A UK Adequacy Decision is (even) More Uncertain due to Recent CJEU Rulings on EU Privacy Law

Mass surveillance conducted by European Union (EU) Member State national security services should operate within the bounds of the EU’s privacy laws. The Court of Justice of the European Union (CJEU) recently delivered two landmark decisions involving the UK, France and Belgium where national governments have access to individuals’ data in circumstances where national security is at risk. This may have significant impact on the European Commission’s adequacy determination for the UK after they leave the EU in January 2021. In this briefing we explore the judgments of the CJEU and their effects on Privacy law and on the UK.

Proceed With Caution When Remotely Monitoring Employees in the EU

One effect of COVID-19 has been a sharp increase in businesses’ use of remote surveillance solutions to protect corporate resources and monitor the productivity and behavior of employees who will be working from anywhere but the office for the foreseeable future. Although such tools can provide valuable performance insights and mitigate data loss and other risks, they can also significantly increase a business’s legal risk.

This is especially true for businesses with employees working in the EU, where employee privacy is typically protected to a much greater extent than in the United States. Indeed, the German subsidiary of international retailer H&M recently learned a €35.3 million (approximately $41 million) lesson about these legal risks after being fined by a supervisory authority in connection with a workforce monitoring program that “led to a particularly intensive encroachment on employees’ civil rights.”

Employers are permitted to monitor EU employees at work, as long as they comply with the laws and regulations of both the EU and individual Member States. This includes the EU’s General Data Protection Regulation (GDPR), which applies to any U.S. or multinational business that has employees in, or monitors the behaviors of, individuals in the EU.

Remote surveillance solutions increasingly offer sophisticated features that promise—among other things—to identify suspicious activity, detect potential insider threats, and provide real-time alerts about employee behaviors. But automated technologies that generate insights or conclusions about employees based on data collected from employer-monitored systems, networks, and connected endpoints can generate additional risk because the GDPR (as well as the laws of some individual Member States) provides protections for individuals subject to automated decision making and profiling.

Further, the use of employee surveillance solutions powered by Artificial Intelligence (AI) and Machine Learning (ML) technologies may trigger additional compliance requirements under the GDPR. We will explore those issues and others, and offer risk mitigation strategies that employers should consider before monitoring employees in the EU.

Health Data Made in France- Is France Moving Towards a Sovereign Cloud Requirement for Health Data?

Since the decision of the European Court of Justice (“ECJ”) in the Schrems II case, transfers of personal data from the EU to the United States have been under scrutiny. The ECJ reviewed the situation where personal data are sent from an EU affiliate to its U.S. headquarters as part of how the company structured its business-as-usual practices. But what the ECJ did not consider is whether the mere fact that an EU company is affiliated with a U.S.-headquartered company is problematic, even if no transfer of personal data to the United States takes place.

Whether merely being affiliated with a U.S.-headquartered company is a problem from a data transfer perspective is precisely what a number of associations (“claimants”) and the French data protection authority (“CNIL”) argued in a recent appeal before the French Council of State. This question arose in the context of a case involving Microsoft Ireland in respect of its hosting of French public health data. The claimants and the CNIL argued that any affiliation of an EU hosting provider, in this case Microsoft Ireland, with a U.S. parent company, in this case Microsoft U.S., is in and of itself problematic. The claimants and the CNIL contended that because of such affiliation, U.S. authorities could have jurisdiction over data held by Microsoft Ireland in the EU. As a result, the claimants called for the immediate suspension of the use of Microsoft Ireland, even though Microsoft Ireland had already committed to storing the data in a pseudonymized form in the EU. The French Council of State, however, denied the immediate suspension of the use of Microsoft. While this seems like a good outcome for transatlantic commerce, the Council’s decision suggests that in the future, organizations will be required to use a French-based cloud solution. We provide further details below.

A Lei Geral de Proteção de Dados Pessoais nos setores condominial e imobiliário

A regulamentação das políticas de uso de dados, por meio de uma lei específica, há muito tempo vinha sendo discutida no Brasil, o que resultou na aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), em 14 de agosto de 2018, influenciada pela GDPR (General Data Protection Regulation), que regulamenta a temática da proteção dos dados nos países europeus e está em vigor desde maio de 2018.

Em vigor desde agosto deste ano, a nova lei impacta diversos setores da sociedade, que precisam se adequar às novas regras, como as administradoras de condomínio e imobiliárias, que necessitam cuidar dos dados dos condôminos, locadores e locatários – sendo, em alguns casos, considerados como dados pessoais sensíveis.

Proposta fixa regras para uso de dados pessoais do consumidor por empresas de proteção ao crédito

O Projeto de Lei 4374/20 fixa uma série de regras para o uso e o compartilhamento dos dados de consumidores pelas empresas de proteção ao crédito. A proposta em análise na Câmara dos Deputados insere as medidas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/18).

