Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Nota do editor: De tempos em tempos, o ComplexDiscovery destaca anúncios publicamente disponíveis ou de compra privada, atualizações de conteúdo e pesquisas de provedores de descoberta cibernética, de dados e legais, organizações de pesquisa e membros da comunidade ComplexDiscovery. Embora o ComplexDiscovery destaque regularmente essas informações, ele não assume nenhuma responsabilidade pelas afirmações de conteúdo.

    Para enviar recomendações para consideração e inclusão nos anúncios de serviços, produtos ou pesquisas centrados em descobertas cibernéticas, de dados e legais da ComplexDiscovery, entre em contato conosco hoje.

    Nota: Em 17 de maio de 2022, o Fórum do Futuro da Privacidade lançou um relatório abrangente analisando a jurisprudência sob o Regulamento Geral de Proteção de Dados (GDPR) aplicado a casos reais envolvendo Tomada de Decisão Automatizada (ADM). O Relatório é informado por uma extensa pesquisa que abrange mais de 70 sentenças judiciais, decisões das Autoridades de Proteção de Dados (DPAs), Orientações específicas e outros documentos de política emitidos pelos reguladores. De acordo com o anúncio deste novo relatório, o GDPR tem uma disposição específica aplicável a decisões baseadas exclusivamente no processamento automatizado de dados pessoais, incluindo a criação de perfis, que produz efeitos legais sobre um indivíduo ou afeta de forma semelhante esse indivíduo: Artigo 22. Esta disposição consagra um dos “direitos do titular dos dados”, particularmente o direito de não estar sujeito a decisões dessa natureza (ou seja, 'ADM qualificada'), que tem sido interpretado pelas APD como uma proibição e não como uma prerrogativa que os indivíduos podem exercer. No entanto, o Relatório afirma que as proteções do GDPR para indivíduos contra formas de tomada de decisão automatizada (ADM) e criação de perfil vão muito além do Artigo 22. Dados os potenciais desafios de privacidade da ADM, este relatório pode ser benéfico para profissionais de segurança cibernética, governança de informações e descobertas legais que buscam entender melhor os desafios potenciais de privacidade e as considerações atuais da jurisprudência relacionadas à ADM.

    Relatório de pesquisa do Fórum Futuro da Privacidade

    Tomada de decisão automatizada sob o GDPR: casos práticos de tribunais e autoridades de proteção de dados

    Por Sebastião Barros Vale e Gabriela Zanfir-Fortuna

    Extrato de relatório - histórico e visão geral

    O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) estabelece uma de suas razões fundamentais no considerando 4, afirmando que “o processamento de dados pessoais deve ser projetado para servir à humanidade”. Isso se refere a qualquer processamento de dados pessoais, desde sua coleta até seus vários usos, tão simples quanto manter um registro sobre as compras em sua mercearia favorita e tão complexo quanto usar dados pessoais para tomada de decisão automatizada, como pré-seleção de candidatos para um emprego por meio do uso de algoritmos , ou ter dados pessoais resultantes de processamento complexo, como criar um perfil do cliente de uma mercearia com base em seu histórico de compras. A mesma lógica subjacente do GDPR se aplica se os dados pessoais forem de alguma forma processados como parte de um aplicativo de Inteligência Artificial (IA) ou Aprendizado de Máquina (ML) - seja como entrada ou saída de tal processamento.

    Embora todas as disposições do GDPR se apliquem a esse processamento complexo de dados pessoais - desde a obrigação do controlador de ter uma base legal para o processamento em vigor, até a obrigação de garantir que o processamento seja feito de forma justa e transparente, até obrigações mais técnicas, como garantir um adequado nível de segurança de dados e garantindo que a proteção de dados pessoais seja incorporada ao projeto de uma operação de processamento, uma disposição específica do GDPR é especificamente aplicável a decisões “baseadas exclusivamente no processamento automatizado [de dados pessoais — n.], incluindo criação de perfis, que produz efeitos legais ” sobre um indivíduo “ou afeta de forma semelhante” esse indivíduo: Artigo 22.

    Esta disposição consagra um dos “direitos do titular dos dados”, particularmente “o direito de não estar sujeito a uma decisão baseada exclusivamente no processamento automatizado” que tem um efeito legal ou similarmente significativo sobre o indivíduo. Toda tomada de decisão automatizada (ADM) que atenda a esses critérios, conforme definido no Artigo 22 do GDPR, é referida como “ADM qualificado” neste Relatório.

    Mesmo que aparentemente introduzida no GDPR para responder à era atual dos algoritmos, sistemas de IA e ML, essa disposição existiu de fato sob a antiga Diretiva de Proteção de Dados da UE adotada em 1995 e tem suas raízes em uma disposição semelhante da primeira lei francesa de proteção de dados adotada no final da década de 1970. No entanto, ele mal foi aplicado sob a lei anterior. Os casos começaram a aumentar depois que o GDPR se tornou aplicável em 2018, considerando também que a tomada de decisão automatizada está se tornando onipresente na vida diária, e agora parece que os indivíduos estão cada vez mais interessados em ter seus direitos sob o Artigo 22 aplicados.

