As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de Maio/2021.

 

NOVIDADES INSTITUCIONAIS

 

CADE e ANPD celebram Acordo de Cooperação Técnica

O Conselho Administrativo de Defesa Econômica (CADE) e a Agência Nacional de Proteção de Dados (ANPD) assinaram, em 02 de junho, Acordo de Cooperação Técnica com o objetivo de estabelecer as diretrizes para atuação conjunta em casos que envolvam proteção de dados pessoais e defesa da concorrência. Em síntese, as autoridades se comprometem a compartilhar documentos, informações e experiências em suas áreas de atuação, além de promover o aperfeiçoamento de quadros técnicos e produzir estudos e pesquisas em conjunto.

Na mesma ocasião, o CADE apresentou o estudo “Benchmarking internacional sobre as instituições de Defesa da Concorrência e Proteção de Dados”. O documento inclui análise da estrutura, das funções e das principais inter-relações entre autoridades de defesa da concorrência e de proteção de dados pessoais de doze jurisdições, além de traçar considerações gerais sobre possíveis aprendizados para o CADE e para a ANPD. O estudo aponta que a proteção de dados impacta não somente a análise de casos concretos por autoridades de defesa da concorrência, mas também mudanças legislativas, mudanças em critérios para análise antitruste e mesmo a criação de novos setores dentro dos órgãos antitruste.

 

Consultoria Legislativa da Câmara dos Deputados analisa consequências para cidadãos dos megavazamentos de dados pessoais

Consultoria Legislativa da Câmara dos Deputados emitiu, em abril, Nota Técnica com o objetivo de esclarecer as possíveis consequências, para os cidadãos, dos recentes megavazamentos de dados. A Nota também visa oferecer algumas reflexões sobre as medidas protetivas que poderiam ser implementadas de modo a diminuir o impacto desses acontecimentos.

O documento considera que o principal dado cadastral utilizado no país é o Cadastro de Pessoas Físicas (CPF), endereçando ações que podem ser adotadas para impedir que tal dado seja utilizado de forma indevida e reiterada por terceiros. Em seguida, analisa a eficiência da atual infraestrutura normativa em face da implicação dos vazamentos de dados na esfera de defesa dos consumidores. Também são abordados os principais meios disponíveis aos cidadãos para reparação pelos danos sofridos em decorrência de vazamento de seus dados pessoais, com destaque para as vias judicial e administrativa.

Por fim, o documento sugere diversas ações protetivas, tanto para promover uma maior transparência sobre o tratamento de dados pelos agentes de tratamento quanto para estabelecer mecanismos visando a reparação do uso indevido de dados pessoais. Dentre as principais medidas protetivas propostas, destaca-se: (i) a necessidade de os provedores de aplicações de internet disponibilizarem a seus usuários informações sobre a quantidade de contas existentes e utilizadas em seu nome, bem como a relação de quais atividades foram realizadas com uma conta cadastrada com determinado número de telefone ou nome; (ii) a implementação, por parte de empresas com delegação de serviço público, de um sistema de cadastro seguro e de fácil acesso para que o consumidor possa consultar todos os produtos e serviços contratados, cadastrados e cobrados em seu nome; (iii) a imposição, aos controladores de dados pessoais, da obrigação de divulgação da ocorrência de eventuais vazamentos em veículos de comunicação social e em mídias sociais, e de adoção de medidas imediatas para mitigar o incidente de segurança, independentemente da existência de riscos ou danos aos titulares de dados; e (iv) a alteração da regulamentação do CPF para prever a possibilidade do próprio indivíduo solicitar a modificação do número de cadastro, sem a necessidade de autorização do judiciário.

 

ANPD publica Guia Orientativo sobre Agentes de Tratamento e Encarregado

A ANPD divulgou, em 28 de maio, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento foi elaborado com o objetivo de conferir maior segurança aos titulares de dados e aos agentes de tratamento. Além de estabelecer diretrizes aos agentes de tratamento e definir quem pode ser considerado controlador, operador e encarregado, o guia também apresenta definições legais, regimes de responsabilidade, perguntas frequentes sobre o tema e casos concretos que exemplificam as orientações da ANPD.

O guia destaca que os agentes de tratamento devem ser definidos a partir de seu caráter institucional, não sendo, portanto, considerados controladores ou operadores os indivíduos subordinados às organizações, tais como funcionários, servidores públicos e equipes de trabalho. O documento também prevê a possibilidade de controle conjunto e da existência de suboperadores, conceitos não definidos expressamente pela LGPD. Além disso, o guia estabelece, como regra geral, que toda organização deverá indicar uma pessoa física ou jurídica para exercer a função de encarregado. Contudo, o documento ressalta que normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Por fim, destaca-se que o guia está sujeito a comentários e contribuições pela sociedade civil, podendo ser atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.

