As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Abril/2021.
NOVIDADES INSTITUCIONAIS
CADE e ANPD iniciam tratativas para celebração de acordo de cooperação técnica
A Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Administrativo de Defesa Econômica (CADE) iniciaram, no mês de maio, tratativas para celebração de um acordo de cooperação técnica com o objetivo de viabilizar a atuação conjunta das autoridades em situações que envolverem ambas as competências – proteção de dados pessoais e defesa da concorrência.
A primeira minuta do acordo prevê uma série de ações conjuntas, incluindo (i) o compartilhamento de estudos, pesquisas e experiências nas respectivas áreas de atuação das autoridades; (ii) a realização de reuniões, encontros, workshops e visitas técnicas; (iii) a promoção, organização, incentivo ou apoio de cursos, palestras ou quaisquer eventos de capacitação técnica de seus servidores; (iv) o desenvolvimento de materiais educativos e informativos acerca de procedimentos e práticas de difusão da livre concorrência nos serviços de proteção de dados; (v) a cooperação em Atos de Concentração envolvendo transferência de dados pessoais entre agentes econômicos; e (vi) a cooperação em casos de infrações à ordem econômica envolvendo dados pessoais.
O acordo representa uma das ações previstas no Planejamento Estratégico da ANPD com vistas a promover o fortalecimento da cultura de proteção de dados pessoais através do diálogo com entidades governamentais e não governamentais.
MPF, Senacon, CADE e ANPD emitem recomendação relacionada à nova política de privacidade do WhatsApp
O Ministério Público Federal (MPF), a Secretaria Nacional do Consumidor (Senacon), o Conselho Administrativo de Defesa Econômica (CADE) e a Autoridade Nacional de Proteção de Dados (ANPD) expediram, em 07 de maio de 2021, Recomendação Conjunta ao WhatsApp e ao Facebook. A recomendação é para que seja adiada a entrada em vigor, prevista para 15 de maio, da nova política de privacidade do aplicativo de mensagens, enquanto não forem adotadas as recomendações sugeridas pelas referidas autoridades.
O WhatsApp havia anunciado, em janeiro, a atualização de sua política de privacidade para incluir autorização, dentre outras práticas, ao compartilhamento dos dados pessoais dos usuários do aplicativo com as demais empresas que compõem o grupo Facebook. A atualização da política já havia ensejado a instauração do Processo Administrativo nº 00261.00012/2021-04 pela Coordenação-Geral de Fiscalização da ANPD, cuja Nota Técnica recomenda, entre outras medidas, a elaboração de relatório de impacto à proteção de dados pessoais e alterações no texto da política para garantir transparência ao tratamento.
Na Recomendação, as autoridades consideram ter constatado que as práticas de tratamento de dados previstas na nova política de privacidade do WhatsApp podem representar violações aos direitos dos titulares de dados pessoais e aos princípios da Lei Geral de Proteção de Dados Pessoais (LGPD). Além disso, as autoridades manifestam preocupações relacionadas aos potenciais impactos da nova política sobre a concorrência. Segundo o documento, condicionar a continuidade de prestação de serviço ao consentimento do usuário aos termos previstos na nova política poderia representar eventual abuso de posição dominante por parte do WhatsApp. Por fim, as autoridades também consideram que a nova política ofende as normas de proteção e defesa do consumidor por não apresentar informações claras sobre os tipos de dados que serão objeto de tratamento e as finalidades para as quais tais dados serão tratados.
Além do adiamento da vigência, o WhatsApp também foi recomendado a não restringir o acesso dos usuários às funcionalidades do aplicativo, caso estes não adiram à nova política de privacidade. Outra recomendação foi implementar providências orientadas às práticas de tratamento de dados pessoais e de transparência nos termos da LGPD, conforme Nota Técnica da ANPD. O Facebook, por sua vez, foi recomendado a não realizar qualquer tratamento ou compartilhamento dos dados pessoais adquiridos por meio do WhatsApp com base nas alterações da Política de Privacidade, enquanto não houver posicionamento dos órgãos reguladores.
