2022, Volume 25, eventos dos meses de janeiro, fevereiro e março
NOVIDADES INSTITUCIONAIS
Em ano eleitoral, ANPD e TSE publicam Guia de Eleições
Como fruto do Acordo de Cooperação Técnica entre a Autoridade Nacional de Proteção de Dados – ANPD e o Tribunal Superior Eleitoral – TSE, celebrado em novembro de 2021, foi elaborado de forma conjunta pelas instituições um material orientativo referente à aplicação da LGPD no âmbito eleitoral.
O “Guia Orientativo: Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) pelos agentes de tratamento no contexto eleitoral”, publicado em 3 de janeiro, traz informações sobre os princípios e conceitos da LGPD no âmbito eleitoral, bem como orientações acerca da realização de campanhas eleitorais na internet e do tratamento adequado de dados pessoais neste contexto. A cartilha traz, ainda, questões práticas, problemas e soluções concretas sobre a aplicação da Lei durante o período eleitoral, como o envio de mensagens eletrônicas instantâneas aos eleitores e o uso da base de dados coletados antes da vigência da LGPD.
Dessa forma, o Guia objetiva trazer segurança jurídica aos agentes de tratamento e educar candidatos, coligações e partidos políticos dentro do contexto da LGPD, com foco, sobretudo, no cenário eleitoral de 2022.
ANPD aprova Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte
A Autoridade Nacional de Proteção de Dados aprovou, através da Resolução CD/ANPD nº 2/2022, publicada em 28 de janeiro, o Regulamento de aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte.
A Resolução, fruto da tomada de subsídios e das audiências públicas realizadas pela Autoridade em 2021, traz especificações relativas ao tratamento jurídico diferenciado e à dispensa ou flexibilização de obrigações oferecidas a microempresas, empresas de pequeno porte e startups que realizam tratamento de dados pessoais.
As especificações incluem critérios gerais e específicos para o tratamento de dados pessoais de alto risco; prazos diferenciados para atendimento de solicitações de titulares, para comunicação com a Autoridade e para fornecimento de declarações, documentos e demais informações solicitadas; e obrigações dos agentes de tratamento, incluindo obrigações relacionadas aos direitos dos titulares, registro das atividades de tratamento, comunicações dos incidentes de segurança, dentre outras.
No Dia Internacional da Proteção de Dados, ANPD publica Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público
Em 28 de janeiro, a ANPD celebrou o Dia Internacional da Proteção de Dados com a publicação do “Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público”, que busca auxiliar entidades e órgãos públicos nas atividades de adequação e implementação da Lei Geral de Proteção de Dados no âmbito do Poder Público.
O Guia traz breve explanação sobre a LGPD, as competências da ANPD e o conceito de Poder Público, bem como orientações sobre as bases legais mais comuns e princípios norteadores do tratamento de dados pessoais por órgãos públicos. São abordadas, também, as recomendações da Autoridade com relação às operações de compartilhamento e divulgação de dados pessoais pelo Poder Público.
ANPD abre inscrições para Tomada de Subsídios sobre a Norma do Encarregado pelo Tratamento de Dados Pessoais
A ANPD iniciou, em 18 de março, o processo de inscrições para a tomada de subsídios sobre a atuação do encarregado pelo tratamento de dados pessoais.
Realizada no início de abril, através de reuniões técnicas virtuais restritas a convidados selecionados, a tomada de subsídios objetivou reunir contribuições de especialistas externos com relação ao processo de regulamentação da norma sobre o encarregado nos termos da LGPD.
A ação estava prevista na Agenda Regulatória 2021-2022 da Autoridade, e buscou fomentar o debate de questões referentes a cinco blocos temáticos: 1) Características e Atribuições; 2) Formas de Atuação do Encarregado; 3) Terceirização e Responsabilização; 4) Informação de contato do encarregado, dispensa e flexibilização de indicação do encarregado; e 5) Setor Público.
Congresso Nacional promulga Emenda Constitucional que inclui a proteção de dados pessoais no rol de direitos fundamentais previstos na Constituição Federal
O Congresso Nacional promulgou, em 10 de fevereiro, a Emenda Constitucional (“EC”) 115, que inclui a proteção de dados pessoais, inclusive nos meios digitais, entre os direitos e garantias fundamentais previstos no artigo 5º da Constituição Federal. A norma teve origem na Proposta de Emenda à Constituição (“PEC”) 17/2019, apresentada pelo senador Eduardo Gomes (MDB-TO) e aprovada pelo Senado Federal em 2021. Além de tornar a proteção de dados pessoais um direito fundamental protegido pela Constituição Federal, a EC 115 também atribui à União competência privativa para legislar, organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da Lei Geral de Proteção de Dados (LGPD).
