Autor: walmar

Em 07/12/23, saiu uma decisão muito esperada da Corte de Justiça da União Europeia (CJEU), sobre a atividade dos Bureaus de Crédito e o conceito de decisões automatizadas no GDPR (C-634/21). Dois pontos relevantes:

PRIMEIRO: O score que o bureau de crédito calcula (e que fornece a terceiros, que neles se baseiam fortemente para concessão crédito) deve ser considerado, para o bureau, uma decisão automatizada?

Essa pergunta é importante porque:
(1) Quem aplica diretamente o score em face de um indivíduo é a empresa contratante

(2) Essa pergunta serviu para questionar se o bureau tem obrigações relacionadas ao fato de que se trata de decisões automatizadas.

Entendimento do CJEU:

(a) Sim, o score deve ser considerado uma decisão automatizada também para o bureau, DESDE QUE esse valor determine significativamente se um terceiro a quem o score é transmitido estabelece, implementa ou encerra uma relação contratual com o titular. Questão >> como provar isso?

(b) Uma das exceções à proibição do art 22 do GDPR quanto à existência de decisões automatizadas é a autorização pela lei do Estado-Membro, então CJEU estabeleceu que a corte alemã deve avaliar se a lei alemã autoriza.

(c) Se autorizar, ainda será preciso avaliar se demais parâmetros do GDPR quanto a decisões automatizadas (art 22) estão sendo cumpridos.

(d) Quais são esses parâmetros? Obrigação de explicar o racional por trás do cálculo dos scores, de atender questionamentos dos titulares quanto aos scores obtidos e implementação de salvaguardas (como, por exemplo, análise de impacto algorítmico), entre outros.

SEGUNDO: eles reforçam que o entendimento deles no primeiro ponto acima deve ser lido em conjunto com a decisão nas ações C-26/22 e C-64/22. Destaques:

(a) É ilegal manter o arquivamento (e, portanto, uso para scores) das informações sobre débitos por mais tempo do que aquele determinado pela lei alemã para registro público de insolventes (até 6 meses após a quitação da dívida).

(b) Depois desse prazo legal, os direitos do titular se sobrepõem ao interesse do público em ter acesso à informação de que a dívida existiu um dia. Titular, portanto, pode pedir eliminação dos dados.

(c) Como o SCHUFA armazena dados dos débitos por prazo superior ao legal, o CJEU determinou que o tribunal local deve balancear os interesses envolvidos para avaliar a legalidade da retenção.

(d) Se for legal, o titular ainda tem direito de objetar quanto ao tratamento dos dados (art 21 do GDPR – sem correspondente específico na LGPD) e pode pedir eliminação dos dados, a menos que haja outros interesses legítimos que justifiquem manter os dados.

Esta decisão é muito relevante e fixa uma estrutura para tratamentos de dados pelos bureaus de crédito em diferentes legislações.

Em 06/10/2023, a segunda sanção da ANPD foi proferida em face de um ente público, o IAMSPE – Instituto de Assistência Médica ao Servidor Público Estadual de SP.

As sanções se referem a 2 infrações:

(1) Advertência por descumprimento ao art. 48 da LGPD (Comunicação de Incidentes), com medida corretiva.

(a) a medida: substituir, no seu site, comunicação de incidente de segurança, observando o texto detalhado na decisão, mantendo-o por pelo menos 90 dias.
(b) prazo: 10 dias úteis contados da intimação.

(2) Advertência por descumprimento ao art. 49 da LGPD (sistemas devem atender aos requisitos de segurança, padrões de boas práticas e de governança e aos princípios gerais da LGPD e da regulamentação) e medida corretiva.

(a) a medida: informar à ANPD o resultado dos programas e objetivos desenvolvidos e implementados, nos Planos de 3 meses e 6 meses, além de cronograma para outras iniciativas, todas informadas pelo IAMSPE.

(b) prazo: Para algumas iniciativas, evidência de cumprimento ou demonstração de conclusão em até 1 ano; para outras, envio de cronograma em até 10 dias úteis, cujas iniciativas devem ser concluídas em não mais do que 1 ano.

Observações iniciais:

(i) Não há ainda detalhes do processo administrativo que permitam dar mais informações neste momento. Sabe-se, pela sugestão de comunicado, que os dados envolvidos no incidente são “dados cadastrais, salário e endereço” de clientes do IAMSPE.

(ii) O art. 48 da LGPD trata da comunicação à ANPD e aos titulares, dos incidentes que possam causar risco ou dano relevante aos titulares – neste caso, houve alguma publicação na página do IAMSPE quanto ao incidente. Apenas não se sabe, agora, em que momento ocorreu. Aparentemente, a ANPD não havia sido notificada.

(iii) É relevante que as organizações, de qualquer tamanho e dos setores público e privado, invistam em medidas de segurança e tenham programa de governança, de modo a minimizar a ocorrência de incidentes e de modo a demonstrar que possuíam um programa de privacidade e trabalhavam em medidas de segurança previamente a eventual incidente.

(iv) Dados de salário não são dados sensíveis segundo a LGPD, mas são dados extremamente relevantes, cuja exposição pode trazer inúmeras consequências aos titulares.

(v) Ter um Encarregado ou Encarregada de proteção de dados, ou ainda um/a especialista em proteção de dados (caso não seja mandatório Encarregado ou Encarregada) é importante para assessoria no gerenciamento de crise.

Em 18/10/23, foi publicada a terceira sanção da ANPD: desta vez, a Secretaria de Estado da Saúde de Santa Catarina. Foram 4 advertências, sendo 3 sem imposição de medidas e 1 com imposição de medidas:

Sem imposição de medidas:

1. Descumprimento do art. 38 LGPD >> elaboração de RIPD – Relatório de Impacto à Proteção de Dados;
2. Descumprimento do art. 49 LGPD >> sistemas para tratamentos de dados devem atender requisitos de segurança, padrões de boas práticas e governança e princípios gerais da LGPD e demais normas.
3. Descumprimento do art. 5º do Regulamento de Fiscalização >> deveres dos agentes regulados

Com imposição de medidas e de apresentação de evidências de seu cumprimento:

1. Descumprimento do art. 48 LGPD >> comunicação de incidente. Medidas:
2. Manter Comunicado de Incidente de Segurança no “site” por mais 90 dias contados da data da publicação da decisão.
3. Enviar comunicado aos titulares cujos dados foram comprometidos.

Comentários:

1. Este caso e o do IAMSPE (Segunda Sanção) envolveram incidentes.
2. Em ambos, os órgãos foram advertidos por terem sistemas incompatíveis com requisitos de segurança, boas práticas, governança e princípios gerais da LGPD e demais normas.
3. A evidência a ser apresentada à ANPD sobre comunicação aos titulares é uma planilha com dados pessoais dos titulares com dados comprometidos, contendo seis dados de contato.
4. Haveria maneira de realizar auditoria sem necessidade de envio dos dados pessoais?
5. Este envio é tratamento de dados que deve fazer é parte da governança da organização!
6. Não há informações adicionais sobre detalhes do incidente, dos dados comprometidos ou da falta de RIPD.