O EDPB publica novas diretrizes para proteção de dados pessoais

April 11, 2023

O Conselho Europeu de Proteção de Dados (EDPB, European Data Protection Board), autoridade europeia para proteção de dados pessoais, publicou recentemente, após consulta pública da qual participaram diversos segmentos da sociedade europeia, três novas diretrizes relacionadas à proteção de dados pessoais. Elas as são seguintes:

1. Diretrizes 05/2021 sobre a interação entre a aplicação do art. 3º e as disposições sobre transferências internacionais de acordo com o Capítulo V da GDPR
2. Diretrizes 07/2022 sobre a certificação como ferramenta para transferências
3. Diretrizes 03/2022 sobre padrões de design enganosos em interfaces de plataformas de mídia social: como reconhecê-los e evitá-los

Passamos a uma breve descrição de cada uma delas.

1.1. DIRETRIZES 05/2021 SOBRE A INTERAÇÃO ENTRE A APLICAÇÃO DO ART. 3º E AS DISPOSIÇÕES SOBRE TRANSFERÊNCIAS INTERNACIONAIS DE ACORDO COM O CAPÍTULO V DA GDPR

Como a GDPR (General Data Protection Regulation, Resolução Geral de Proteção de Dados) não define o que é “transferência de dados pessoais para um país terceiro ou para uma organização internacional”, o EDPB utilizou três critérios cumulativos para qualificar uma operação de tratamento como transferência. Assim, se os três critérios identificados pelo EDPB forem cumpridos, há uma transferência e o Capítulo V da GDPR é aplicável. Eles são:

1. Um controlador ou um operador (“exportador”) está sujeito à GDPR para o referido tratamento.

2. O exportador divulga por transmissão ou de outra forma torna dados pessoais, sujeitos a este tratamento, disponíveis a outro controlador, controlador conjunto ou operador (“importador”).

3. O importador se encontra em um país terceiro, independentemente de estar ou não sujeito à GDPR para o referido tratamento de acordo com o art. 3º ou é uma organização internacional.

Dessa forma, a transferência de dados pessoais para um país terceiro ou para uma organização internacional somente poderá ocorrer no contexto de uma decisão de adequação da Comissão Europeia (art. 45.º) ou mediante a disponibilização de salvaguardas adequadas (art. 46º).

Caso os três critérios não sejam atendidos, o Capítulo V da GDPR não se aplica, mas o responsável pelo tratamento deve cumprir com as demais disposições da GDPR, especialmente o art. 5º (“Princípios relativos ao tratamento de dados pessoais”), o art. 24º (“Responsabilidade do controlador”) e o art. 32º (“Segurança do tratamento”).

Os riscos desse tratamento de dados pessoais em um país estrangeiro não atender à GDPR são focados especialmente em leis nacionais conflitantes ou acesso desproporcional do governo.

O ponto alto desse guia são os exemplos. Eles ajudam a entender a questão em casos práticos, conforme disposto a seguir:

Exemplo 1 – O controlador em um país terceiro coleta dados diretamente de um titular de dados na UE (sob o art. 3º, inciso 2, da GDPR)

Maria, que mora na Itália, insere o seu nome, sobrenome e endereço ao preencher um formulário em um site de roupas online para concluir a sua encomenda e receber o vestido que comprou em sua residência na Roma. O site de roupas online é operado por uma empresa de um país terceiro que não tem presença na UE, mas visa especificamente o mercado UE. Neste caso, o titular dos dados (Maria) transmite os seus dados pessoais à empresa do país terceiro. Isso não constitui uma transferência de dados pessoais, uma vez que os dados não são transmitidos por um exportador (controlador ou operador), mas sim coletados diretamente do titular dos dados pelo controlador nos termos do art. 3º, inciso 2, da GDPR. Assim, o Capítulo V não se aplica a este caso. No entanto, a empresa de um país terceiro será obrigada a aplicar a GDPR, uma vez que as suas operações de tratamento estão sujeitas ao art. 3.º, inciso 2.