    Este Relatório descreve como os tribunais nacionais e as Autoridades de Proteção de Dados (DPAs) na UE/Espaço Econômico Europeu (EEE) e no Reino Unido interpretaram e aplicaram as disposições relevantes do GDPR sobre ADM até agora, bem como as tendências notáveis e discrepâncias a esse respeito. Para compilar o Relatório, analisamos decisões judiciais e administrativas publicamente disponíveis e diretrizes regulatórias nas jurisdições da UE/EEE e no Reino Unido, que era membro da UE até dezembro de 2020 e cujas regras sobre ADM ainda são uma implementação do GDPR no momento da redação deste Relatório. Para complementar os fatos dos casos discutidos, também analisamos comunicados à imprensa, relatórios anuais e histórias da mídia. Esta pesquisa é limitada a documentos divulgados até abril de 2022 e baseia-se em mais de 70 casos - 19 decisões judiciais e mais de 50 decisões de execução, opiniões individuais ou orientações gerais emitidas por DPAs, - de um período de 18 Estados-Membros do EEE, o Reino Unido e a Autoridade Europeia de Proteção de Dados (EDPS). Os principais casos e documentos utilizados para referência estão listados no Anexo I. O Relatório contém principalmente resumos de casos, bem como diretrizes relevantes, com os casos explorados em detalhes sendo numerados de forma consistente para que todas as notas sobre um caso específico possam ser facilmente identificadas em todo o documento (por exemplo, Caso 3 será consultado várias vezes, em seções diferentes).

    Os casos que identificamos geralmente resultam de situações da vida diária em que a ADM está cada vez mais desempenhando um papel significativo. Por exemplo, um grupo de casos prevê estudantes e instituições educacionais. Esses casos variam desde o uso de tecnologias de reconhecimento facial ao vivo para gerenciar o acesso nas instalações da escola e o registro de frequência, até a supervisão on-line e ainda a avaliação totalmente automatizada com base no perfil individual de um aluno, mas também no perfil de seu distrito escolar, como um substituto de alta exames de graduação escolar durante a pandemia de COVID-19.

    Outro conjunto significativo de casos tem em sua essência a situação dos trabalhadores do show e a maneira como eles estão sendo distribuídos turnos, shows, renda e penalidades por meio de suas respectivas plataformas. Um número significativo de casos desafia a pontuação de crédito automatizada. A maneira pela qual os governos distribuem benefícios sociais, como desemprego, e gerenciam a evasão fiscal e possíveis fraudes está cada vez mais sujeita a mais casos - desafios individuais ou investigações ex officio. Também encontramos casos em que o ADM subjacente foi desafiado em situações como a emissão de licenças de armas, coleta de fontes publicamente disponíveis para construir um produto FR ou criação de perfis de clientes em potencial por um banco.

    Nossa análise mostrará que o GDPR como um todo é relevante para casos de ADM e foi efetivamente aplicado para proteger os direitos dos indivíduos em tais casos, mesmo nas situações em que o ADM em questão não atende ao alto limite estabelecido pelo Artigo 22 GDPR, e o direito de não estar sujeito apenas a tomada de decisão automatizada não é aplicável. Por exemplo, sem sequer analisar se o Artigo 22 se aplica a esses casos - Tribunais e DPAs descobriram que a implantação de aplicativos de FR ao vivo para gerenciar o acesso às instalações da escola e monitorar a frequência era ilegal sob outras disposições do GDPR porque não tinha um fundamento legal para processamento em vigor e não respeitou os requisitos de necessidade e proporcionalidade, protegendo assim os direitos dos estudantes em França e na Suécia (ver casos 30 e 31).

    Uma leitura comparativa de casos relevantes também mostrará como os requisitos de transparência complexos são considerados na prática, sendo efetivamente traduzidos em um direito dos indivíduos de receber uma explicação de alto nível sobre os parâmetros que levaram a uma decisão automatizada individual sobre eles ou sobre como perfil aplicado a eles.

    Os princípios de legalidade e justiça são aplicados separadamente em casos relacionados à ADM, com o princípio da justiça ganhando força na aplicação. Por exemplo, em um dos casos mais recentes consagrados no Relatório, o DPA holandês constatou que o sistema algorítmico usado pelo governo para detectar automaticamente fraudes em pedidos de benefícios sociais violava o princípio da justiça, uma vez que o processamento era considerado “discriminatório” por ter levado em consideração contabilizar a dupla nacionalidade das pessoas que solicitam benefícios de assistência à infância.

