Privacy & Data: Beyond The CCPA

As the proliferation of connected devices, applications and other technology continues, the opportunities for the use and misuse of consumer data have also grown. With new and massive data breaches constantly entering the news cycle, lawmakers are responding to demands for privacy and data security.

The recent focus of privacy professionals in the United States has overwhelmingly been on the California Consumer Privacy Act (CCPA), particularly the release of the final regulations implementing the CCPA.

Amid the attention-grabbing CCPA headlines, businesses must not lose sight of other state laws that have recently passed, as well as legislation on the horizon. As reported by the National Conference of State Legislatures, more than half of U.S. states introduced consumer data privacy legislation and 43 states considered bills addressing cybersecurity in 2019.

Some of the new laws and proposed bills are summarized below and represent broader legislative trends that will likely continue into the new decade.

Is a federal US data protection regime closer than we thought?

The question of whether the US needs a federal data protection law is not new, but the COVID-19 pandemic, among other factors, has shifted the debate. Discussion over whether a unified response on data protection would clarify how citizens’ data can be used for COVID-19 contract tracing and to strengthen control over how tech giants use citizens’ data has increased support for a federal law among both citizens and businesses. “The current moment feels different as several trends are coalescing to change the privacy zeitgeist and give multiple constituencies reasons to support federal action,” says Alan Raul, leader of Sidley Austin’s privacy and cybersecurity group in Washington, DC.

[EUA] Chefe da polícia de Detroit admite taxa de erro de 96% em software de reconhecimento facial

Via Semanário InternetLab.

No dia 29.06.2020, o chefe da polícia de Detroit, James Craig, admitiu que a tecnologia de reconhecimento facial identifica suspeitos incorretamente 96% das vezes, conforme reportado pelo site Vice. O chefe da polícia de Detroit afirmou que se fosse usado exclusivamente o software de reconhecimento facial, “não seria possível resolver os casos 95-97% das vezes”. O pronunciamento foi realizado após a ACLU, a American Civil Liberties Union, apresentar uma reclamação contra o Departamento Policial de Detroit por terem prendido Robert Williams, com base em uma previsão errada feita por um algoritmo de reconhecimento facial. James Craig, o chefe do departamento de polícia, defendeu que nenhuma prisão deve ocorrer exclusivamente com base nos softwares de reconhecimento facial e afirmou, ainda, que a prisão de Williams não foi baseada apenas no algoritmo. Craig, no entanto, disse que quer continuar a usar o reconhecimento facial, pois afirma que a tecnologia pode ajudar os investigadores, ainda que não leve a prisões.

[Estados Unidos] Em Nova York, grupos civis entregam petição pedindo o fim da vigilância facial

Via Semanário InternetLab.

No dia 02.03.2020, a Electronic Frontier Foundation (EFF), em coalização com outros doze grupos de defesa das liberdades civis, entregou uma petição ao Conselho da Cidade de Nova York pedindo o fim do uso de tecnologia de vigilância facial por autoridades policias e agentes governamentais. Segundo a EFF, o uso de vigilância facial viola o direito à privacidade, estabelecido na Quarta Emenda, e o direito à liberdade de expressão e associação, previsto na Primeira Emenda. Com a petição, os grupos civis pediram que Corey Johnson, presidente do Conselho da Cidade, permita que a Lei de Transparência em Supervisão e Vigilância Policial (POST Act) seja apresentada para votação. A POST Act é um projeto de lei que exige que o Departamento de Polícia de Nova York relate e avalie todas as tecnologias de vigilância que pretende adquirir ou usar, incluindo descrição do equipamento, diretrizes de uso e medidas de segurança projetadas para proteção de dados. Além das organizações, a petição contou com a assinatura de mais de duzentos cidadãos de Nova York.

Utilizadores do Google no Reino Unido vão perder o direito à proteção de dados da UE

Com a saída do Reino Unido da União Europeia (UE), a Google decidiu que vai colocar as contas dos utilizadores britânicos do motor de busca sob jurisdição dos Estados Unidos (EUA).

[EUA] Senator calls for dedicated US data protection agency

At the moment, the US doesn’t have a single body dedicated to enforcing privacy rules. It’s a side-mission at the Federal Trade Commission (FTC), which is limited in its approach.

Under Section 5 of the FTC Act, it can’t issue fines for privacy violations immediately. Instead, it has to issue a consent decree (the violator has to agree that it won’t be naughty again) and it can only fine a company if it violates that decree. That’s why it didn’t fine Facebook for privacy infractions in 2011 but did levy a $5bn fine last year.

[EUA] Facebook faz acordo de US$ 550 milhões em processo sobre reconhecimento facial

Fonte: Semanário InternetLAB

No dia 29.01.2020, o Facebook anunciou que chegou a um acordo de US$ 550 milhões referente a ação coletiva sobre o uso de tecnologia de reconhecimento facial em Illinois (ação nº 15-cv-03747-JD). O processo teve início em 2015, quando usuários acusaram a plataforma de violação da Lei de Privacidade de Informações Biométricas de Illinois pelo Tag Suggestionsserviço de marcação da plataforma que usa um software de reconhecimento facial para sugerir correspondências de rostos. Segundo a acusação, o Facebook violou a lei de privacidade do estado americano ao coletar dados faciais sem o consentimento do usuário e por não informar por quanto tempo os dados seriam armazenados. Em sua defesa, a empresa alegou que processos por violações de lei de privacidade só deveriam ocorrer se houvesse prova de danos concretos. A Suprema Corte americana, contudo, negou o recurso. Nathan Wessler, advogado da União de Liberdades Civis (ACLU), afirmou que “os tribunais reconheceram que  a própria perda de controle sobre essas informações altamente pessoais e altamente sensíveis causa danos às pessoas”. O acordo feito pelo Facebook foi um dos maiores pagamentos por violação de privacidade da história dos Estados Unidos.