2021, Volume 24, eventos dos meses de setembro, outubro, novembro e dezembro.
NOVIDADES INSTITUCIONAIS
ANPD realiza consulta pública e audiências públicas sobre norma de aplicação da LGPD para microempresas e empresas de pequeno porte
Ao longo do mês de setembro, a Autoridade Nacional de Proteção de Dados (ANPD) realizou uma consulta pública e duas audiências públicas, nos dias 14 e 15, para promoção do debate e recebimento de contribuições quanto à Minuta de Resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação.
A norma proposta pela ANPD visa facilitar a adaptação e conformidade de agentes de tratamento de dados pequeno porte à LGPD através da possibilidade de adoção de procedimentos simplificados e diferenciados, enquanto busca garantir os direitos dos titulares e disseminar a cultura de proteção de dados pessoais no Brasil.
ANPD publica Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte
A Autoridade Nacional de Proteção de Dados (ANPD) lançou, em 4 de outubro, o Guia Orientativo de Segurança da Informação direcionado a agentes de tratamento de dados de pequeno porte, com o objetivo de auxiliá-los no processo de implementação de medidas administrativas e técnicas de segurança da informação para a proteção dos dados pessoais tratados.
O Guia inclui, ainda, um checklist com as sugestões e medidas propostas, como ferramenta auxiliadora do processo de conformidade dos mencionados agentes à LGPD.
ANPD e Agência Espanhola de Proteção de Dados assinam Memorando de Entendimento
A Autoridade Nacional de Proteção de Dados (ANPD) e a Agéncia Española de Protección de Datos (AEPD) assinaram, em 4 de outubro, Memorando de Entendimento (“MoU”) destinado a promover o desenvolvimento de mecanismos de cooperação institucional para a disseminação de melhores práticas e a aplicação da regulamentação de proteção de dados pessoais.
O Memorando com a AEPD foi o primeiro instrumento dessa natureza a ser assinado pela ANPD e, assim como os acordos de cooperação firmados com outros órgãos, foi fruto dos objetivos previstos no Planejamento Estratégico da Autoridade com vista à promoção da cultura de proteção de dados pessoais.
ANPD torna-se membro da Rede Ibero-Americana de Proteção de Dados
A Autoridade Nacional de Proteção de Dados (ANPD) celebrou, em 22 de outubro, sua primeira participação no XIX Encontro da Red Iberoamericana de Protección de Datos (REDE), a partir do qual passou a figurar como membro com direito a voto.
Com a inclusão da ANPD no rol de membros, a autoridade poderá auxiliar no desenvolvimento e incremento de experiências e intercâmbio de informações relacionadas à proteção de dados pessoais, bem como estreitar suas relações com outros países e com as demais Autoridades-membro da REDE.
Criada em 2003, a Red Iberoamericana de Protección de Datos é um fórum integrador de atores públicos e privados que busca fomentar o intercâmbio de informações, experiências e conhecimento entre países da América Latina, assim como impulsionar iniciativas, políticas e regulações avançadas do direito à proteção de dados pessoais e privacidade.
ANPD aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador
O Conselho Diretor da Autoridade Nacional de Proteção de Dados, exercendo suas competências normativas, fiscalizatórias e sancionatórias previstas em Lei, aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, através da Resolução CD/ANPD nº 1, de 28 de outubro de 2021.
O Regulamento, resultado da tomada de subsídios e audiências públicas promovidas pela Autoridade em 2021, tem como finalidade estabelecer procedimentos para fiscalização do tratamento de dados pessoais no país, bem como definir as regras a serem observadas no âmbito do processo administrativo sancionador da ANPD. O primeiro ciclo de atuação fiscalizatória da Autoridade será realizado a partir de janeiro de 2022.
ANPD torna-se membro da Global Privacy Enforcement Network (GPEN)
No início de novembro, a Autoridade Nacional de Proteção de Dados (ANPD) foi aceita como membro da Global Privacy Enforcement Network (GPEN), uma rede de reguladores de privacidade e proteção de dados, criada em 2010 como resposta à Recomendação da OCDE sobre Cooperação Transfronteiriça na Aplicação de Leis de Proteção à Privacidade, que busca promover a cooperação entre autoridades públicas de diversos países na aplicação de leis internacionais sobre o tema.
