TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL APLICA LEI GERAL DE PROTEÇÃO DE DADOS À SERASA EXPERIAN

O Tribunal de Justiça do Distrito Federal e Territórios (TJDFT) decidiu suspender a venda de dados pessoais de consumidores pela empresa Serasa Experian. A decisão foi proferida em antecipação de tutela requerida pelo Ministério Público do Distrito Federal (MPDFT).

A Ação Civil Pública que ensejou a decisão do TJDFT foi apresentada pela Unidade Especial de Proteção de Dados e Inteligência Artificial do MPDFT, após ter identificado que a empresa requerida, Serasa Experian, vende os dados pessoais de consumidores cadastrados, por R$ 0,98 por pessoa. De acordo com a investigação, são vendidas informações como nome, endereço, CPF, números de telefone, localização, perfil financeiro, poder aquisitivo e classe social. Os dados são vendidos pela empresa para fins de publicidade e para empresas interessada em captação de clientes, através de produtos como “Lista Online” e “Prospecção de Clientes”.

Experian: Credit agency told to stop sharing data without consent

Credit reference agency Experian has been sharing the personal information of millions of people without consent and must stop, the UK’s information commissioner has ruled.

The firm sold on the data to businesses that used it to identify who could afford goods and services, as well as to political parties.

The company must make “fundamental changes” to how it handles data or face a huge fine, the watchdog said.

Experian has said it will appeal.

ICO Issues British Airways With A Ground-breaking Fine

On 16 October 2020, The Information Commissioner’s Office (the “ICO”) imposed a monetary penalty notice fining British Airways Plc (“BA”) £20million for breaching its data security obligations under the General Data Protection Regulation (the “GDPR”) when they faced a cyber-attack in 2018. This is the ICO’s largest fine to date and the amount imposed was a significant reduction on the £183.39 million the ICO announced that it intended to fine BA back in July 2019.

Facebook Appeals Order From Irish Data Protection Commission

In August 2020, the Irish Data Protection Commission (the “DPC”) issued a preliminary order to Facebook requiring Facebook to suspend data transfers to the U.S. that involve personal data of EU residents. This is the DPC’s first action to enforce the Schrems II  ruling issued by the Court of Justice of the European Union (“CJEU”).

€35 Million Fine Issued Under GDPR For Employee Monitoring And IT Security Failings In Germany

During the COVID-19 pandemic, data privacy – and, in particular, employee data privacy – has been at the forefront of employers’ minds.  In the last six months, employers across the globe have been required to give careful thought to a whole host of potential issues, from contact tracing apps to temperature and other health checks in the workplace, as well as processing an increasing volume of health data of its staff. Whilst not COVID-19 related, a recent decision from the Hamburg Commissioner for Data Protection and Freedom of Information in Germany (the “Commissioner”) is an important reminder of the very significant financial and reputational sanctions an employer may face if it does not take appropriately collect, retain and protect employee personal data in line with GDPR.

A Cautionary Tale of Data Breeches and the GDPR after Hacker Steals Extremely Sensitive Data of 40.000 Psychotherapy Patients

In November 2018, a data security vulnerability in the systems of Vastaamo Oy (“Vastaamo”), a major provider of psychotherapy services in Finland, led to the names, personal identity numbers, and patient records of at least 40.000 patients being stolen by an unknown hacker.

Justiça de Brasília impede comercialização de bancos de dados e cadastros no Mercado Livre

via Semanário InternetLab

No dia 15.10.2020, a 17ª Vara Cível de Brasília deferiu pedido de tutela de urgência do Ministério Público do Distrito Federal e dos Territórios (MP-DFT) para impedir comercialização de dados pessoais no Mercado Livre. De acordo com a decisão, o MP-DFT identificou que um usuário estaria ofertando no Mercado Livre bancos de dados e cadastros em geral de brasileiros por R$ 500,00. Em razão disso, ajuizou ação civil pública, com fundamento na Constituição Federal (CF) e na Lei Geral de Proteção de Dados Pessoais (LGPD). Ao analisar o pedido, o juiz Caio Sembongi, da 17ª Vara Cível de Brasília, entendeu que os elementos presentes nos autos demonstram a comercialização maciça de dados pessoais – informações relacionadas à pessoa natural identificada ou identificável –, em infração às normas constitucionais sobre inviolabilidade do sigilo de dados e sobre respeito à privacidade. Além disso, o magistrado destacou que inexistem indícios de consentimento dos titulares dos dados quanto à comercialização, o que tornaria o tratamento irregular, nos termos do art. 44 da LGPD. Assim, o juiz determinou a interrupção da disponibilização, de forma gratuita ou onerosa, digital ou física, de dados pessoais de quaisquer indivíduos, sob pena de multa no valor de R$ 2.000,00, e o fornecimento, pelo Mercado Livre, dos dados cadastrais do usuário responsável pela comercialização.

[União Europeia] Tribunal de Justiça considera ilegal leis nacionais de retenção massiva de dados de comunicação

via Semanário InternetLab

No dia 06.10.2020, o Tribunal de Justiça da União Europeia (CJEU) decidiu que Reino Unido, França e Bélgica devem respeitar a legislação da União Europeia na coleta e retenção de dados de telecomunicação. De acordo com a decisão da corte europeia, as leis nacionais que exigem que as aplicações de serviços de telecomunicações retenham e transmitam indiscriminadamente dados de tráfego e dados de geolocalização com o objetivo de combate ao crime ou de proteção à segurança nacional violam a legislação da União Europeia e, portanto, são ilegais. No entanto, a corte permitiu que o Estado-Membro, em caso de “ameaça grave à segurança nacional que se revele genuína e presente ou previsível”, poderá derrogar a obrigação de garantir a confidencialidade dos dados relativos às comunicações e requerer, por meio de medidas legislativas, a retenção geral e indiscriminada de dados de telecomunicações “por período limitado e estritamente necessário”, que pode ser estendido se a ameaça persistir. Nos casos de combate à criminalidade grave e a graves ameaças à segurança pública, o Estado-Membro pode prever, também, a coleta e retenção seletiva dos dados de comunicação. De acordo com a decisão, a coleta e retenção massiva de dados deve ser acompanhada de salvaguardas eficazes e ser revista pelo poder judiciário ou por autoridades administrativas independentes. A decisão foi proferida no âmbito dos processos C-623/17 (referente ao caso britânico), movido pela organização Privacy InternationalC-511/18 e C-512/18 (relativo ao caso francês); e C-520/18 (sobre a Bélgica), movidos pela La Quadrature du Net. De acordo com a Privacy International, a coleta em massa de dados viola direitos fundamentais como a privacidade, proteção de dados e liberdade de expressão, garantidos nos artigo 7, 8 e 11 da Carta de Direitos Fundamentais da União Europeia. A La Quadrature du Net avaliou a decisão como uma “derrota vitoriosa”, pois embora a França não possa mais impor a obrigação de retenção em massa de metadados, as exceções previstas pela Corte “reduzem a eficácia do direito à privacidade e inevitavelmente levarão a abusos”.