Exemplo 2 – O controlador em um país terceiro coleta dados diretamente de um titular de dados na UE (sob Art. 3º, inciso 2, GDPR) e usa um operador fora da UE para algumas atividades de tratamento

Maria, que mora na Itália, insere o seu nome, sobrenome e endereço ao preencher um formulário em um site de roupas online para concluir a sua encomenda e receber o vestido que comprou online em sua residência na Roma. O site de roupas online é operado por uma empresa de um país terceiro que não tem presença na UE, mas visa especificamente o mercado da UE. Para tratar os pedidos recebidos por meio do site, a empresa do país terceiro contratou um operador que não pertence ao Espaço Econômico Europeu (EEE). Neste caso, o titular dos dados (Maria) cede os seus dados pessoais à empresa de país terceiro e isso não constitui uma transferência de dados pessoais, uma vez que os dados são recolhidos diretamente pelo responsável pelo tratamento conforme o art. 3º, inciso 2, do GDPR. Assim, o responsável pelo tratamento terá que aplicar a GDPR ao tratar estes dados pessoais. Na medida em que se contrata um operador que não pertence ao EEE, a divulgação por parte da empresa de um país terceiro ao seu operador que não pertence ao EEE equivaleria a uma transferência, e seria necessário aplicar as obrigações do art. 28º, Capítulo V, para garantir que o nível de proteção oferecida pela GDPR não seria prejudicada quando os dados fossem tratados em seu nome pelo operador que não pertence ao EEE.

Exemplo 3 – O controlador em um país terceiro recebe dados diretamente de um titular de dados na UE (mas não sob o art. 3º, inciso 2, da GDPR) e usa um operador fora da UE para algumas atividades de tratamento

Maria, que mora na Itália, decide reservar um quarto de hotel em Nova York por meio de um formulário no site do hotel. Os dados pessoais são coletados diretamente pelo hotel, o qual não tem como alvo/monitora indivíduos no EEE. Neste caso, não ocorre qualquer transferência, uma vez que os dados são transmitidos diretamente pelo titular dos dados e recolhidos diretamente pelo responsável pelo tratamento. Além disso, uma vez que nenhuma atividade de direcionamento ou monitoramento de indivíduos no EEE é realizada pelo hotel, a GDPR não será aplicada, inclusive com relação a quaisquer atividades de tratamento realizadas por operadores fora do EEE em nome do hotel.

Exemplo 4 – Dados coletados por uma plataforma do EEE e, em seguida, transmitidos a um responsável pelo tratamento em um país terceiro

Maria, que mora na Itália, reserva um quarto de hotel em Nova York por meio de uma agência de viagens online no EEE. Os dados pessoais de Maria, necessários para a reserva do hotel, são coletados pela agência de viagens online na EEE como controladora e enviados ao hotel que recebe os dados como controladora separada. Ao passar os dados pessoais ao hotel do país terceiro, a agência de viagens do EEE realiza uma transferência de dados pessoais e aplica-se o Capítulo V da GDPR.

Exemplo 5 –O controlador na UE envia dados para um processador em um terceiro país

A empresa X estabelecida na Áustria, na qualidade de responsável pelo tratamento, fornece dados pessoais dos seus empregados ou clientes à empresa Z em um país terceiro, a qual trata esses dados como subcontratante em nome da empresa X. Neste caso, os dados são fornecidos por um responsável pelo tratamento sujeito à GDPR, que no que diz respeito ao tratamento em questão, a um subcontratante de um país terceiro. Assim, o fornecimento de dados será considerado como uma transferência de dados pessoais para um país terceiro e, portanto, aplica-se o Capítulo V da GDPR.

Exemplo 6 – O operador na UE envia dados de volta ao seu controlador em um terceiro país

A XYZ Inc., controladora não estabelecida na UE, envia dados pessoais de seus funcionários/clientes, todos titulares de dados não localizados na UE, ao operador ABC Ltd. para tratamento na UE, em nome da XYZ. ABC retransmite os dados para XYZ. O tratamento realizado pela ABC, o operador, é coberto pela GDPR para obrigações específicas de operador de acordo com o art. 3º, inciso 1, uma vez que a ABC está estabelecida na UE. Uma vez que a XYZ é responsável pelo tratamento em um país terceiro, a divulgação de dados da ABC à XYZ é considerada como uma transferência de dados pessoais e, por conseguinte, aplica-se o Capítulo V.