 

ANPD abre consulta pública sobre norma de fiscalização

Autoridade Nacional de Proteção de Dados (ANPD) abriu, em 28 de maio, consulta pública sobre a futura norma de fiscalização. A minuta receberá contribuições até o dia 28 de junho. Após o recebimento das contribuições, será realizada audiência pública para debate e participação da sociedade civil no processo regulatório que estabelecerá ações de monitoramento, orientação e prevenção e aplicação de sanção pela Autoridade. Ainda não foi divulgada a data para realização de audiência pública sobre o tema.



CASOS

AEPD condena Equifax por violações às normas de proteção de dados pessoais

A Agência Espanhola de Proteção de Dados (AEPD) condenou, em 26 de abril, a Equifax Ibérica ao pagamento de multa no valor de EUR 1 milhão (cerca de BRL 6 milhões) por violações ao Regulamento Geral de Proteção de Dados Pessoais da União Europeia (GDPR).

A decisão decorre de reclamações apresentadas por diversos indivíduos cujos dados pessoais foram indevidamente incluídos pela Equifax no quadro de devedores do Arquivo de Reclamações Judiciais e Órgãos Públicos sem o seu consentimento. De acordo com a decisão, os dados pessoais foram adquiridos pela Equifax através de fontes públicas, tais como boletins e diários oficiais de entidades públicas. As reclamações indicam que, em alguns casos, os dados pessoais incluídos no quadro de devedores eram imprecisos ou sequer estavam relacionados aos reclamantes. Além disso, a Equifax teria se recusado a atender os pedidos de eliminação de dados apresentados por titulares, alegando que os dados eram públicos e que o tratamento destes era necessário para alcançar um interesse legítimo.

Em sua decisão, a AEPD concluiu que a Equifax não poderia se valer do legítimo interesse como base legal ao considerar que o tratamento dos dados: (i) não era estritamente necessário para atingir a finalidade pretendida, uma vez que tal finalidade poderia ser alcançada por outros meios; e (ii) não era adequado, visto que os dados coletados eram inexatos e desatualizados. A AEPD acrescentou, ainda, que os interesses suscitados pela Equifax para justificar a realização do tratamento não seriam proporcionais ao impacto negativo provocado aos titulares dos dados.

A AEPD também explicou que, no caso de tratamento de dados pessoais realizado com base no legítimo interesse, é dever do controlador avaliar se a finalidade pretendida é compatível com a finalidade para a qual os dados foram originalmente coletados. No caso, os dados foram inicialmente coletados e publicados por instituições públicas para fins de notificação de decisões administrativas ou judiciais. Por outro lado, as finalidades do tratamento de dados realizado pela Equifax estariam relacionadas à avaliação da solvência financeira dos titulares dos dados, bem como à prevenção a fraudes. Nesse sentido, segundo a AEPD, não haveria compatibilidade entre a finalidade para a qual os dados foram inicialmente coletados e a finalidade pretendida pela Equifax.

Por fim, a AEPD verificou que a Equifax teria violado o seu dever de transparência ao deixar de fornecer, aos titulares, informações claras sobre o tratamento de seus dados pessoais. Além da imposição de multa, a AEPD determinou a eliminação de todos os dados pessoais que foram objeto do tratamento realizado pela Equifax.

 

FTC celebra acordo com desenvolvedora de aplicativo de fotos

A Federal Trade Commission (FTC) anunciou, em 7 de maio de 2021, a celebração de acordo com a Everalbum, Inc., empresa desenvolvedora de um aplicativo móvel destinado ao armazenamento em nuvem de fotos e vídeos. O acordo decorre de denúncia apresentada pela FTC, segundo a qual a empresa teria prestado declarações falsas aos consumidores sobre a utilização da tecnologia de reconhecimento facial em seu aplicativo móvel, bem como sobre o período de armazenamento de fotos e vídeos pertencentes a usuários de contas desativadas.

De acordo com a denúncia, a Everalbum afirmava que o reconhecimento facial somente seria aplicado caso os usuários do aplicativo optassem por ativá-lo nas configurações de suas contas. A FTC verificou, no entanto, que tal recurso era automaticamente ativado, podendo ser desativado apenas por usuários localizados nos estados do Texas, Illinois e Washington, ou na União Europeia. Além disso, a empresa teria informado aos usuários do aplicativo que suas fotos e vídeos seriam eliminadas uma vez que suas contas fossem desativadas, quando, na realidade, tais dados eram armazenados indefinidamente.

O acordo impõe uma série de obrigações à Everalbum, incluindo o dever de: (i) obter o consentimento expresso dos usuários para realizar o tratamento de seus dados biométricos por meio da tecnologia de reconhecimento facial; e (ii) eliminar fotos e vídeos de usuários cujas contas foram desativadas, bem como dados biométricos coletados de usuários que não tenham consentido com a aplicação da tecnologia de reconhecimento facial. O acordo também exige que a empresa se abstenha de prestar declarações falsas acerca: (i) de suas práticas de coleta, uso, compartilhamento e eliminação de dados pessoais; (ii) das medidas que os usuários do aplicativo podem adotar para controlar o tratamento de seus dados pessoais; e (iii) dos mecanismos de segurança implementados para garantir a proteção dos dados pessoais dos usuários do aplicativo.