Com a nomeação da ANPD como membro da GPEN, espera-se que esta passe a integrar as discussões e troca de informações entre as Autoridades-membro da rede, sobretudo no constante à cooperação na aplicação de leis de proteção de dados, ao compartilhamento de melhores práticas e ao desenvolvimento de metas e iniciativas conjuntas de fiscalização e de campanhas de conscientização sobre o tema.
TSE e ANPD assinam Acordo de Cooperação Técnica
No dia 23 de novembro, o Tribunal Superior Eleitoral (TSE) e a Autoridade Nacional de Proteção de Dados (ANPD) assinaram o Acordo de Cooperação Técnica para promover a atuação conjunta das entidades na aplicação da LGPD no contexto eleitoral.
Este foi o quarto Acordo de Cooperação celebrado pela ANPD em 2021 e possui com objetivo alinhar as diretrizes da LGPD às Leis Eleitorais, buscando promover debates e compartilhar conhecimentos nas respectivas áreas de atuação das instituições, bem como elaborar conjuntamente materiais educativos relacionados à proteção de dados pessoais no cenário eleitoral.
O Acordo resultou na publicação da 1ª Edição do “Guia Orientativo: Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) pelos agentes de tratamento no contexto eleitoral”, material orientativo relacionado à aplicação prática e aos aspectos obrigatórios da LGPD nas eleições de 2022.
ANPD divulga Relatório Semestral de acompanhamento da Agenda Regulatória para o biênio 2021-2022
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 20 de dezembro, o Relatório Semestral de acompanhamento e execução da Agenda Regulatória da Autoridade para o biênio 2021-2022, um instrumento de planejamento que reúne as iniciativas regulatórias prioritárias e que serão objeto de estudo ou de tratamento pela Autoridade.
Elaboração: Equipe de Relações Governamentais da AJDC.
CASOS
DPC da Irlanda aplica multa ao WhatsApp por violações ao dever de transparência previsto no GDPR
A Comissão de Proteção de Dados da Irlanda (Data Protection Commission – “DPC”) anunciou, em 2 de setembro, a aplicação de multa no valor de EUR 225 milhões (cerca de BRL 1,4 bilhão) ao WhatsApp Ireland Ltd. por violações ao Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”).
A decisão resulta de uma investigação instaurada pela autoridade em dezembro de 2018 para apurar supostas violações ao dever de transparência previsto no GDPR. A autoridade investigou o fornecimento de informações a usuários e não usuários do aplicativo sobre o tratamento de seus dados pessoais, especialmente quanto ao compartilhamento de seus dados entre o WhatsApp e outras empresas do grupo Facebook (atual grupo Meta).
Em dezembro de 2020, a autoridade irlandesa proferiu uma minuta de decisão sugerindo a aplicação de multa no valor de EUR 30 a 50 milhões. No entanto, devido à natureza transfronteiriça das atividades de tratamento de dados do WhatsApp, a minuta de decisão foi revisada por autoridades reguladoras de outros Estados-membros da União Europeia. Em razão das objeções apresentadas por oito autoridades europeias à minuta de decisão proposta pela autoridade irlandesa, o caso foi encaminhado ao Comitê Europeu de Proteção de Dados (“EDPB”). Em 28 de julho de 2021, o EDPB proferiu decisão vinculativa instruindo a autoridade irlandesa a reavaliar e aumentar sua proposta de multa.
ICO aplica multa a empresa responsável por fazer mais de um milhão de ligações de marketing não solicitadas
A Autoridade de Proteção de Dados do Reino Unido (Information Commissioner’s Office – “ICO”) anunciou, em 5 de setembro, a aplicação de multa no valor de GBP 150 mil (cerca de BRL 1,1 milhão) a DialADeal Scotland Limited. A empresa teria efetuado 1.376.255 chamadas de marketing não solicitadas para assinantes registrados no Telephone Preference Service (“TPS”), que não haviam fornecido um consentimento válido, durante o período compreendido entre agosto de 2019 e março de 2020.
A ICO destacou, em sua decisão, que as ligações de marketing estavam relacionadas a esquemas de economia de energia Green Deal inexistentes, incluindo substituição de caldeiras e janelas, isolamento de loft e concessões de melhorias domésticas. A autoridade verificou, ainda, que a DialADeal utilizava nomes comerciais genéricos e indetectáveis, além de ocultar os números de telefone de onde as ligações se originavam.
