As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de julho/2021.
NOVIDADES INSTITUCIONAIS
ANPD publica portaria que prevê os procedimentos de regulamentação da autoridade
A Autoridade Nacional de Proteção de Dados – ANPD – publicou, em 09 de julho, a Portaria de nº 16/2021, que dispõe sobre o processo de regulamentação no âmbito da autoridade. Em suma, a Portaria estabelece os procedimentos para elaboração, revisão, implementação, monitoramento e avaliação da agenda regulatória e de atos normativos editados pela ANPD. Além disso, a Portaria prevê regras para a realização de consultas internas e públicas, bem como para a elaboração de Análise de Impacto Regulatório (AIR) e de Avaliação do Resultado Regulatório (ARR). O texto indica, ainda, que a realização de estudos técnicos preliminares e o levantamento de necessidades de elaboração ou de revisão de regulamentação não fazem parte do processo de regulamentação, podendo ser realizados pelos órgãos da ANPD a qualquer tempo.
ANPD promoveu Audiência Pública para debater a minuta de Resolução que dispõe sobre a Fiscalização e Aplicação de Sanção pela Autoridade
A ANPD realizou em julho audiência pública com o propósito de discutir texto de resolução sobre a aplicação do Artigo 52 da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de Agosto de 2018). A resolução trata do mecanismo de fiscalização que a entidade deve adotar, com previsão de ações de monitoramento, orientação e prevenção e aplicação de sanção.
A maioria dos presentes elogiou a adoção do modelo de regulação responsiva, que assegura a participação dos agentes de tratamento no processo fiscalizatório. Foi também amplamente elogiada a abordagem orientativa e preventiva da norma fiscalizatória, que deverá aplicar mecanismos inicialmente voltados à contínua orientação, prevenção e monitoramento das atividades de tratamento de dados. A abordagem punitiva e sancionatória deverá ser adotada quando identificadas eventuais infrações ou tratamentos indevidos posteriormente às atividades de orientação.
Contudo, foi apontado por alguns expositores a necessidade de mudanças para conferir maior segurança jurídica. Dentre os pontos mencionadas, destaca-se a necessidade de maior clareza da norma em relação às aplicações gerais dos procedimentos e do ciclo de monitoramento; à tipificação de infrações; à dosimetria da pena; ao estabelecimento de circunstâncias atenuantes e agravantes; às metodologias para o cálculo do valor base de multas; às estratégias e planos de auditorias; às instâncias responsáveis pelas variadas etapas dentro da ANPD; à classificação dos agentes de tratamento; aos critérios de avaliação e aceitação de estratégias de mitigação de riscos e infrações, dentre outros.
Acesse o arquivo com a minuta de resolução aqui.
ANPD e Núcleo de Informação e Coordenação do Ponto BR assinam Acordo de Cooperação Técnica
A ANPD e o Núcleo de Informação e Coordenação do Ponto BR – NIC.br assinaram Acordo de Cooperação Ténica destinado ao estabelecimento do intercâmbio de informações; ações de interesse comum no que diz respeito à proteção de dados pessoais e à segurança da informação; além da previsão de apoio institucional entre as entidades e a produção conjunta e coordenada de estudos, análises e pesquisas sobre proteção de dados pessoais, segurança da informação, privacidade nas redes e tecnologia.
A ANPD e o NIC.br já iniciaram algumas das atividades previstas no Acordo. Dentre elas, pode ser destacado o lançamento de dois fascículos da Cartilha de Segurança para Internet, um sobre a proteção de dados e outro sobre os cuidados relacionados a vazamento de dados pessoais. Ambos são voltados para o público em geral.
ANPD publica minuta de resolução para aplicação da LGPD a agentes de tratamento de pequeno porte
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 30 de agosto, consulta pública sobre a minuta de resolução que regulamenta a aplicação da LGPD para micro e pequenas empresas, startups, pessoas jurídicas sem fins lucrativos e pessoas naturais que realizam tratamento de dados pessoais. A iniciativa representa um dos compromissos previstos na Agenda Regulatória da ANPD, aprovada para o biênio 2021-2022 por meio da Portaria nº 11/2021.
A ANPD reconhece que “a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte e, consequentemente, o desenvolvimento do país.” Assim, segundo a autoridade, a minuta proposta teria como objetivo facilitar o processo de adequação dos chamados agentes de tratamento de pequeno porte à LGPD.
As medidas previstas incluem a dispensa das obrigações de indicação de um encarregado pelo tratamento de dados pessoais (DPO), bem como de atendimento do direito à portabilidade de dados do titular e de manutenção de registros das operações de tratamento de dados pessoais. A minuta também prevê a possibilidade de apresentação de modelo simplificado do relatório de impacto à proteção de dados pessoais e de implementação de uma política simplificada de segurança da informação, além de prazos diferenciados para atendimento às solicitações dos titulares dos dados e para comunicação sobre vazamentos.
Vale destacar que, com exceção da dispensa de indicação do encarregado (DPO), as flexibilizações e dispensas propostas não serão aplicáveis a agentes de pequeno porte que realizem “tratamento de alto risco e em larga escala para os titulares” – isto é, que envolva (i) dados sensíveis ou de vulneráveis, incluindo crianças e adolescentes e idosos; (ii) vigilância ou controle de zonas acessíveis ao público; (iii) uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares; ou (iv) tratamento automatizado de dados pessoais que afetem os interesses dos titulares.
