet. O Instituto Sigilo também requereu a concessão do prazo de 48 horas para que a Serasa divulgasse, em suas redes e mídias de comunicação, quais teriam sido os incidentes de vazamento de dados ocorridos e que medidas seriam tomadas para sanar os eventuais riscos causados aos consumidores.

De acordo com o Instituto Sigilo, a Serasa teria permitido o acesso indevido aos dados pessoais de aproximadamente 223,74 milhões pessoas vivas e falecidas, incluindo endereços residenciais, dados de compra, CPFs e cartões de crédito. Além disso, o Instituto Sigilo sustentou que, embora os dados fossem armazenados por empresa terceirizada, a Serasa seria responsável pelo vazamento, dado o regime de responsabilidade previsto pela LGPD a agentes de tratamento.

Conforme decisão do Juiz José Henrique Prescendo, os fatos narrados pelo Instituto Sigilo ainda estão sob investigação criminal pela Polícia Federal e sob apuração administrativa pela Autoridade Nacional de Proteção de Dados (ANPD). Sendo assim, o magistrado negou a liminar, afirmando que somente após a apuração do incidente por parte das autoridades competentes será possível determinar o cumprimento do dever legal de comunicação aos titulares.

 

Autoridade de Proteção de Dados da Holanda multa Booking.com por atraso na notificação de incidente de segurança

A Autoridade de Proteção de Dados da Holanda (Autoriteit Persoonsgegevens) anunciou, em 31 de março de 2021, a condenação da empresa Booking.com ao pagamento de multa no valor de EUR 475 mil (aproximadamente BRL 3 milhões) pela comunicação intempestiva de um incidente de vazamento de dados pessoais, que teria ocorrido em 2018, a partir da subtração dos dados pessoais pertencentes a mais de 4.000 indivíduos que fizeram reservas de hotéis nos Emirados Árabes Unidos por meio da plataforma Booking.com.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) impõe o dever de comunicar a autoridade de proteção de dados competente sobre eventual incidente de vazamento dentro do prazo de 72 horas. No entanto, no presente caso, a autoridade holandesa apenas foi informada sobre o incidente envolvendo os dados armazenados pela Booking.com após 22 dias do ocorrido.

 

Tribunal Distrital da Califórnia homologa acordo celebrado com Facebook em ação envolvendo dados biométricos

O acordo, homologado em 26 de fevereiro, decorre de uma ação coletiva ajuizada contra o Facebook por violações à Lei de Privacidade de Informações Biométricas de Illinois (BIPA) em 2015. De acordo com a denúncia, originalmente apresentada ao Tribunal Distrital de Illinois, o Facebook teria violado a legislação ao coletar e armazenar dados biométricos de geometria facial sem o consentimento dos usuários da rede social. Em particular, os dados biométricos eram coletados e armazenados pelo Facebook por meio da utilização de um software de reconhecimento facial. Este software, denominado Tag Suggestions, escaneava as características faciais de indivíduos presentes em fotos publicadas por usuários e oferecia sugestões acerca da identidade de tais indivíduos para fins de marcação.

O acordo determina o pagamento de USD 650 milhões (aproximadamente BRL 3,5 bilhões) a título de compensação aos usuários afetados. O acordo também exige que o Facebook altere a configuração padrão do software de reconhecimento facial para que este permaneça desativado para todos os usuários que não tenham consentido afirmativamente. Além disso, o Facebook deverá eliminar todos os dados biométricos armazenados pertencentes aos membros da ação coletiva – que inclui mais de 1,5 milhões de indivíduos – a menos que seja obtido o consentimento expresso destes para tanto. O Facebook também deverá eliminar os dados biométricos de qualquer membro da ação coletiva que não tenha utilizado a rede social durante três anos.

O gerente de produtos do Facebook responsável pelo software de reconhecimento facial declarou, em audiência de homologação, que a alteração na configuração padrão do referido software não seria implementada apenas em Illinois ou nos Estados Unidos, mas globalmente. Por fim, o Tribunal Distrital da Califórnia ressaltou, em sua decisão, que o acordo se aplica apenas à rede social Facebook, e não às demais empresas subsidiárias do grupo Facebook, como Instagram, WhatsApp e Oculus VR.