Exemplo 7 – O operador na UE envia dados para um suboperador em um terceiro país

A empresa A estabelecida na Alemanha, na qualidade de controlador, contratou B, uma empresa francesa, como operadora em seu nome. A empresa B deseja delegar ainda uma parte das atividades de tratamento que está realizando em nome de A ao suboperador C, uma empresa em um país terceiro, e, portanto, envia os dados ao C para esta finalidade. O tratamento realizado por A e seu operador B é realizado no contexto isso seus estabelecimentos na UE e, portanto, está sujeito à GDPR de acordo com seu art. 3º, inciso 1, enquanto o tratamento por C é realizado em um país terceiro. Portanto, a passagem de dados do operador B ao suboperador C é uma transferência para um país terceiro e aplica-se o Capítulo V da GDPR.

Exemplo 8 – Funcionário de um controlador na UE viaja para um país terceiro em viagem de negócios

George, funcionário da empresa A, sediada na Polônia, viaja para um país terceiro para uma reunião trazendo seu notebook. Durante sua estada no exterior, George liga seu computador e acessa remotamente dados pessoais nos bancos de dados de sua empresa para finalizar um memorando. Trazer o notebook e acessar dados pessoais de um país terceiro remotamente não se qualificam como uma transferência de dados pessoais, uma vez que George não é outro controlador, mas sim um funcionário e, portanto, parte integrante do controlador A. Desse modo, a transmissão é realizada dentro do mesmo controlador A. O tratamento, incluindo o acesso remoto e as atividades de tratamento realizadas por George após o acesso, é realizado pela empresa polonesa, ou seja, um controlador estabelecido na UE sujeito ao art. 3º, inciso 1, da GDPR. Entretanto, nota-se que, se George, na sua qualidade de empregado de A, enviasse ou disponibilizasse dados a outro responsável pelo tratamento ou subcontratante no país terceiro, o fluxo de dados em questão equivaleria a uma transferência ao abrigo do Capítulo V; do exportador A na UE para esse importador no país terceiro.

Exemplo 9: Uma subsidiária (controladora) na UE compartilha dados com sua matriz (operadora) em um terceiro país

A empresa irlandesa X, que é uma subsidiária da matriz Y em um país terceiro, divulga dados pessoais de seus funcionários à empresa Y para serem armazenados em um banco de dados centralizado de RH pela matriz no país terceiro. Nesse caso, a empresa irlandesa X trata (e divulga) os dados na qualidade de empregadora e, portanto, como controladora, ao passo que a matriz é a operadora. A empresa X está sujeita à GDPR de acordo com o art. 3º, inciso 1, para este tratamento e a Empresa Y está situada em um país terceiro. A divulgação, portanto, se qualifica como uma transferência para um país terceiro conforme o Capítulo V da GDPR.

Exemplo 10 – O operador na UE envia dados de volta ao seu controlador em um país terceiro

A empresa A, controladora sem estabelecimento na UE, recebe bens e serviços no mercado da UE. A empresa francesa B está tratando dados pessoais em nome da empresa A. B retransmite os dados para A. O tratamento realizado pelo processador B está abrangido pela GDPR para as obrigações específicas do subcontratante nos termos do art. 3º, inciso 1, uma vez que ocorre no contexto disso atividades do seu estabelecimento na UE. O tratamento realizado por A também está abrangido pela GDPR, uma vez que o art. 3º, inciso 2, aplica-se a A. No entanto, como A está em um país terceiro, a divulgação de dados de B para A é considerada como uma transferência para um país terceiro e, portanto, o Capítulo V se aplica

Exemplo 11 – Acesso remoto a dados na UE por um operador de um país terceiro agindo em nome de controladores da UE

Uma empresa em um país terceiro (empresa Z), sem estabelecimento na UE oferece serviços como operador a empresas na UE. A empresa Z, atuando como operador em nome dos controladores da UE, está acessando remotamente, por exemplo, para fins de suporte, os dados armazenados na UE. Como a empresa Z se localiza em um país terceiro, esse acesso remoto resulta em transferências de dados dos controladores da UE para seu operador (empresa Z) em um país terceiro nisso termos do Capítulo V.

