Chrome vai fechar o cerco contra extensões que usam dados desnecessariamente

O Google já vem prometendo mais privacidade em seu navegador há um tempo. O movimento mais recente é a introdução de uma política que vai exigir que as extensões no Chrome Web Store informem como os dados dos usuários são utilizados.

A partir de janeiro de 2021, os criadores deverão detalhar o tipo de informação que está sendo coletada. Eles também estarão proibidos de vender dados a terceiros ou utilizá-los para qualquer outro propósito não especificado.

Privacy & Data: Beyond The CCPA

As the proliferation of connected devices, applications and other technology continues, the opportunities for the use and misuse of consumer data have also grown. With new and massive data breaches constantly entering the news cycle, lawmakers are responding to demands for privacy and data security.

The recent focus of privacy professionals in the United States has overwhelmingly been on the California Consumer Privacy Act (CCPA), particularly the release of the final regulations implementing the CCPA.

Amid the attention-grabbing CCPA headlines, businesses must not lose sight of other state laws that have recently passed, as well as legislation on the horizon. As reported by the National Conference of State Legislatures, more than half of U.S. states introduced consumer data privacy legislation and 43 states considered bills addressing cybersecurity in 2019.

Some of the new laws and proposed bills are summarized below and represent broader legislative trends that will likely continue into the new decade.

[União Europeia] Tribunal de Justiça considera ilegal leis nacionais de retenção massiva de dados de comunicação

via Semanário InternetLab

No dia 06.10.2020, o Tribunal de Justiça da União Europeia (CJEU) decidiu que Reino Unido, França e Bélgica devem respeitar a legislação da União Europeia na coleta e retenção de dados de telecomunicação. De acordo com a decisão da corte europeia, as leis nacionais que exigem que as aplicações de serviços de telecomunicações retenham e transmitam indiscriminadamente dados de tráfego e dados de geolocalização com o objetivo de combate ao crime ou de proteção à segurança nacional violam a legislação da União Europeia e, portanto, são ilegais. No entanto, a corte permitiu que o Estado-Membro, em caso de “ameaça grave à segurança nacional que se revele genuína e presente ou previsível”, poderá derrogar a obrigação de garantir a confidencialidade dos dados relativos às comunicações e requerer, por meio de medidas legislativas, a retenção geral e indiscriminada de dados de telecomunicações “por período limitado e estritamente necessário”, que pode ser estendido se a ameaça persistir. Nos casos de combate à criminalidade grave e a graves ameaças à segurança pública, o Estado-Membro pode prever, também, a coleta e retenção seletiva dos dados de comunicação. De acordo com a decisão, a coleta e retenção massiva de dados deve ser acompanhada de salvaguardas eficazes e ser revista pelo poder judiciário ou por autoridades administrativas independentes. A decisão foi proferida no âmbito dos processos C-623/17 (referente ao caso britânico), movido pela organização Privacy InternationalC-511/18 e C-512/18 (relativo ao caso francês); e C-520/18 (sobre a Bélgica), movidos pela La Quadrature du Net. De acordo com a Privacy International, a coleta em massa de dados viola direitos fundamentais como a privacidade, proteção de dados e liberdade de expressão, garantidos nos artigo 7, 8 e 11 da Carta de Direitos Fundamentais da União Europeia. A La Quadrature du Net avaliou a decisão como uma “derrota vitoriosa”, pois embora a França não possa mais impor a obrigação de retenção em massa de metadados, as exceções previstas pela Corte “reduzem a eficácia do direito à privacidade e inevitavelmente levarão a abusos”.

[Educação] Proposta quer estabelecer diretrizes para tratamento de dados pessoais nas ferramentas de ensino à distância

Via Semanário InternetLab

No dia 23.09.2020, o deputado Danilo Cabral (PSB/PE) apresentou na Câmara dos Deputados o Projeto de Lei nº 4695/2020, que altera a Lei 9.394/2020, para estabelecer diretrizes para o tratamento de dados pessoais em plataformas tecnológicas de ensino à distância. O projeto acrescenta na lei que estabelece diretrizes e bases da educação nacional um dispositivo prevendo que plataformas de ensino à distância deverão observar os requisitos de tratamento de dados pessoais da Lei Geral de Proteção de Dados (LGPD). O texto determina ainda que as plataformas de ensino à distância devem garantir, sempre que possível, o uso da tecnologia sem o fornecimento e compartilhamento de dados pessoais e a não coleta e disponibilização de dados sensíveis. Além disso, as plataformas também devem garantir que a coleta de dados de pais, alunos e profissionais da educação só será feita mediante consentimento e que os dados serão armazenados em território nacional, só podendo ser usado para treinamento de sistemas de inteligência artificial mediante expresso consentimento do titular.