SEC celebra acordo com empresa fornecedora de “dados alternativos”
A Comissão de Valores Mobiliários dos EUA (U.S. Securities and Exchange Commission – “SEC”) anunciou, em 14 de setembro, a celebração de um acordo com a App Annie Inc. em decorrência de alegações de que a empresa teria incorrido em práticas enganosas e prestado declarações falsas sobre como os seus dados eram gerados.
A App Annie é uma das maiores fornecedoras de dados de mercado sobre desempenho de aplicativos móveis, incluindo estimativas sobre o número de vezes que o aplicativo de uma determinada empresa é baixado, a frequência com que é utilizado e a quantidade de receita que o aplicativo gera para a empresa. Este tipo de informação é geralmente denominado “dados alternativos” uma vez que não estão contidos nas demonstrações financeiras das empresas ou outras fontes de dados tradicionais.
Em sua decisão, a SEC explica que a App Annie teria se comprometido a não divulgar, a terceiros, informações confidenciais de empresas de aplicativos móveis, assegurando que os dados fornecidos pelas referidas empresas seriam agregados e anonimizados antes de serem utilizados para gerar estimativas de desempenho de aplicativos. Entretanto, a SEC verificou que, entre o final de 2014 e meados de 2018, a App Annie teria utilizado dados não agregados e não anonimizados para tornar as estimativas geradas por seu sistema estatístico mais valiosas e, assim, vendê-las a empresas de trading.
Além disso, a SEC concluiu que a App Annie também teria fornecido informações falsas aos clientes de empresas de trading, especialmente sobre a adoção de medidas eficazes para evitar o uso indevido de dados confidenciais e sobre a obtenção de consentimento das empresas de aplicativos para a utilização de seus dados confidenciais na produção de estimativas de desempenho de aplicativos. De acordo com a SEC, a App Annie estava ciente de que os clientes das empresas de trading estavam tomando decisões de investimento com base nas estimativas da App Annie, bem como teria compartilhado ideias sobre como as empresas de trading poderiam usar as estimativas para negociar antes dos próximos anúncios de lucros.
O acordo exige o pagamento de USD 10 milhões (cerca de BRL 56,3 milhões) a título de contribuição pecuniária, bem como que a App Annie se abstenha de incorrer nas condutas identificadas.
Tribunal Distrital de Illinois aprova versão preliminar de acordo em ação coletiva envolvendo violações à Lei de Privacidade de Informações Biométricas de Illinois (BIPA) pelo TikTok
O Tribunal Distrital do Estado de Illinois concedeu, em 01 de outubro, aprovação preliminar a um acordo alcançado pela ByteDance e sua subsidiária TikTok em ação coletiva envolvendo alegações de que as empresas teriam violado a Lei de Privacidade de Informações Biométricas de Illinois (“BIPA”). As violações teriam ocorrido em tratamento de coleta, armazenamento, utilização e divulgação de dados biométricos, especificamente de geometria facial, pertencentes a usuários do aplicativo TikTok.
Os autores da ação alegaram, em síntese, que as empresas violaram a BIPA ao (i) não obter o consentimento expresso e informado de usuários do aplicativo TikTok para coletar, armazenar e transferir seus dados biométricos; (ii) não providenciar informações acerca da finalidade do tratamento e do período de armazenamento dos dados biométricos; e (iii) não implementar e divulgar aos seus usuários uma política de retenção e eliminação dos dados em questão.
Além do pagamento de USD 92 milhões (cerca de BRL 517,5 milhões) a título de indenização, o acordo exige que as empresas se abstenham de, entre outras coisas, utilizar o aplicativo TikTok para (i) coletar ou armazenar dados biométricos, dados de geolocalização ou informações contidas no “Clipboard” de usuários; (ii) armazenar ou transferir dados de usuários para fora dos EUA; e (iii) pré-armazenar o conteúdo gerado pelos usuários que não salvaram ou publicaram tal conteúdo na plataforma, exceto quando expressamente divulgado na política de privacidade do aplicativo.