CASOS
Justiça do Trabalho julga improcedente ação movida contra a JBS por supostas violações à LGPD
A Juíza do Trabalho substituta Ivanise Marilene Uhlig de Barros, da Vara do Trabalho de Montenegro (RS), julgou improcedente ação trabalhista movida pelo Sindicato dos Trabalhadores nas Indústrias de Alimentação de Montenegro em face da JBS por supostas violações à Lei Geral de Proteção de Dados Pessoais (LGPD).
De acordo com o sindicato, a JBS estaria realizando, sem as cautelas necessárias, o armazenamento e o compartilhamento de dados pessoais de seus funcionários com diversos controladores e operadores. A entidade afirmou, ainda, não haver indicação do encarregado pelos dados pessoais por parte da empresa.
A magistrada reconheceu, em sentença proferida em 13 de julho, que a JBS possui um manual de privacidade, que demonstra, entre outros pontos, a designação de um encarregado, bem como a adequação da empresa aos requisitos da LGPD. A magistrada também ressaltou que o tratamento de dados pessoais, ainda que sensíveis, “prescinde de consentimento dos empregados se está relacionado à execução do contrato de emprego ou cumprimento de obrigação legal” e que “havendo relação jurídica estabelecida entre as partes e decorrente de contrato empregatício, torna-se desnecessário do ponto de vista prática ou jurídico dar-se ciência expressa sobre o tratamento […]”.
Além disso, de acordo com a magistrada, não haveria qualquer notícia concreta de que algum empregado tenha sofrido violação do direito ao livre acesso sobre o tratamento de seus dados, ou mesmo de que tenha ocorrido transferência de dados ou incidentes de segurança. Com isso, a juíza verificou que o tratamento de dados realizado pela JBS seria compatível com os termos previstos na LGPD.
Autoridade de proteção de dados de Luxemburgo multa Amazon por violações decorrentes do seu sistema de publicidade direcionada
Em 16 de julho, a autoridade de proteção de dados de Luxemburgo (Commission nationale pour la protection des donées – “CNPD”) condenou a Amazon Europe Core S.à.r.l. ao pagamento de multa no valor de EUR 746 milhões (cerca de BRL 4,6 bilhões) por supostas violações do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
A decisão decorre de ação coletiva interposta em março de 2018 por uma organização de direitos de privacidade denominada La Quadrature du Net. De acordo com a declaração publicada pela organização, a CNPD teria proferido sua decisão após concluir que o sistema de publicidade direcionada utilizado pela Amazon não se baseia no livre consentimento.
A autoridade de proteção de dados da França (Commission nationale de l’informatique et des libertés – “CNIL”) divulgou, em 3 de agosto, um press release afirmando que, embora a ação original tenha sido interposta perante a CNIL, a CNPD seria a autoridade competente para analisar o caso, uma vez que a sede da Amazon na União Europeia se encontra em Luxemburgo.
Por fim, embora a decisão da CNPD ainda não se encontre disponível ao público, a sanção foi confirmada pela Amazon em seu relatório trimestral de 29 de julho, no qual a empresa indicou que recorrerá da decisão.
Autoridade de Proteção de Dados da Holanda multa TikTok por violações à privacidade de crianças
A autoridade de proteção de dados holandesa (Autoriteit Persoonsgegevens – “AP”) anunciou, em 22 de julho, a imposição de multa no valor de EUR 750 mil (cerca de BRL 4,7 milhões) em face da plataforma TikTok por supostas violações às normas de proteção de dados da União Europeia. Em particular, a AP constatou que as informações fornecidas pela TikTok aos usuários holandeses (muitos dos quais são crianças), quando da instalação e uso do aplicativo, não seriam de fácil compreensão, uma vez que se encontravam em inglês. Assim, ao não disponibilizar uma versão de sua política de privacidade em holandês, a TikTok teria deixado de fornecer informações adequadas acerca do tratamento de dados pessoais de usuários do aplicativo. Por conseguinte, a AP concluiu que a TikTok teria violado o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que baseia no princípio de que os titulares devem sempre estar cientes da forma como os seus dados pessoais estão sendo tratados.
FTC celebra acordo com operadoras de aplicativo de colorir pelo tratamento ilegal de dados pessoais de crianças
Em 01 de julho, a Federal Trade Commission (FTC) anunciou acordo celebrado com a Kuuhuub Inc. e suas subsidiárias Kuu Hubb Oy e Recolor Oy. O acordo resulta de alegações de que as empresas teriam violado a Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA) ao coletar e divulgar dados pessoais de crianças que utilizavam o aplicativo Recolor sem o consentimento de seus pais ou responsáveis.
De acordo com a denúncia apresentada pela FTC, além de realizar a coleta de dados pessoais de usuários menores de 13 anos sem o consentimento dos pais, as empresas também teriam permitido que terceiros tivessem acesso a tais dados para fins de marketing direcionado.
O acordo determina o pagamento de USD 3 milhões (cerca de BRL 16 milhões) a título de contribuição pecuniária, bem como a eliminação de todos os dados pessoais coletados de crianças menores de 13 anos sem o consentimento dos pais. Além disso, o acordo exige, em síntese, que a empresa apresente ao FTC relatórios de conformidade periodicamente, bem como registros de informações e documentos necessários para demonstrar conformidade com relação aos termos do acordo.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br