Por fim, o acordo determina que a Everalbum submeta à FTC relatórios periódicos de conformidade, bem como registros das informações e documentos necessários para demonstrar o cumprimento das disposições acordadas.

 

Autoridade de Proteção de Dados de Hamburgo proíbe Facebook de realizar o tratamento de dados pessoais de usuários do WhatsApp

A autoridade de proteção de dados de Hamburgo determinou, em 11 de maio, a proibição do tratamento de dados pessoais de usuários do WhatsApp pelo Facebook pelo período de três meses, tendo em vista as recentes atualizações na política de privacidade e nos termos de uso do aplicativo de mensagens. A decisão foi proferida sob o procedimento de urgência previsto pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o qual permite a adoção de medidas temporárias destinadas a produzir efeitos legais por um período determinado e dentro de um território específico.

Após analisar a política de privacidade do aplicativo, a autoridade considerou o conteúdo obscuro, enganoso e contraditório, não sendo, portanto, suficientemente transparente. Verificou-se, ainda, que as disposições relativas ao compartilhamento de dados entre as empresas encontravam-se espalhadas pelo documento, dificultando o acesso a tais informações.

A autoridade também concluiu que o consentimento fornecido pelos usuários do WhatsApp não poderia ser considerado livre, uma vez que a continuidade da utilização do aplicativo estaria condicionada à aceitação dos termos e condições previstos em sua política de privacidade. Conforme ressaltado pelo órgão, o Facebook não poderia utilizar o legítimo interesse como base legal para o tratamento dos dados pessoais de usuários do WhatsApp, tendo em vista a prevalência dos direitos e liberdades dos titulares de dados sobre os interesses invocados pela empresa.

Tal tratamento também não poderia, segundo a autoridade, ser baseado em contrato, uma vez que os dados de usuários do WhatsApp não são necessários para a execução de contrato pelo Facebook. Nesse sentido, a autoridade constatou que não haveria base legal capaz de justificar o tratamento de dados de usuários do WhatsApp pelo Facebook.

 

Autoridade de Proteção de Dados da Holanda condena o website Locatefamily.com por deixar de nomear um representante na União Europeia

A autoridade holandesa de proteção de dados anunciou, em 12 de maio, a imposição de multa no valor de EUR 525 mil (cerca de BRL 3,2 milhões) em face da Locatefamily.com, uma plataforma que permite aos usuários buscar informações de parentes com os quais perderam contato ou de outras pessoas com as quais gostariam de entrar em contato. A decisão decorre de diversas reclamações apresentadas por indivíduos cujos dados pessoais haviam sido publicados no website sem o seu conhecimento.

Embora tenham solicitado ao website a eliminação de seus dados pessoais, tais pedidos não foram atendidos devido a ausência de um representante da Locatefamily.com na União Europeia. Segundo a autoridade, a ausência de um representante configura violação ao Regulamento Geral de Proteção de Dados (GDPR). Especificamente, teria sido violada a obrigação de organizações que oferecem produtos ou serviços na União Europeia para que estabeleçam um representante ao qual os cidadãos europeus possam recorrer para obter informações sobre o tratamento de seus dados pessoais ou para exercer seus direitos de privacidade.

Além do pagamento da multa, a Locatefamily.com também deverá arcar com EUR 20 mil (cerca de BRL 123 mil) adicionais para cada duas semanas em que permanecer sem um representante na União Europeia.

 

ICO condena American Express pelo envio de e-mails publicitários sem o consentimento de seus clientes

A autoridade de proteção de dados do Reino Unido (ICO) anunciou, em 20 de maio, a imposição de multa à American Express Services Europe Limited (Amex) pelo envio de e-mails publicitários sem o consentimento de seus clientes. A decisão decorre de diversas reclamações apresentadas por clientes da Amex que estavam recebendo e-mails de marketing, apesar de terem optado por não receber anúncios publicitários da empresa.

Segundo a Amex, os e-mails eram enviados para fins de prestação de serviços, não sendo, portanto, de natureza publicitária. A ICO, no entanto, constatou que tais e-mails não poderiam ser classificados como mensagens de serviço, visto que buscavam incentivar os clientes a efetuar compras com cartões Amex, prática que beneficiaria financeiramente a empresa. Durante a investigação, foi constatado que dentre os 50 milhões de e-mails enviados pela Amex a seus clientes, aproximadamente 4 milhões eram destinados ao anúncio dos serviços e produtos da empresa. Como resultado, a ICO concluiu pela aplicação de multa no valor de GBP 90 mil (cerca de BRL 630 mil) à Amex.


Elaboração: Equipe de Proteção de Dados da AJDC

Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br

Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br