DPC da Irlanda aplica multa ao Twitter por violações aos requisitos de notificação de incidentes de vazamento de dados previstos no GDPR
A Comissão de Proteção de Dados da Irlanda (Data Protection Commission – “DPC”) anunciou, em 18 de outubro, a confirmação, pelo Tribunal de Dublin, da condenação do Twitter International Company por violações aos requisitos de notificação de incidentes de vazamento de dados previstos no Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”).
A decisão decorre de uma investigação, iniciada em janeiro de 2019, acerca de incidente de segurança envolvendo dados pessoais notificado pelo Twitter. A autoridade verificou que o vazamento teria ocorrido a partir de um bug no aplicativo do Twitter para dispositivos Android que fez com que as contas privadas de usuários ficassem desprotegidas caso estes mudassem o endereço de e-mail associado à sua conta do Twitter.
A autoridade destacou, no entanto, que a investigação tinha como objetivo examinar aspectos relacionados à notificação do incidente de vazamento e não dos efeitos do vazamento em si. De acordo com a autoridade, além de não documentar adequadamente o incidente, foi constatado que a empresa excedeu o prazo legal de 72 horas para notificação do incidente.
Tendo em vista o ocorrido, a DPC decidiu aplicar uma multa no valor de EUR 450 mil (aproximadamente BRL 2,8 milhões) ao Twitter.
Agência antitruste italiana multa Google e Apple por tratamento ilegal de dados pessoais de consumidores
A Autoridade de Defesa da Concorrência da Itália (Autorità Garante della Concorrenza e del Mercato – “AGCM”) anunciou, em 26 de novembro, a aplicação de multas no valor de EUR 10 milhões (cerca de BRL 63,5 milhões) à Apple e ao Google, individualmente, por violações às normas de defesa do consumidor do país. No caso, a AGCM verificou que ambas as empresas violaram o dever de transparência ao deixar de fornecer aos usuários de seus serviços informações claras sobre o tratamento de seus dados pessoais para fins comerciais.
Em particular, a AGCM constatou, em relação ao Google, que a empresa omitiu, tanto no momento de criação de contas de usuários, como durante a utilização dos serviços oferecidos, informações relevantes consideradas necessárias para permitir que os consumidores tomassem uma decisão informada sobre consentir ou não com o tratamento de seus dados pessoais para fins comerciais. Similarmente, a AGCM concluiu, em relação a Apple, que a empresa deixou de fornecer, no momento de criação de uma conta Apple e durante o acesso aos serviços da App Store, iTunes Store e Apple Books, informações sobre suas atividades de coleta e uso de dados pessoais, enfatizando apenas que tais tratamentos seriam necessários para melhorar a experiência do usuário e a utilização de seus serviços.
Além da violação ao dever de transparência, a AGCM verificou que ambas as empresas implementaram “métodos agressivos” para a coleta e utilização de dados de consumidores. Segundo a AGCM, as empresas mantêm as configurações do usuário pré-ativadas para autorizar a coleta e a transferência de seus dados pessoais para fins comerciais, não permitindo que o usuário se manifeste de maneira prévia e expressa acerca do tratamento de seus dados pessoais.
Autoridades de Proteção de Dados do Reino Unido e da Austrália concluem investigação conjunta sobre as práticas de tratamento de dados implementadas pela Clearview AI
A Autoridade de Proteção de Dados do Reino Unido (Information Commissioner’s Office – “ICO”) anunciou, em 29 de novembro, sua intenção de aplicar uma potencial multa de pouco mais de GBP 17 milhões (cerca de BRL 129,6 milhões) à Clearview AI, empresa de reconhecimento facial, pelo tratamento ilegal de dados biométricos. Além da imposição de multa, a ICO também ordenou que a empresa suspendesse provisoriamente o tratamento de dados de indivíduos localizados no Reino Unido e excluísse os dados armazenados em sua plataforma. A decisão decorre de uma investigação realizada em conjunto com a Autoridade de Proteção de Dados da Austrália (Office of the Australian Information Commissioner – “OAIC”) acerca das práticas de tratamento de dados da empresa.
Em particular, a ICO verificou que a Clearview AI teria violado as normas de proteção de dados do Reino Unido ao (i) não realizar o tratamento de dados pessoais em conformidade com as expectativas dos titulares; (ii) não implementar um procedimento capaz de impedir que os dados pessoais fossem armazenados indefinidamente; (iii) não possuir uma base legal adequada para fundamentar a coleta de dados pessoais; (iv) não cumprir os padrões de proteção de dados exigidos pelo GDPR para o tratamento de dados biométricos; (v) não informar aos titulares sobre o tratamento de seus dados pessoais; e (vi) solicitar dados pessoais adicionais, incluindo fotos, o que pode ter contribuído para desestimular indivíduos que desejassem se opor às atividades de tratamento de seus dados.