Em resposta à recomendação, o WhatsApp se colocou à disposição para colaborar com as autoridades e afirmou que, durante 90 dias após a entrada em vigor de sua nova política de privacidade, não encerrá contas ou restringirá o acesso de usuários brasileiros aos recursos disponíveis no aplicativo.
Ministério da Economia lança ferramenta online para análise de riscos de segurança envolvendo dados pessoais
A Secretaria de Governo Digital do Ministério da Economia anunciou a disponibilização de um sistema para mitigar riscos de segurança decorrentes da não conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) entre os órgãos do governo federal.
A ferramenta tem como objetivo auxiliar na apuração de eventuais falhas de segurança e de privacidade em sistemas governamentais, bem como em contratos e processos que envolvam o tratamento de dados pessoais.
A plataforma permite a avaliação automática dos 14 diferentes níveis de risco identificados no Guia de Boas Práticas da LGPD. Para tanto, basta que o encarregado da proteção de dados do cidadão no âmbito do governo federal preencha um questionário online. A estrutura do questionário encontra-se no Anexo I do Guia de Avaliação de Riscos de Segurança e Privacidade.
Banco Central emite nova resolução sobre implementação do Open Banking no Brasil
O Banco Central do Brasil divulgou, em 14 de abril de 2021, a Resolução BCB n° 86 para implementação da segunda fase do Sistema Financeiro Aberto (Open Banking) no Brasil. A referida Resolução emendou cinco artigos da Resolução nº BCB nº 32 – que se refere à primeira fase de implementação do Open Banking – para incluir novas disposições relativas ao consentimento do titular da conta e ao exercício do direito de correção ou atualização dos dados compartilhados.
Além disso, a nova resolução atribui obrigações específicas às instituições financeiras com relação ao compartilhamento de dados cadastrais e transacionais de clientes e de seus representantes. Entre essas obrigações, a de fornecer informações sobre a data e a hora da última atualização dos dados compartilhados e de efetivação do compartilhamento.
De acordo com o Banco Central, o prazo para implementação da segunda fase do Open Banking está previsto para 15 julho de 2021.
(Saiba mais sobre novidades legislativas com nossa área de Relações Governamentais: fpa@ajdc.com.br)
CASOS
Juíza julga parcialmente procedentes pedidos do IDEC e da Defensoria Pública em caso relacionado ao tratamento de dados pessoais de usuários do metrô
A Juíza de Direito Patrícia Martins Conceição, da 37ª Vara do Foro Central Cível de São Paulo, julgou parcialmente procedentes os pedidos formulados em sede de ação civil pública ajuizada pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) e pela Defensoria Pública do Estado de São Paulo em face da ViaQuatro, concessionária da linha 4-Amarela do Metrô de São Paulo.
A ação se refere a instalação de um sistema de reconhecimento facial nas plataformas de embarque e desembarque das estações de metrô operadas pela ViaQuatro para fins publicitários e, consequentemente, comerciais. De acordo com a sentença, proferida em 07 de maio de 2021, o objetivo da captação de imagens seria detectar a biometria facial dos passageiros, bem como as suas emoções e reações aos anúncios publicitários veiculados nas estações de metrô.
A magistrada enfatizou a proteção especial atribuída pela Lei Geral de Proteção de Dados Pessoais (LGPD) à categoria de dados pessoais sensíveis, acrescentando que a possibilidade de tratamento destes está atrelada à obtenção de consentimento claro e específico do titular dos dados. A magistrada destacou, ainda, que a validade do consentimento depende da disponibilização de informação clara e específica ao titular sobre as condições do tratamento de seus dados pessoais. No presente caso, entendeu que os usuários do metrô não haviam sido informados acerca da coleta e utilização de seus dados pessoais de imagem.