    Outro ponto importante que emergiu de nossa pesquisa é que, quando os responsáveis pela aplicação estão avaliando o limiar de aplicabilidade para o Artigo 22 (“exclusivamente” automatizado, e “efeito legal ou similarmente significativo” da ADM sobre os indivíduos), os critérios usados são cada vez mais sofisticados à medida que o corpo da jurisprudência cresce. Por exemplo, Tribunais e DPAs estão analisando todo o ambiente organizacional em que um ADM está ocorrendo, desde a estrutura da organização até as linhas de relatórios e o treinamento efetivo da equipe, a fim de decidir se uma decisão foi “exclusivamente” automatizada ou teve envolvimento humano significativo. Da mesma forma, ao avaliar o segundo critério para a aplicabilidade do Artigo 22, os executores estão analisando se os dados de entrada para uma decisão automatizada incluem inferências sobre o comportamento dos indivíduos, e se a decisão afeta a conduta e as escolhas das pessoas visadas, entre outras critérios em camadas.

    Finalmente, devemos destacar que, em praticamente todos os casos em que um processo ADM foi considerado ilegal, os DPAs foram além de emitir multas administrativas, ordenando também medidas específicas com escopo variado: ordens para interromper práticas, ordens para excluir os dados pessoais coletados ilegalmente, ordens para proibir coleta adicional de dados pessoais.

    Todas as seções do Relatório são acompanhadas por resumos de casos e uma breve análise apontando pontos comuns e discrepantes. O Relatório explora inicialmente o contexto e os principais elementos do Artigo 22 e outras disposições relevantes do GDPR que foram aplicadas em casos de ADM, todos refletidos em exemplos concretos (Seção 1). Em seguida, ele investiga como o limite em duas frentes exigido pelo Artigo 22 do GDPR foi interpretado e aplicado na prática (Seção 2). Finalmente, a Seção 3 apresenta como Tribunais e APD aplicaram o Artigo 22 em áreas setoriais, nomeadamente em questões de emprego, reconhecimento facial ao vivo e pontuação de crédito. A Conclusão apresentará algumas das tendências de interpretação e aplicação jurídicas identificadas que emergem de nossa pesquisa e destacará as áreas remanescentes de incerteza jurídica que podem ser esclarecidas no futuro pelos reguladores ou pelo TJUE (Seção 4).

    Leia o anúncio original.

    Relatório completo - Tomada de decisão automatizada sob o GDPR: casos práticos de tribunais e autoridades de proteção de dados (PDF) - Mouseover to Scroll

    Relatório FPF-ADM - maio de 2022

    Leia o relatório original.

    *Compartilhado com permissão sob licença Creative Commons, Atribuição 4.0 Internacional.

    Leitura adicional

    Abraçando as diferenças? Interação da perícia digital em eDiscovery

    Definindo a descoberta cibernética? Uma definição e estrutura

    Fonte: ComplexDiscovery

    A ponta do iceberg? Novo relatório da ENISA sobre o cenário de ameaças para ataques de ransomware

    According to ENISA, this threat landscape report analyzed a total of...

    Consumidores pagando o preço? Custo de uma violação de dados atinge um recorde de acordo com o novo relatório da IBM

    According to IBM Security, the annual Cost of a Data Breach Report...

    Protegendo o ePHI? O NIST atualiza as orientações para a segurança cibernética

    This new NIST Special Publication aims to help educate readers about...

    Combater os atores de ameaças? Usando a Análise de Redes Sociais para Inteligência contra Ameaças Cibernéticas (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Ventos contrários de receita? KLDiscovery Inc. anuncia os resultados financeiros do segundo trimestre de 2022

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Além da receita? DISCO anuncia resultados financeiros do segundo trimestre de 2022

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Morar com o Leeds? Exterro conclui recapitalização superior a $1 bilhão

    According to the press release, with the support of a group...

    TCDI conclui aquisição da prática de eDiscovery da Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Em movimento? Cinética de mercado de eDiscovery 2022: cinco áreas de interesse

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Confiando no processo? Dados de tarefas, gastos e custos de processamento de eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    O ano em análise? 2021 eDiscovery Analise pontos de dados de tarefas, gastos e custos

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Uma análise de 2021 da coleção de eDiscovery: pontos de dados de tarefas, gastos e custos

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e jurídica para julho de 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para junho de 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Cinco ótimas leituras sobre descoberta cibernética, de dados e legal para maio de 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Cinco ótimas leituras sobre descobertas cibernéticas, de dados e legais para abril de 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Droning On? Avaliações de conflitos na Ucrânia em mapas (3 a 7 de agosto de 2022)

    According to a recent update from the Institute for the Study...

    Aliviar a angústia? Avaliações de conflitos na Ucrânia em mapas (29 de julho a 2 de agosto de 2022)

    According to a recent update from the Institute for the Study...

    Desafios de impulso? Avaliações de conflitos na Ucrânia em mapas (24 a 28 de julho de 2022)

    According to a recent update from the Institute for the Study...

    Suporte portuário? Avaliações de conflitos na Ucrânia em mapas (19 a 23 de julho de 2022)

    According to a recent update from the Institute for the Study...