 

Departamento de Saúde e Serviços Humanos dos EUA celebra acordo com clínica médica diante da violação do direito de acesso de pacientes

A Secretaria de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA anunciou, em 26 de março de 2021, um acordo firmado com a Village Plastic Surgery (VPS), uma clínica de estética e cirurgia plástica sediada em Nova Jersey. O acordo resulta de uma denúncia, apresentada em setembro de 2019 à OCR, segundo a qual a VPS teria incorrido em violações ao direito de acesso previsto na Lei de Portabilidade de Seguros de Saúde e Prestação de Contas (HIPAA) ao deixar de atender ao pedido de acesso do titular aos seus registros médicos em tempo hábil.

O acordo estabelece o pagamento de USD 30 mil (cerca de BRL 165 mil) a título de contribuição pecuniária e a obrigação de adotar um plano de ação corretiva, segundo o qual a VPS deverá (i) revisar suas políticas e procedimentos para assegurar uma resposta tempestiva e adequada a pedidos de acesso, consistente com as normas de privacidade e proteção de dados da HIPPA, bem como obter a aprovação do HHS em relação a tais políticas e procedimentos; (ii) submeter uma proposta de programa de treinamento ao HHS para sua revisão e aprovação; (iii) notificar o HHS quando um colaborador não cumprir com suas políticas e procedimentos de acesso a dados pessoais; e (iv) manter todos os documentos e registros que comprovem a conformidade com o plano de ação corretiva por seis anos.

 

TJUE confirma que o acesso de autoridades públicas a dados de telecomunicações deve ser limitado

O Tribunal de Justiça da União Europeia (TJUE) proferiu, em 02 de março de 2021, decisão a respeito do acesso a dados pessoais de tráfego e localização por autoridades públicas no âmbito de investigações criminais. A decisão se refere a um processo criminal instaurado contra um indivíduo na Estônia com base em dados pessoais coletados por meio de suas comunicações eletrônicas. A Suprema Corte da Estônia expressou dúvidas quanto à legalidade do acesso aos referidos dados pela autoridade investigadora no contexto da legislação europeia. Em síntese, a Suprema Corte da Estônia apresentou três questões ao TJUE: (i) se a duração do período de acesso aos dados por parte da autoridade investigadora seria um critério para avaliar a gravidade da ingerência nos direitos fundamentais do titular dos dados; (ii) se o curto período de retenção dos dados justificaria a interferência da autoridade investigadora nos dados de comunicações eletrônicas; e (iii) se o Ministério Público da Estônia teria competência para autorizar o acesso da autoridade investigadora aos dados pessoais em questão.

Com relação às primeiras duas prejudiciais de mérito, o TJEU sustentou que o mero acesso a dados de tráfego ou de localização permite chegar a conclusões precisas sobre a vida privada dos titulares de tais dados. Por exemplo, hábitos da vida quotidiana, locais de residência permanentes ou temporários, deslocamentos diários, atividades exercidas, relações sociais e meios sociais frequentados. Sendo assim, o acesso de autoridades públicas aos referidos dados representaria, por si só, uma grave ingerência aos direitos fundamentais de seus titulares, independentemente da duração do período de acesso e da quantidade ou da natureza dos dados acessados, conforme interpretação da Diretiva de Privacidade e Comunicações Eletrônicas à luz da Carta dos Direitos Fundamentais da União Europeia.

O TJUE também sustentou que, segundo o princípio da proporcionalidade, ingerências graves sobre os direitos fundamentais em tais casos só se justificam para fins de combate a criminalidade grave e prevenção de ameaças graves contra a segurança pública. Não estaria justificado, portanto, o tratamento desses dados para fins de prevenção, de investigação, de detecção e de persecução de infrações penais em geral.

Além disso, com relação à terceira questão, o TJUE afirmou que a Diretiva de Privacidade e Comunicações Eletrônicas e a Carta dos Direitos Fundamentais da União Europeia invalidam a legislação nacional do país que atribui competência ao Ministério Público para autorizar o acesso de uma autoridade pública aos dados de tráfego e de localização de indivíduos para fins de instrução penal. O TJUE observou que a Diretiva de Privacidade e Comunicações Eletrônicas também impede que qualquer legislação imponha aos provedores de serviços de telecomunicações uma obrigação de retenção generalizada e indiscriminada dos dados de tráfego e de localização. Segundo o TJUE, qualquer legislação que obrigue os provedores de tais serviços a conceder a autoridades nacionais competentes acesso a dados de tráfego e de localização deve estabelecer regras claras e precisas para evitar o tratamento abusivo de dados pessoais.


Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br