Em 03 de novembro, a OAIC anunciou decisão similar, segundo a qual a Clearview AI teria infringido as normas de proteção de dados da Austrália ao (i) coletar dados pessoais sensíveis sem o consentimento dos titulares; (ii) coletar dados pessoais de maneira inadequada; (iii) deixar de notificar os titulares sobre a coleta de seus dados pessoais; (iv) deixar de adotar medidas razoáveis para assegurar a precisão dos dados pessoais divulgados com terceiros; e (v) deixar de implementar práticas, procedimentos e sistemas para garantir a conformidade da empresa com os princípios de proteção de dados previstos na legislação australiana.
Autoridade de Proteção de Dados da Noruega multa Grindr pelo compartilhamento ilegal de dados pessoais sensíveis
A Autoridade de Proteção de Dados da Noruega (Datatilsynet) anunciou, em 15 de dezembro, a imposição de multa no valor de NOK 65 milhões (cerca de BRL 41,4 milhões) ao Grindr, aplicativo de relacionamento voltado para a comunidade LGBTQ+, por violações aos requisitos de consentimento previstos no Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
A decisão decorre de reclamação apresentada pelo Conselho de Consumidores da Noruega. Segundo a acusação, o aplicativo teria compartilhado, com diversos parceiros comerciais para fins de publicidade direcionada sem uma base legal adequada, uma série de informações pessoais de usuários. Tais dados incluiriam dados de geolocalização, endereço de IP, idade, gênero e o fato de o usuário possuir uma conta no aplicativo.
A autoridade concluiu que o consentimento coletado pelo Grindr para fundamentar a atividade de compartilhamento de dados pessoais com terceiros não era válido, uma vez que (i) os usuários não tinham escolha a não ser aceitar a política de privacidade em sua íntegra para utilizar o aplicativo; e (ii) as informações disponibilizadas pelo Grindr sobre o compartilhamento de dados pessoais com terceiros não eram suficientemente claras ou acessíveis aos usuários.
Com relação a natureza dos dados pessoais compartilhados, a autoridade afirmou que a mera informação de que o indivíduo é usuário do Grindr constitui um dado pessoal sensível, pois indica que este pertence a uma “minoria sexual”. Além disso, a autoridade destacou que dados de localização também podem constituir dados pessoais sensíveis, ainda que não previstos no GDPR como tal, uma vez que é possível inferir informações sensíveis com base nos locais frequentados pelo titular dos dados.
FTC celebra acordo com plataforma de publicidade online pelo tratamento ilegal de dados pessoais de crianças
A Federal Trade Commission (FTC) anunciou, em 15 de dezembro, a celebração de um acordo com a OpenX Technologies, Inc., uma plataforma de publicidade online sediada na Califórnia, após alegações de que a empresa teria violado a Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA). A violação teria ocorrido com a coleta de dados pessoais de crianças sem o consentimento de seus pais ou responsáveis.
De acordo com a denúncia apresentada pela FTC, além de realizar a coleta de dados pessoais de usuários menores de 13 anos sem o consentimento dos pais, a empresa também teria permitido que terceiros tivessem acesso a tais dados para fins de marketing direcionado. A FTC constatou, ainda, que a OpenX incorreu em práticas enganosas ao afirmar que não coletaria dados de geolocalização de usuários que se manifestassem contra tal tratamento, quando, na realidade, continuou coletando dados de geolocalização de alguns usuários de dispositivos Android após estes terem optado por não ter tais dados coletados.
O acordo determina o pagamento de USD 2 milhões (cerca de BRL 11,2 milhões) a título de contribuição pecuniária, bem como a eliminação de todos os dados pessoais coletados de crianças menores de 13 anos sem o consentimento dos pais. Além disso, o acordo exige, em síntese, que a empresa apresente ao FTC relatórios de conformidade periodicamente, bem como registros de informações e documentos necessários para demonstrar conformidade com relação aos termos do acordo.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br