Elaboração: Equipe de Relações Governamentais da AJDC.
CASOS
Autoridade de Proteção de Dados da Áustria conclui que o tratamento de dados pessoais através do Google Analytics viola o GDPR
A organização não governamental None of Your Business (“NYOB”) publicou, em 13 de janeiro de 2022, decisão proferida pela Autoridade de Proteção de Dados da Áustria (Datenschutzbehörde – “DSB”) quanto ao tratamento de dados pessoais realizado por meio da utilização dos cookies da ferramenta Google Analytics pelo operador de um website austríaco.
Esta é a primeira decisão após 101 reclamações apresentadas pela NYOB a diversas autoridades europeias de proteção de dados sobre empresas que supostamente estariam sujeitando os dados pessoais de cidadãos da União Europeia à legislação de vigilância dos Estados Unidos. Isso teria ocorrido mediante a transferência internacional de tais dados ao Google LLC nos EUA por meio do uso da ferramenta Google Analytics em seus websites, violando o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e os requisitos definidos pelo Tribunal de Justiça da União Europeia (TJUE) no julgamento do caso Schrems II.
No presente caso, verificou-se que a transferência internacional de dados pessoais realizada pela empresa austríaca ao Google LLC teria sido fundamentada em cláusulas-padrão contratuais (Standard Contractual Clauses – SCC). Além disso, as partes também teriam implementado obrigações adicionais para garantir a proteção dos dados pessoais através de medidas organizacionais e técnicas complementares, incluindo a obrigação de (i) notificar os titulares de dados sobre pedidos de acesso por parte de autoridades governamentais dos EUA, (ii) publicar relatórios de transparência, (iii) desenvolver uma política específica para administrar os pedidos de acesso apresentados por autoridades do governo americano e (iv) avaliar cuidadosamente cada pedido apresentado por autoridades americanas.
No entanto, a DSB concluiu, em sua decisão, que o uso de cookies do Google Analytics por um website austríaco violava o GDPR uma vez que nem as cláusulas-padrão contratuais, nem as medidas complementares implementadas pelas partes, eram capazes de assegurar um nível de proteção adequado aos dados pessoais transferidos. Na decisão, a autoridade observou que a legislação de vigilância americana impõe às empresas sediadas naquele país a obrigação legal de conceder às autoridades públicas acesso irrestrito a quaisquer dados pessoais por ela armazenados para fins de segurança nacional.
Na decisão, a autoridade concluiu que o site austríaco (controlador) seria responsável pela violação ao Capítulo V do GDPR (que trata da transferência internacional de dados). A autoridade destacou tratará em uma decisão futura sobre possível violação do art. 5 c/c art. 28(3)(a) e art. 29 do GDPR pelo Google LLC (que tratam da obrigação do operador de seguir as instruções fornecidas pelo controlador para o tratamento de dados pessoais).
Para mais informações sobre a decisão proferida pelo TJUE no caso Schrems II, acesse o Boletim Informativo LGPD #10, de agosto de 2020.
CNIL condena Google e Facebook ao pagamento de EUR 210 milhões – aproximadamente BRL 1 bilhão – por violações às normas que regulamentam o uso de cookies
A Autoridade de Proteção de Dados da França (Commission nationale de l’informatique et des libertés – “CNIL”) anunciou, em 06 de janeiro de 2022, a imposição de multas no valor de EUR 90 milhões (cerca de BRL 457 milhões) ao Google LLC, EUR 60 milhões (cerca de BRL 305 milhões) ao Google Ireland Limited e EUR 60 milhões (cerca de BRL 305 milhões) ao Facebook Ireland Limited (atual Meta Platforms Ireland Limited) por dificultarem a recusa de seus usuários ao uso de cookies.
Após investigações, a CNIL concluiu que os websites das empresas (i.e., facebook.com, google.fr e youtube.com) não disponibilizavam aos seus usuários a possibilidade de aceitar ou recusar, com o mesmo grau de facilidade, o uso de cookies. De acordo com a autoridade, os usuários tinham de realizar vários cliques para recusar os cookies, mas apenas um único clique para consentir com o uso de todos os cookies. Além disso, a CNIL também constatou, com relação ao Facebook, que a empresa forneceu instruções confusas e pouco claras aos seus usuários sobre como recusar os cookies. Nesse sentido, a autoridade concluiu que os avisos de cookies e as práticas implementadas pelas empresas para obtenção do consentimento afetavam o livre consentimento de seus usuários quanto ao uso de cookies ao influenciar a escolha destes em favor do consentimento.
