ICO Draft Statutory Guidance On Regulatory Action

The Information Commissioner’s Office (ICO) has published for consultation its draft “Statutory guidance on our regulatory action” detailing how it will exercise its regulatory functions when issuing information notices, assessment notices, enforcement notices and penalty notices. The document sets out the ICO’s risk-based approach to taking regulatory action against organisations and individuals that have breached data protection law. The ICO’s focus is on the areas of highest risk and most harm. The guidance sets out the principles the ICO will apply along with details of the nature of the ICO’s various statutory powers and how it will exercise them in a “fair, proportionate and timely” manner to guarantee that individuals’ rights are properly protected. It also sets out how the ICO will deal with privileged communications. The consultation closes on 12 November 2020.

[Reino Unido] Investigação não encontra ilegalidades da Cambridge Analytica em campanhas políticas

via Semanário InternetLab

No dia 06.10.2020, Elizabeth Denham, chede da autoridade britânica de proteção de dados, divulgou a conclusão da investigação da ICO (Information Commissioner’s Office) sobre o uso de dados pessoais em campanhas políticas. Em 28.10.2018, a agência havia multado o Facebook em 500 mil libras por vazamentos de dados ligados à Cambridge Analytica. Desde então investigações vinham sendo conduzidas pelo órgão para identificar ilegalidades na atuação da empresa de consultoria. Em carta enviada pela autoridade ao Parlamento Inglês, Denham afirma que foram analisados 42 laptops e computadores, 700 TB de dados, 31 servidores, mais de 300.000 documentos e uma ampla gama de materiais físicos e armazenados na nuvem. No entanto, após três anos de investigação, não foram encontradas evidências de ilegalidades. A investigação também concluiu que os dados não foram utilizados para influenciar o resultado do Referendo do Brexit. Segundo Denham, a “investigação foi concluída, mas nosso trabalho nesta área não termina aqui”. A Comissária informou que em breve publicará um relatório das auditorias realizadas pelo ICO aos partidos políticos, bem como fará atualizações nas orientações sobre campanhas políticas ainda esse ano.

Automated decision-making: Uber drivers claim they are de-activated automatically without ability to object in non-compliance with GDPR

Uber drivers from across Europe have bought a claim in the Netherlands (where Uber’s data is based)against Uber claiming that Uber has breached GDPR.

Article 22 GDPR states that, with limited exceptions, data subjects have the right not to be subject to an entirely-automated decision which affects their legal rights. If such an automated decision is made, the data subject shall have the right to an explanation about how the decision was made and to contest the decision.

Proposta quer instalar sistema monitoramento em escolas da educação básica

via Semanário InternetLab

No dia 07.10.2020, foi apresentado pelo deputado Deuzinho Filho (Republicanos/CE) o Projeto de Lei nº 4.858/2020, que estabelece um “sistema permanente de vigilância eletrônica” nas escolas públicas e privadas de educação básica. Segundo a redação do PL, o monitoramento deve ser realizado em salas de aulas, bibliotecas, parques e demais espaços comuns das escolas, vedando o monitoramento em banheiros de uso individual ou coletivo. O projeto também prevê a possibilidade de acesso às imagens para verificação de qualquer ilícito ou ocorrência de danos pessoais por qualquer responsável que tenha seu filho matriculado na escola em questão. De acordo com o deputado, em sua justificativa, “os espaços urbanos, incluindo as escolas, têm revelado um cenário insustentável de insegurança e medo, onde são praticados diferentes tipos de violência”, de forma que a presença de câmeras nestes ambientes inibiriam ações que fogem da lei.

Use of Aggregated Data in Artificial Intelligence Solutions

The use of aggregated data by technology service providers is quite common in today’s landscape, and something that even traditionally cautious customers have become amenable to in the right circumstances and subject to proper limitations. As widespread adoption of artificial intelligence (AI) technology continues, providers and customers of AI solutions should carefully consider the proper scope of aggregated data use in the design and implementation of the AI solutions.

What Future For UK-EU Data Flows?

With the Brexit transition period ending on 31 December 2020, and no deal in sight, the future of cross-border data transfers between the European Economic Area (the EEA) and the United Kingdom remains unclear. On 1 January 2021, the United Kingdom will be considered as a “third country” and, unless a Brexit deal is proposed dealing with data protection and how data transfers between the EEA and the United Kingdom are to be treated, it could be significantly more difficult for European Union (EU)-based entities to transfer personal data to the United Kingdom.

Rede D’Or prioriza adequação à LGPD

Com mais de 50 hospitais e 40 clínicas oncológicas, o grupo contratou ferramentas para realizar o mapeamento e fluxos de dados pessoais, gerenciamento do consentimento de pacientes, atendimento aos titulares, gestão de cookies e políticas em todos os portais do grupo junto à Privacy Tools, uma PrivacyTech brasileira.

Continue lendo…

How to gain true compliance with cookie requirements

In terms of core requirements, the European Court of Justice made it clear in its 2019 Planet 49 judgment (in line with the EU General Data Protection Regulation and ePrivacy Directive) that for EU website visitors, informed and affirmative consent is required prior to placing all but “essential” cookies. The California Consumer Privacy Act, on the other hand, requires notice of what personal data is being collected by cookies, but rather than consent, organizations need only allow visitors to opt out of the sale of their personal data, which may include exchanges of value based on personal data collected by cookies.

Justiça multa Lenovo em R$ 6 mil por trocar placa de celular e expor dados pessoais de cliente

A Lenovo Tecnologia terá que indenizar uma consumidora que teve a placa de memória de seu celular instalada no aparelho de outra pessoa. O entendimento da 6ª Turma Cível do TJDFT é de que, por conta da má-prestação do serviço, os dados da cliente foram expostos, o que provocou dano ao direito de personalidade. Por unanimidade, a Turma manteve a condenação por danos morais e fixou multa em R$ 6 mil.

Continue lendo…