Dentre os pedidos formulados pelos autores da ação, incluem-se a proibição da coleta, por meio de sistemas de câmeras de reconhecimento facial, de dados pessoais de usuários das linhas de metrô operadas pela ViaQuatro, bem como o pagamento de indenização por danos morais coletivos em valor não inferior a R$ 100 milhões. O valor da indenização foi, no entanto, considerado excessivo, tendo em vista a ausência de documentos nos autos comprovando que as imagens coletadas teriam sido armazenadas indefinidamente ou divulgadas a terceiros. Assim, a juíza optou por reduzir o valor de indenização por danos morais coletivos para R$ 100 mil. Além disso, a magistrada ressaltou que a ViaQuatro deverá obter o consentimento prévio dos passageiros mediante informação clara e específica sobre as condições do tratamento de seus dados pessoais, caso deseje readotar as práticas de coleta e utilização de imagens.
Serasa é condenada ao pagamento de indenização por divulgação indevida dos dados pessoais de devedor
O Juiz de Direito Luiz Fernando Cardoso Dal Poz, da 7ª Vara Cível da Comarca de São José do Rio Preto, julgou procedente ação condenatória ajuizada em face da Serasa Experian S/A. No caso, a Serasa foi acusada de divulgar o número de telefone de um titular em seu cadastro de inadimplente sem comunicação prévia. Como resultado, o número de telefone foi disponibilizado para acesso por terceiros.
Assim, o autor requereu, em sede de tutela antecipada, a suspensão da divulgação de seus dados pessoais a terceiros, sob pena de multa diária no valor de R$ 500. No mérito, o autor requereu a exclusão do seu número de telefone de seu cadastro, bem como o pagamento de indenização por danos morais no valor de R$ 4 mil.
O magistrado reconheceu, em sentença proferida em 15 de abril, que a Lei Geral de Proteção de Dados Pessoais (LGPD), de fato, autoriza o tratamento de dados pessoais para proteção ao crédito sem o consentimento do titular. No entanto, segundo o juiz, tal dispositivo não se aplicaria a números de telefone. O magistrado também ressaltou que a divulgação de números de telefones pessoais do consumidor não seria adequada, nem necessária, para fins de proteção ou análise de crédito. Com isso, o juiz verificou que o tratamento de dados realizado pela Serasa não seria compatível com a finalidade pretendida, configurando violação ao princípio da adequação previsto na LGPD.
Autoridade de Proteção de Dados de Portugal determina a suspensão da transferência de dados pessoais para os EUA
A Comissão Nacional de Proteção de Dados (CNPD) determinou, em 27 de abril, a suspensão, dentro do prazo de 12 horas, da transferência internacional de dados pessoais do Censo 2021 pelo Instituto Nacional de Estatística (INE) para os Estados Unidos e demais países cuja legislação nacional não confira um nível de proteção de dados pessoais adequado.
No caso, a CNPD verificou que o INE havia terceirizado a operacionalização da pesquisa do censo à empresa norte-americana Cloudflare, Inc., por meio de um acordo que prevê a transferência de dados pessoais para os Estados Unidos. A CNPD constatou que a Cloudflare, sediada na Califórnia, estaria sujeita à legislação estadunidense, que impõe a obrigação legal de conceder às autoridades públicas daquele país acesso irrestrito a quaisquer dados pessoais por ela armazenados para fins de segurança nacional.
A CNPD destacou, ainda, a decisão proferida em julho de 2020 pelo Tribunal de Justiça da União Europeia (TJUE), que invalidou o programa EU-US Privacy Shield para a transferência internacional de dados. A CNPD acrescenta que, naquela hipótese, o TJUE também havia estabelecido que as autoridades de proteção de dados dos países-membros da União Europeia suspendessem ou proibissem transferências internacionais de dados pessoais, mesmo quando baseadas em cláusulas contratuais aprovadas pela Comissão Europeia, caso não houvesse garantias de que tais cláusulas seriam cumpridas no país de destino dos dados pessoais. Para mais informações sobre a decisão da TJUE, acesse o Boletim Informativo LGPD #10, de agosto de 2020.