Exemplo 12 – O controlador na UE usa um operador na UE sujeito à legislação de um terceiro país

A empresa dinamarquesa X, na qualidade de controladora, contrata a empresa Y estabelecida na UE como operadora em seu nome. A empresa Y é uma subsidiária da matriz Z de um país terceiro. A empresa Y está tratando os dados da empresa X exclusivamente na UE e não há ninguém fora da UE, incluindo a matriz Z, que tenha acesso aos dados. Além disso, um resultado do contrato entre a empresa X e a empresa Y é que Y só tratará os dados pessoais mediante instruções documentadas da empresa X, salvo se for exigido pela legislação da UE ou do Estado-Membro ao qual a empresa Y está sujeita. A empresa Y está, no entanto, sujeita à legislação de países terceiros com efeito extraterritorial, o que, neste caso, significa que a empresa Y pode receber pedidos de acesso feitos por autoridades de países terceiros. Como a empresa Y não está em um país terceiro (sendo uma empresa da UE sujeita ao art. 3º, inciso 1, da GDPR), a divulgação de dados da empresa X controladora à empresa Y operadora não equivale a uma transferência e Capítulo V da GDPR não se aplica. Conforme mencionado, há, no entanto, a possibilidade de a empresa Y receber solicitações de acesso feitas por autoridades de países terceiros e, caso a empresa Y atenda a tal solicitação, tal divulgação de dados será considerada como uma transferência nos termos do Capítulo V. Quando a empresa Y atender a uma solicitação que viola as instruções do controlador e, portanto, o art. 28º da GDPR, a empresa Y deverá ser considerada como um controlador independente desse tratamento nos termos do art. 28º, inciso 10, da GDPR. Nesta situação, a empresa X, responsável pelo tratamento, deve, antes de contratar o subcontratante, avaliar estas circunstâncias para garantir que, conforme exigido pelo art. 28.º da GDPR, apenas recorra a subcontratantes que apresentem garantias suficientes para a implementação de medidas técnicas e organizativas adequadas, para que o tratamento seja efetuado em conformidade com a GDPR, incluindo o Capítulo V, assim como assegurar a existência de um contrato ou ato jurídico que regule o tratamento por parte do subcontratante.

1.2. DIRETRIZES 07/2022 SOBRE A CERTIFICAÇÃO COMO FERRAMENTA PARA TRANSFERÊNCIAS

O art. 46º da GDPR preconiza que os exportadores de dados implementem salvaguardas adequadas para transferências de dados pessoais para países terceiros ou organizações internacionais. Dentre essas salvaguardas, surge a certificação como um novo mecanismo de transferência (arts. 42º, inciso 2, e 46º, inciso 2, alínea f).

Segundo o art. 44º da GDPR, qualquer transferência de dados pessoais para países terceiros ou organizações internacionais deve cumprir as condições das restantes disposições da GDPR para além do cumprimento de seu Capítulo V. Portanto, cada transferência deve cumprir, entre outros, os princípios de proteção de dados do art. 5º da GDPR, estar de acordo com o art. 6º da GDPR e cumprir o art. 9º da GDPR no caso de categorias especiais de dados.

Assim, um teste de duas etapas deve ser aplicado. Como primeira etapa, deve-se garantir o cumprimento das disposições gerais da GDPR. Em seguida, como segunda etapa, deve-se cumprir o disposto no Capítulo V da GDPR.

Nos termos do art. 46º, inciso 2, alínea f, da GDPR, essas salvaguardas adequadas, como respeitar os direitos dos titulares dos dados, podem ser fornecidas por um mecanismo de certificação aprovado, juntamente com compromissos vinculativos e exequíveis do responsável pelo tratamento ou operador no país terceiro.