[livro] LGPD: Aplicação prática das bases legais

Coord. Fernanda Maia | por LGPD Acadêmico | licenciado em CC-BY 4.0

Diante da publicação da Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709 de 2018,foi identificada a necessidade direta da sociedade civil, entidades privadas e públicas–independente do seu porte–, profissionais, dentre outros, por conhecimento e acesso a informações relevantes sobre a temática de privacidade e proteção de dados pessoais.

O LGPD Acadêmico decidiu reunir neste material acessível e gratuito o conhecimento e experiência prática de cada autora, utilizando uma linguagem simples e evitando o famoso “juridiquês”, recorrendo a termos técnicos somente quando necessário.

Nota técnica da Comissão de Proteção de Dados e Privacidade da OAB/RJ sobre o Artigo 25 do Projeto de Lei nº 1179, de 2020

A Lei Geral de Proteção de Dados Pessoais – LGPD permite o compartilhamento de dados de saúde (dados considerados sensíveis) sem o consentimento dos titulares, nos termos do art. 11, inciso II, para: – “tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos” (item b); – “tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária” (item f); – “proteção da vida ou da incolumidade física do titular ou de terceiro para finalidades de tutela da saúde pública” (item e).

Proteção de dados à deriva: O difícil equilíbrio entre controle e privacidade

Levantamento recente identificou novas medidas de rastreamento digital em 20 países após o início da pandemia de covid-19. A implementação de soluções tecnológicas para o combate ao seu avanço tem colocado em evidência uma controvérsia aguda envolvendo controle estatal, privacidade e proteção de dados. Não que o assunto não fosse discutido antes. Mas, com o emprego de tecnologias de monitoramento via geolocalização e reconhecimento facial em larga escala em lugares como China, RússiaCoreia do Sul, Itália, Bélgica, dentre outros, o tema aflorou com imediata importância.

Aplicação da LGPD nas redes sociais

Faltando pouco mais de sete meses para a entrada em vigor da Lei nº 13.709/18, a Lei Geral de Proteção de Dados, muitos questionamentos ainda rondam as meditações dos profissionais de privacidade, não faltando indagações e provocações a nos tirarem o sono. Ante a ausência de uma Autoridade Nacional atuante, algumas lacunas devem ser supridas pela análise da experiência internacional, a qual pode fornecer um norte a ser seguido na fase de adequação à LGPD. Todavia, tal cuidado extrapola os programas corporativos de conformidade.

A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de múltiplos casos

Este estudo tem como objetivo descrever e compreender a realidade de organizações brasileiras quanto à adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Tal abordagem se justifica mediante regulamentações estabelecidas pelo Estado brasileiro para a manipulação, tratamento e armazenamento de dados pessoais por organizações. Nesse sentido, discute-se a capacidade das organizações de atender aos marcos regulatórios estabelecidos pela LGPD (Lei no 13.709/2018). Para alcançar o intento proposto, o estudo está fundamentado na NBR ISO/IEC 27001, NBR ISO/IEC 27002 e na Lei no 13.709/2018. Quanto ao objetivo, a pesquisa é descritiva com abordagem qualitativa e realizada por meio de estudo de casos múltiplos. Os dados foram coletados via entrevistas semiestruturadas com sete profissionais responsáveis pela coleta, manipulação ou armazenamento de dados de empresas de diferentes portes. O estudo foi realizado dois meses (out/2018) após sanção da LGPD pela Presidência da República do Brasil, caracterizando-se como do tipo corte transversal. O estudo demonstrou que as empresas não estão preparadas para atender aos marcos regulatórios estabelecidos pela LGPD, urgindo por consideráveis mudanças técnicas e de gestão nas áreas de tecnologia da informação e segurança da informação.

Mapa mental da LGPD para o desenvolvimento de produtos digitais

Uma equipe composta de UX designers e desenvolvedores criou esse incrível mapa mental para servir de guia na criação de produtos digitais. O mapa está organizado em três esferas: o escopo da lei, definições e aplicações práticas, e inclui exemplos visuais de formulários de consentimento e interfaces de configurações de privacidade.