As análises deste Boletim LGPD são referentes a decisões ocorridas no mês de agosto/2021.
NOVIDADES INSTITUCIONAIS
ANPD e SENACON lançam o guia para proteção de dados pessoais de consumidores
A Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (SENACON) publicaram, em 10 de setembro, o guia “Como proteger seus dados pessoais” com o objetivo de conscientizar os consumidores sobre a importância de seus dados pessoais.
O guia inclui informações básicas sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), enfatizando a importância da legislação tanto para consumidores quanto para empresas e explicando o papel da Autoridade de Proteção de Dados (ANPD) como o órgão responsável pela regulamentação e fiscalização da lei. Além disso, o documento reúne os principais conceitos previstos na LGPD, de modo a esclarecer, em síntese, o que são dados pessoais, quem é o titular de dados, quem são os agentes de tratamento, quem é o encarregado, quais são as operações que configuram o tratamento de dados pessoais, quais são as bases legais que autorizam o tratamento, quais são os princípios que orientam as atividades de tratamento de dados e quais são os direitos dos titulares de dados. O guia traz, ainda, exemplos de situações envolvendo o tratamento de dados pessoais na relação de consumo e orientações para que os consumidores possam proteger os seus dados pessoais.
CASOS
Zoom chega a acordo em ação coletiva envolvendo violações aos direitos de privacidade de usuários
Em 31 de julho, a plataforma de videoconferência, Zoom Video Communications Inc., concordou com a proposta de acordo para resolver uma ação coletiva alegando que a empresa teria violado os direitos de privacidade de seus usuários ao fornecer informações enganosas sobre suas práticas segurança, compartilhar dados pessoais sem o conhecimento de seus titulares com terceiros (como Facebook, Google e LinkedIn) e permitir que terceiros interrompessem reuniões privadas em prática conhecida como “zoombombing”.
Além do pagamento de USD 85 milhões (cerca de BRL 461,7 milhões), o acordo também exige a implementação de medidas de segurança adicionais, incluindo alertar os usuários quando os anfitriões ou outros participantes usam aplicativos de terceiros durante as reuniões e fornecer treinamento especializado sobre privacidade e tratamento de dados pessoais aos funcionários da empresa. Segundo os termos do acordo, a Zoom também deverá (i) educar seus usuários sobre os recursos de segurança disponíveis no aplicativo; (ii) garantir que sua Política de Privacidade inclua informações sobre a possibilidade de compartilhamento de dados pessoais com terceiros e de gravação e/ou transcrição de reuniões; e (iii) manter em seu website informações centralizadas sobre o tratamento de dados de crianças e adolescentes que utilizam contas escolares.
Autoridade de Proteção de Dados das Itália multa aplicativo de delivery por violações ao GDPR
A Autoridade Italiana de Proteção de Dados (Garante per la protezione dei dati personali) anunciou, em 2 de agosto, a aplicação de multa no valor de EUR 2,5 milhões (cerca de BRL 15,7 milhões) em face do aplicativo de entrega de alimentos, Deliveroo Italy s.r.l., pelo tratamento ilegal de dados pessoais de aproximadamente 8.000 entregadores.
Em decisão proferida em 22 de julho, a Autoridade italiana constatou que a Deliveroo não havia fornecido informações transparentes sobre o algoritmo utilizado para gerenciar os turnos de trabalho de seus entregadores. Além disso, a Autoridade verificou que o aplicativo coletava uma quantidade desproporcional de dados pessoais de seus entregadores, contrariando os princípios da legalidade, transparência, minimização de dados e limitação de armazenamento previstos no Regulamento Geral de Proteção de Dados Pessoais da União Europeia (GDPR).
Além da aplicação de multa, a Autoridade também determinou a adoção de uma série de medidas corretivas para garantir a conformidade das práticas do aplicativo Deliveroo com as normas do GDPR. Tais medidas incluem, em síntese, (i) a elaboração de documentação interna sobre as operações de tratamento de dados pessoais realizadas; (ii) a realização de avaliação de impacto à proteção de dados; (iii) a identificação do período de armazenamento dos dados tratados; (iv) a identificação de medidas apropriadas para garantir a proteção dos direitos e liberdades dos titulares dos dados; e (v) a identificação de medidas adequadas destinadas a introduzir ferramentas para evitar o uso indevido e discriminatório de mecanismos baseados em feedback.