Tribunal Federal da Austrália condena Google por declarações acerca de suas práticas de tratamento de dados pessoais de localização
A Comissão Australiana de Concorrência e Consumidores (Australian Competition & Consumer Commission – ACCC) anunciou, em 16 de abril de 2021, a decisão proferida pelo Tribunal Federal da Austrália condenando Google LLC e Google Australia Pty. Ltd. em razão da divulgação de declarações falsas acerca das práticas de coleta e armazenamento de dados pessoais de localização dos usuários de dispositivos Android. A decisão decorre de ação ajuizada pela ACCC em face das empresas em outubro de 2019.
O Tribunal Federal constatou que, ao criarem as contas do Google necessárias para utilização de dispositivos Android, os consumidores eram informados de que o “Histórico de Localização” seria a única ferramenta capaz de coletar e armazenar seus dados pessoais de localização. Segundo o Tribunal, tal declaração levou os consumidores a acreditarem que poderiam impedir o tratamento de seus dados pessoais de localização pelo Google ao desativar o recurso “Histórico de Localização” nas configurações de privacidade de seus dispositivos Android. Mas outra ferramenta – “Atividades na Web e em Aplicativos” – permitia que o Google continuasse coletando e armazenando dados pessoais de localização.
Nesse sentido, o Tribunal concluiu que o Google deixou de informar adequadamente aos usuários do Android de que a ativação do recurso de rastreamento de atividades de aplicativos e de Internet – “Atividades na Web e em Aplicativos” – também permitiria a coleta e armazenamento de dados pessoais de localização pelo Google.
De acordo com a ACCC, o Tribunal Federal ainda deve determinar a aplicação de sanções pecuniárias e outras medidas corretivas.
FTC celebra acordo com empresa fornecedora de equipamentos de segurança domiciliar
O Federal Trade Commission (FTC) anunciou, em 29 de abril de 2021, a celebração de acordo com a Vivint Smart Homes Inc., empresa fornecedora de equipamentos de segurança e serviços de monitoramento domiciliar. O acordo decorre de denúncia apresentada pelo FTC, segundo a qual a empresa teria utilizado de forma indevida relatórios de crédito para que clientes não qualificados obtivessem financiamento para os produtos e serviços oferecidos pela empresa. Além disso, segundo o FTC, a Vivint teria deixado de implementar um programa de prevenção contra roubo de identidade, o qual é exigido de empresas que regularmente utilizam ou obtêm relatórios de crédito de consumidores.
De acordo com a denúncia, a Vivint só poderia proceder com a venda de seus produtos e serviços após verificar a qualificação do histórico de crédito do consumidor interessado. No entanto, para contornar tal exigência, a empresa utilizava o método “white paging”, que consistia em encontrar outro consumidor com o mesmo nome – ou com nome semelhante – no aplicativo “White Pages” e, assim, utilizar o seu histórico de crédito para habilitar o consumidor não qualificado. Alternativamente, a empresa também solicitava que os consumidores não qualificados lhe fornecessem o nome de um terceiro conhecido como, por exemplo, um parente, que apresentasse um histórico de crédito adequado. Subsequentemente, este terceiro era adicionado como co-signatário da conta e seu histórico de crédito era utilizado para habilitar o consumidor não qualificado.
O acordo determina o pagamento de multa no valor de USD 15 milhões (cerca de BRL 79,6 milhões), além de USD 5 milhões (cerca de BRL 26,5 milhões) para indenizar os consumidores afetados. Além disso, o acordo exige que a empresa adote uma série de medidas corretivas, incluindo: (i) elaborar um programa de prevenção contra roubo de identidade destinado a detectar, prevenir e mitigar os riscos da conduta investigada; (ii) criar uma Força Tarefa de Atendimento ao Cliente para investigar denúncias de roubo de identidade; (iii) implementar programa de monitoramento interno destinado à prevenção da prática de roubo de identidade por seus funcionários; e (iv) apresentar, para aprovação do FTC, avaliações elaboradas bienalmente por um terceiro independente sobre a implementação das medidas corretivas previstas no acordo. Por fim, a Vivint deverá submeter ao FTC relatórios periódicos de conformidade, bem como registros das informações e documentos necessários para demonstrar o cumprimento das disposições acordadas.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br