Hoje a LGPD autoriza a coleta e tratamento de dados de consumidores para fins de proteção ao crédito, mas não especifica quais dados podem ser utilizados. O texto veda a utilização de dados de comunicação do consumidor em redes sociais; a interceptação de mensagens privadas enviadas por correio eletrônico e aplicativos para celulares; e a coleta de dados por meio de ferramentas de rastreamento de navegação na internet – os chamados cookies.

Assim, os serviços de proteção a crédito somente poderão usar informações fornecidas pelas empresas que efetuarem registro do inadimplemento do consumidor. Essas empresas também só poderão fornecer informações relacionadas ao contrato ou transação não cumprido.

“Os serviços de proteção ao crédito existentes no Brasil, na atualidade, são empresas privadas e, portanto, realizam profundas investigações sobre a vida financeira dos consumidores para atender aos interesses de seus clientes, os bancos”.

Deputado Wolney Queiroz (PDT-PE).

O projeto também altera Lei do Cadastro Positivo (Lei 12.414/11), para adaptá-la à Lei Geral de Proteção de Dados. Segundo o parlamentar, a lei atual permite que serviços de proteção ao crédito forneçam livremente todos os dados de que dispõem sobre os consumidores.

Pela proposta, as empresas de proteção ao crédito deverão manter sigilo sobre as informações de contato do cadastrado, incluídos endereços residenciais e profissionais, telefones, correio eletrônico e outros meios de comunicação que possam ser utilizados para envio de propaganda e contatos por telemarketing.

O cadastro do consumidor inadimplente não poderá conter ainda histórico de compras efetuadas por meio de pagamento eletrônico; patrimônio do consumidor; ou movimentação bancária em conta corrente, investimentos e empréstimos.

Além disso, o projeto exclui trecho da Lei do Cadastro Positivo que proíbe que as fontes de informação criem regras que limitem o acesso aos bancos aos dados dos consumidores cadastrados. Wolney Queiroz considera “alarmante” esse trecho da lei.

Segundo ele, isso “contraria frontalmente os princípios da Lei Geral de Proteção de Dados Pessoais”, ao obrigar o compartilhamento de todas as informações contidas nos bancos de dados. Conforme o deputado, o princípio da segurança dos dados previsto LGPD hoje está invertido. “Ao invés de se protegerem os dados pessoais, os gestores de banco de dados são obrigados a difundi-los”, critica.

Fonte: Agência Câmara de Notícias

799 data breaches notified by Government departments in 2019

The Department of Social Protection was responsible for nearly half the data protection breaches notified by Government departments across the whole of last year.

However, the department, currently headed up by Fine Gael’s Heather Humphreys, declined to outline how many of these breaches were brought before the Data Protection Commission (DPC), the only government department to do so.

The DPC is the independent regulator responsible for the adjudication on all such breaches involving people’s personal data.

WhatsApp Ireland sets aside €77.5m for possible data compliance fines

The Irish arm of messaging platform WhatsApp recorded an €11.2 million loss last year after setting aside €77.5 million to cover possible fees linked to an investigation undertaken by the Irish Data Protection Commissioner.

The Facebook-owned company established an Irish subsidiary in 2017. Its key role is acting as the data controller for European users of the WhatsApp service, and for the provision of services to other group entities.

Covid-19: vazamento na Saúde expõe dados de 16 milhões de pessoas

Pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde, revela nesta quinta-feira (26) o jornal O Estado de S. Paulo.

Entre as pessoas com informações expostas estão o presidente Jair Bolsonaro, os ministros Eduardo Pazuello (Saúde), Onyx Lorenzoni (Cidadania), Damares Alves (Mulher, Família e Direitos Humanos), o governador João Doria (PSDB-SP) e os presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).

Vazamento de dados pessoais de 300 mil clientes da Enel

No dia nove de novembro a concessionária de energia, Enel Distribuição São Paulo, divulgou em comunicado oficial o vazamento de dados de 300 mil clientes devido à um ataque hacker. De acordo com a empresa, as informações pessoais vazadas incluem nomes completos, CPFs, números de contas bancárias, endereços, números de telefones, consumo de eletricidade, entre outros. 

A Enel informou também que já estaria realizando um processo de verificação interna, além de contatar autoridades e as pessoas atingidas. O vazamento teria afetados apenas os consumidores da área de Osasco, em São Paulo. 

LGPD: Instrução Normativa define requisitos para “DPO” em Órgãos Públicos

Na última sexta-feira, dia 20-nov-2020, a Secretaria de Governo Digital do Ministério da Economia publicou em Diário Oficial da União a Instrução Normativa 117, com requisitos e procedimentos para a indicação de Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

Segundo a Instrução Normativa, deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público. Para que se evite situações de conflito de interesses, o encarregado indicado pelo órgão não deve estar lotado nas unidades de Tecnologia da Informação (TI) ou ser gestor de sistemas da entidade.