Além da aplicação de multas, a CNIL ordenou que as empresas disponibilizem aos usuários localizados na França, dentro do prazo de 3 meses, um meio para recusar o uso de cookies tão simples quanto o existente para aceitá-los, sob pena de multa diária no valor de EUR 100 mil (cerca de BRL 508 mil).
FTC celebra acordo com empresa de empréstimo online pelo tratamento ilegal de dados pessoais de consumidores
A Federal Trade Commission (“FTC”) anunciou, em 07 de janeiro de 2022, a celebração de acordo com a ITMedia Solutions LLC (“ITMedia”), uma empresa de empréstimo online sediada na Califórnia, após alegações de que uma empresa teria coletado indevidamente e compartilhado indiscriminadamente dados pessoais de consumidores (mutuários) sob o pretexto de conectá-los com potenciais financiadores (mutuantes).
De acordo com a denúncia apresentada pela FTC, a ITMedia e suas subsidiárias operavam diversos websites destinados a induzir os consumidores a fornecer seus dados pessoais através do preenchimento online de formulários de solicitação de empréstimo. Tal indução se daria por meio da falsa declaração de que tais dados apenas seriam compartilhados com uma “rede confiável de financiadores” para garantir ofertas de empréstimo. Após a investigação, a FTC verificou que a ITMedia vendia os dados pessoais como “leads” a diversas empresas, incluindo empresas de marketing, sem considerar se estas eram, de fato, financiadoras ou se utilizariam os dados pessoais para fins de concessão de empréstimos.
De acordo com a FTC, os dados pessoais coletados e compartilhados pela ITMedia incluíam informações de contato (i.e., nome, endereço residencial, endereço de e-mail e número de telefone), informações bancárias e de identificação (i.e., data de nascimento, número de previdência social, número de contas bancárias, carteira de habilitação e número de documento de identificação), informações sobre renda (i.e., se está empregado, há quanto tempo está empregado, onde trabalha, se possui imóvel ou carro, renda mensal e salário) e informações de crédito.
O acordo determina o pagamento de USD 1,5 milhão (cerca de BRL 7 milhões) a título de contribuição pecuniária, bem como proíbe a empresa de: (i) prestar declarações falsas aos consumidores, incluindo sobre como os seus dados pessoais serão utilizados; (ii) vender, transferir ou divulgar dados pessoais de consumidores a terceiros, salvo se o consumidor tiver solicitado um produto ou serviço financeiro e a venda, transferência ou divulgação for necessária para fornecer o produto ou serviço financeiro solicitado; e (iii) utilizar ou obter relatórios de consumidores para finalidades indevidas. Além disso, o acordo exige, em síntese, que a empresa apresente ao FTC relatórios de conformidade periodicamente, bem como registros de informações e documentos necessários para demonstrar conformidade com relação aos termos do acordo.
Tribunal de Illinois homologa acordo celebrado com o McDonald’s em ação envolvendo dados biométricos
O Tribunal do Condado de St. Clair (Illinois) homologou, em 28 de fevereiro, um acordo firmado com o McDonald’s em uma ação coletiva envolvendo alegações de que a empresa teria violado a Lei de Privacidade de Informações Biométricas de Illinois (“BIPA”). As violações teriam ocorrido em virtude da implementação de um sistema de ponto eletrônico a partir do qual os funcionários da cadeia de restaurantes McDonald’s deveriam escanear suas impressões digitais para fins de registro da jornada de trabalho. Além do sistema de ponto eletrônico, o McDonald’s também teria implementado uma tecnologia de autenticação biométrica a partir da qual os seus funcionários deveriam escanear suas impressões digitais para acessar as caixas registradoras.
Os autores da ação alegaram, em síntese, que a empresa violou a BIPA ao (i) não obter o consentimento expresso e informado de seus funcionários para coletar, armazenar e transferir seus dados biométricos a terceiros, incluindo outras empresas pertencentes ao McDonald’s; (ii) não providenciar informações acerca da finalidade do tratamento e do período de armazenamento dos dados biométricos; e (iii) não implementar e divulgar aos seus funcionários uma política de retenção e eliminação dos dados em questão.
O acordo prevê o pagamento do valor total de USD 50 milhões (cerca de BRL 235 milhões), incluindo indenizações aos funcionários, honorários advocatícios e demais despesas.