SEC celebra acordo com empresa acusada de divulgar informações falsas sobre um incidente de vazamento de dados pessoais
A Comissão de Valores Mobiliários dos EUA (U.S. Securities and Exchange Commission – “SEC”) anunciou, em 16 de agosto, a celebração de acordo com a Pearson, uma sociedade de capital aberto com sede em Londres que fornece serviços educacionais para escolas e universidades. O acordo decorre de alegações de que a empresa teria fornecido informações enganosas aos seus investidores sobre um incidente de segurança envolvendo dados pessoais ocorrido em 2018.
Em sua decisão, a SEC explica que a Pearson teria se referido, em seu relatório semestral apresentado em julho de 2019, a um incidente de segurança como um risco hipotético, quando estava ciente de que a invasão cibernética de 2018 já havia ocorrido. Além disso, a SEC destacou que, em uma declaração feita à imprensa em julho de 2019, a Pearson teria informado que o incidente poderia ter incluído datas de nascimento e endereços de e-mail de estudantes, quando, na verdade, já sabia que tais dados pessoais haviam sido subtraídos em decorrência do incidente. A SEC verificou, ainda, que na mesma oportunidade, a Pearson teria informado que medidas de segurança rigorosas eram adotadas pela empresa, quando, na realidade, a empresa não foi capaz de corrigir a vulnerabilidade cibernética identificada pelo fabricante do software utilizado. Por fim, a SEC também constatou que a Pearson omitiu o fato de que milhões de dados pessoais e credenciais de acesso pertencentes a estudantes foram afetados pelo incidente.
O acordo exige o pagamento de USD 1 milhão (cerca de BRL 5,3 milhões) a título de contribuição pecuniária, bem como que a Pearson se abstenha de prestar declarações falsas acerca do incidente de vazamento.
FCC propõe multa a indivíduos pela realização de ligações automáticas ilegais
A Comissão Federal de Comunicações dos EUA (U.S. Federal Communications Commission – “FCC”) anunciou, em 24 de agosto, a proposta de aplicação de multa no valor de USD 5.134.500,00 (cerca de BRL 28 milhões) à empresa de consultoria política, J.M. Burkman & Associates LLC, e aos indivíduos John M. Burkman e Jacob Alexander Wohl. A multa decorre de violações à Lei de Proteção ao Consumidor de Telefone (TCPA), que proíbe, em regra, a realização de telefonemas automáticos sem o consentimento de seus destinatários.
No caso, a FCC verificou que os indivíduos e a empresa em questão teriam sido responsáveis por 1.141 ligações automáticas, realizadas entre 26 de agosto e 14 de setembro de 2020, sem o consentimento prévio e expresso de seus destinatários. Segundo a FCC, as ligações pré-gravadas informavam aos destinatários que, se optassem por votar por correio na eleição presidencial de 2020, suas informações pessoais passariam a fazer parte de um banco de dados público que seria utilizado por departamentos de polícia para rastrear mandados antigos, bem como por empresas de cartão de crédito para cobrar dívidas pendentes.
Autoridade de Proteção de Dados da Coreia do Sul condena Facebook e Netflix por tratamento de dados pessoais de usuários considerado ilegal
A Autoridade de Proteção de Dados da Coreia do Sul anunciou, em 25 de agosto, a imposição de multas no valor de KRW 6,66 bilhões (cerca de BRL 30,5 milhões) ao Facebook e KRW 223,2 milhões (cerca de BRL 1 milhão) à Netflix por violações à legislação de proteção de dados pessoais do país.
Com relação ao Facebook, a Autoridade constatou que a empresa teria incorrido em violações, principalmente, ao realizar a coleta e o armazenamento de dados de reconhecimento facial sem o consentimento dos usuários. Além disso, a Autoridade verificou que o Facebook também teria deixado de informar os seus usuários sobre mudanças em sua política de privacidade e sobre a transferência de seus dados pessoais a terceiros ou ao exterior.
A Netflix, por sua vez, foi multada por coletar dados pessoais de potenciais usuários sem o seu consentimento antes do processo de assinatura à plataforma de streaming ser concluído, bem como por deixar de informar os seus usuários sobre a transferência internacionais de seus dados pessoais.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br