O EDPB tem poderes para aprovar critérios de certificação em todo o EEE por meio do Selo Europeu de Proteção de Dados e emitir opiniões sobre projetos de decisão das Autoridades Supervisoras sobre critérios de certificação e requisitos de credenciamento dos organismos de certificação, de modo a garantir a consistência. Também é competente para reunir todos os mecanismos de certificação e selos e marcas de proteção de dados em um registro e disponibilizá-los publicamente.

Já as Autoridades Supervisoras (SAs, Supervisory Authorities) aprovam os critérios de certificação quando o mecanismo de certificação não for um Selo Europeu de Proteção de Dados . Elas também podem credenciar o organismo de certificação, definir os critérios de certificação e emiti-la, se estabelecido pela legislação nacional de seu Estado-Membro.

Por outro lado, o Organismo Nacional de Acreditação pode credenciar terceiros organismos de certificação usando a ISO 17065 e os requisitos adicionais de acreditação da SA, os quais devem estar de acordo com a seção 2 das diretrizes. Em alguns Estados-Membros, a acreditação pode ser oferecida tanto pela SA competente como por um organismo nacional de acreditação ou por ambos.

E finalmente, o Proprietário do Esquema é outro importante stakeholder. Trata-se de uma organização que estabelece os critérios de certificação e os requisitos metodológicos segundo os quais a conformidade deve ser avaliada. A organização que realiza as avaliações pode ser a mesma que desenvolve e detém o esquema, mas pode haver arranjos nos quais uma organização é proprietária do esquema e outra (ou mais de uma) realiza as avaliações como organismo de certificação.

Considerando que o exportador é responsável pela aplicação de todas as disposições do Capítulo V, ele também deve avaliar se a certificação que pretende utilizar como ferramenta para transferências é eficaz à luz da legislação e práticas vigentes no país terceiro relevante para a transferência em questão. Portanto, a certificação deve ser baseada na avaliação dos critérios de certificação de acordo com uma metodologia de auditoria obrigatória.

Os seguintes critérios mínimos devem ser levados em consideração pelo mecanismo de certificação com respeito ao tratamento:

  1. o propósito;
  2. o tipo de entidade (controlador ou operador);
  3. tipo de dados transferidos tendo em conta se estão envolvidas categorias especiais de dados pessoais, conforme definido no art. 9º da GDPR;
  4. as categorias de titulares de dados; e
  5. os países onde o tratamento de dados ocorre.

E com respeito à transparência e aos direitos dos titulares de dados, os seguintes critérios devem ser observados:

  1. Exigir que sejam prestadas informações sobre as atividades de tratamento aos titulares dos dados, incluindo, se for caso disso, sobre a transferência de dados pessoais para um país terceiro ou uma organização internacional (vide arts. 12º, 13º e 14º da GDPR);
  2. Exigir que sejam garantidos aos titulares dos dados os direitos de acesso, retificação, eliminação, restrição, notificação de retificação, eliminação ou restrição, oposição ao tratamento, direito a não ficar sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a definição de perfis, essencialmente equivalente àquelas previstas nos arts. 15º a 19º, 21º e 22º da GDPR;
  3. Exigir que um procedimento adequado de tratamento de reclamações seja estabelecido pelo importador de dados titular de uma certificação, a fim de garantir a implementação efetiva dos direitos do titular dos dados; e
  4. Exigir a avaliação de se e em que medida esses direitos são aplicáveis aos titulares de dados no país terceiro relevante e quaisquer medidas adicionais apropriadas que possam ser necessárias para aplicá-los, por exemplo, exigindo que o importador aceite se submeter à jurisdição e cooperar com a autoridade de supervisão competente para o(s) exportador(es) em todos os procedimentos destinados a garantir o cumprimento desses direitos e, em particular, que se compromete a responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela referida autoridade supervisora, incluindo medidas corretivas e compensatórias.