FTC celebra acordo com plataforma de saúde e bem-estar pelo tratamento ilegal de dados pessoais de crianças
A Federal Trade Commission (FTC) anunciou, em 04 de março, a celebração de um acordo com a WW International, Inc., anteriormente conhecida como Weight Watchers, e sua subsidiária Kurbo, Inc., após alegações de que as empresas teriam violado a Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA). A violação teria ocorrido com a coleta de dados pessoais de crianças sem o consentimento de seus pais ou responsáveis, bem como com a retenção de dados pessoais por período indeterminado.
As empresas WW International e Kurbo comercializam um aplicativo de saúde e bem-estar chamado Kurbo by WW, que pode ser utilizado por crianças a partir de oito anos de idade, adolescentes e adultos. O aplicativo coleta dados pessoais relativos ao consumo de alimentos, atividades físicas e peso do usuário, além de outras informações cadastrais, como nome, endereço de e-mail e data de nascimento.
Apesar do texto disponibilizado no aplicativo Kurbo by WW indicar que as crianças menores de 13 anos deveriam realizar o cadastro por meio de um de seus pais, a FTC concluiu que o aplicativo teria incentivado os usuários mais jovens a declararem falsamente que eram maiores de 13 anos. De acordo com a denúncia apresentada pela FTC, centenas de usuários que se cadastraram no aplicativo alegando ter mais de 13 anos de idade posteriormente mudaram suas datas de nascimento em seus perfis para indicar que eram na verdade menores de 13 anos. Além disso, a FTC concluiu que as empresas teriam deixado de implementar um mecanismo adequado para garantir que aqueles que escolheram a opção de cadastro por meio de um de seus pais fossem, de fato, pais e não uma criança tentando contornar a restrição de idade. Por fim, a FTC verificou que as empresas estariam armazenando os dados pessoais de crianças por um período indeterminado, apenas eliminando as informações quando solicitado por um dos pais.
O acordo determina o pagamento de USD 1,5 milhão (cerca de BRL 7 milhões) a título de contribuição pecuniária, bem como a eliminação de todos os dados pessoais coletados de crianças menores de 13 anos sem o consentimento dos pais. Além disso, o acordo proíbe as empresas de armazenar os dados pessoais coletados no futuro de crianças menores de 13 anos por mais de um ano após a data do último uso do aplicativo, bem como exige a destruição de quaisquer produtos e/ou algoritmos desenvolvidos por meio da utilização dos dados pessoais coletados de crianças menores de 13 anos sem o consentimento dos pais.
Autoridade de Proteção de Dados da Irlanda aplica multa ao Meta/Facebook por vazamentos de dados pessoais
A Comissão de Proteção de Dados da Irlanda (Data Protection Commission – “DPC”) anunciou, em 15 de março, a aplicação de multa no valor de EUR 17 milhões (cerca de BRL 86,5 milhões) ao Facebook Ireland Limited (atual Meta Platforms Ireland Limited) por violações ao Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”).
A decisão resulta de investigação instaurada pela autoridade para apurar doze notificações de incidentes de vazamento de dados pessoais apresentadas ao longo de um período de seis meses, entre 7 de junho de 2018 e 4 de dezembro de 2018. Após a investigação, a DPC concluiu que o Facebook teria violado princípio da responsabilização e prestação de contas (accountability) previsto no GDPR por não dispor de medidas organizacionais e técnicas adequadas para demonstrar prontamente as medidas de segurança implementadas na prática para proteger os dados de usuários localizados na União Europeia.
Devido à natureza transfronteiriça das atividades de tratamento de dados do Facebook, a decisão proferida pela DPC foi submetida à revisão por autoridades reguladoras de outros Estados-membros da União Europeia. Embora duas autoridades europeias tenham apresentado objeções à minuta de decisão proposta pela autoridade irlandesa, o consenso foi alcançado através de um maior engajamento entre a DPC e as demais autoridades.
Elaboração: Equipe de Proteção de Dados da AJDC
Responsáveis:
Ademir Antonio Pereira Jr, Doutor em Direito (USP), LLM em Direito, Ciência e Tecnologia (Stanford).
Telefone: + 55 11 3030-9007
E-mail: apj@ajdc.com.br
Luiz Felipe Rosa Ramos, Doutor em Direito (USP), Fox International Fellow (Yale) e CIPP/E.
Telefone: + 55 11 3030-9000
E-mail: lfr@ajdc.com.br