Critérios de certificação adicionais incluem a avaliação da legislação do país terceiro, obrigações gerais dos importadores e exportadores, regras sobre transferências posteriores, reparação e execução dos direitos do titular de dados, processo e ações para situações em que a legislação nacional impeça o cumprimento de compromissos assumidos como parte da certificação, como lidar com pedidos de acesso a dados por autoridades de países terceiros e salvaguardas adicionais relativas ao exportador.

Novamente, uma lista de exemplos de medidas complementares a serem implantadas pelo importador, caso o trânsito esteja incluído no escopo da certificação, acaba sendo um ponto alto das diretrizes. São os seguintes:

Caso 1 – armazenamento de dados para backup e outras finalidades que não exijam acesso a dados não criptografados

Devem ser estabelecidos critérios relativos às normas de criptografia e à segurança da chave de decriptografia, nomeadamente critérios relativos à situação jurídica do país terceiro. Caso o importador possa ser obrigado a repassar as chaves de decriptografia, a medida adicional não pode ser considerada efetiva.

Caso 2 – transferência de dados pseudonimizados

No caso de dados pseudonimizados, devem ser estabelecidos critérios relativos à segurança da informação adicional necessária para atribuir os dados cedidos a uma pessoa identificada ou identificável. A saber:

– Critérios relativos à situação jurídica no país terceiro. Se o importador puder ser forçado a acessar ou usar dados adicionais para atribuir os dados a uma pessoa identificada ou identificável, a medida não pode ser considerada eficaz; e

– Critérios relativos à definição de informações adicionais à disposição das autoridades de países terceiros que possam ser suficientes para atribuir os dados a uma pessoa identificada ou identificável.

Caso 3 – criptografia de dados para protegê-los contra o acesso pelas autoridades públicas do país terceiro do importador quando transitam entre o exportador e seu importador

No caso de dados criptografados, devem ser incluídos todos os critérios para a segurança do trânsito. Caso o importador possa ser obrigado a repassar chaves criptográficas para decriptografia, autenticação ou para modificar um componente utilizado para trânsito de modo que suas propriedades de segurança sejam prejudicadas, a medida adicional não pode ser considerada efetiva.

Caso 4 – destinatário protegido

No caso de destinatários protegidos, devem ser definidos critérios para os limites do privilégio. O processamento de dados deve permanecer dentro dos limites do privilégio legal. Isso também se aplica ao processamento por (sub)processadores e transferências posteriores, cujos destinatários também devem ser privilegiados.

Outra lista de exemplos de medidas complementares caso o trânsito não esteja coberto pela certificação e o exportador tenha que garantir é igualmente interessante:

Caso 1 – transferência de dados pseudonimizados

Devem ser fornecidos critérios relativos às informações adicionais disponíveis para as autoridades do país terceiro que possam ser suficientes para atribuir os dados a uma pessoa identificada ou identificável.

Caso 2 – criptografia de dados para protegê-los contra o acesso pelas autoridades públicas do país terceiro do importador quando transitam entre o exportador e seu importador

Devem ser fornecidos critérios relacionados à confiabilidade da autoridade de certificação de chave pública ou infraestrutura usada, à segurança das chaves criptográficas usadas para autenticação ou decriptografia e à confiabilidade do gerenciamento de chaves e ao uso de software mantido adequadamente sem vulnerabilidades conhecidas. Se o importador puder ser forçado a divulgar chaves criptográficas adequadas para decriptografia, autenticação ou modificar um componente usado para trânsito a fim de prejudicar suas propriedades de segurança, a medida não pode ser considerada eficaz.

Caso 3 – destinatário protegido

No caso de destinatários protegidos, devem ser definidos critérios para os limites do privilégio. O tratamento de dados deve permanecer dentro dos limites do privilégio legal. Isso também se aplica ao tratamento por (sub)operadores e transferências posteriores, cujos destinatários também devem ser privilegiados.

1.3. DIRETRIZES 03/2022 SOBRE PADRÕES DE DESIGN ENGANOSOS EM INTERFACES DE PLATAFORMAS DE MÍDIA SOCIAL: COMO RECONHECÊ-LOS E EVITÁ-LOS

Essas Diretrizes oferecem recomendações práticas para provedores de mídia social como controladores de mídia social, designers e usuários de plataformas de mídia social sobre como avaliar e evitar os chamados “padrões de design enganosos” em interfaces de mídia social que infringem os requisitos da GDPR.

No que diz respeito à conformidade da proteção de dados das interfaces de usuário de aplicativos online no setor de mídia social, os princípios de proteção de dados aplicáveis são definidos no art. 5º da GDPR. O princípio do tratamento justo estabelecido em sua alínea a serve como ponto de partida para avaliar se um padrão de design realmente se constitui “enganoso”.

O EDPB fornece exemplos concretos de tipos de padrões de design enganosos para os seguintes casos de uso dentro deste ciclo de vida. Eles são: a inscrição, ou seja, o processo de registro; os casos de uso de informações relativos ao aviso de privacidade, controle conjunto e comunicações de violação de dados; gestão de consentimento e proteção de dados; exercício dos direitos do titular dos dados durante a utilização das redes sociais; e, finalmente, fechar uma conta de mídia social.

Os padrões de design enganosos abordados nestas Diretrizes resultam de uma análise interdisciplinar das interfaces existentes. Eles podem ser divididos nas seguintes categorias:

  1. Sobrecarga: confrontar os usuários com uma avalanche de solicitações, informações, opções ou possibilidades, a fim de induzi-los a compartilhar mais dados ou permitir involuntariamente o processamento de dados pessoais contra as expectativas do titular dos dados;
  2. Desvio: projetar a interface ou a jornada do usuário de modo que eles esqueçam ou não pensem sobre os aspectos da proteção de dados;
  3. Tumulto: afetar a escolha que os usuários fariam ao apelar para suas emoções ou usando influências visuais;
  4. Obstrução: bloquear a obtenção de informação ou gerenciamento de dados dos usuários, dificultando ou impossibilitando a ação;
  5. Instabilidade: tonar o design da interface inconsistente e pouco claro, dificultando que os usuários naveguem pelas diferentes ferramentas de controle de proteção de dados e entenderem a finalidade do tratamento; e
  6. Deixar no escuro: projetar uma interface de modo a ocultar informações ou ferramentas de controle de proteção de dados ou deixar os usuários inseguros sobre como seus dados são tratados e que tipo de controle eles podem ter sobre eles no exercício de seus direitos.

Como o EDPB já afirmou, a justiça é um princípio abrangente que exige que os dados pessoais não sejam tratados de forma prejudicial, discriminatória, inesperada ou enganosa para o titular dos dados. Se a interface tiver informações insuficientes ou enganosas para os usuários e compreender características dos padrões de design enganosos, ela pode ser classificada como tratamento injusto. O princípio da imparcialidade tem uma função abrangente e todos os padrões de design enganosos não estariam de acordo, independentemente da conformidade com outros princípios de proteção de dados.

O primeiro passo para os usuários terem acesso a uma plataforma de mídia social é criar uma conta. Como parte deste processo de registro, os usuários são solicitados a fornecer seus dados pessoais, como nome e sobrenome, e-mail ou, às vezes, número de telefone. Os usuários precisam ser informados sobre o tratamento de seus dados pessoais e geralmente são solicitados a confirmar que leram o aviso de privacidade e concordam com os termos de uso da plataforma de mídia social. Essas informações precisam ser fornecidas em uma linguagem clara e simples, para que os usuários possam compreendê-las facilmente e concordar conscientemente.

O consentimento deve ser livre, informado e específico na fase de inscrição. Para provedores de mídia social que solicitam o consentimento dos usuários para diversos fins de tratamento, as Diretrizes 05/2020 do EDPB fornecem orientações valiosas sobre a coleta de consentimento. As plataformas de mídia social não podem contornar a capacidade de os titulares de dados consentirem livremente, seja por meio de desenhos gráficos ou redação que impeça o titular dos dados de exercer tal vontade. A este respeito, o art. 7º, inciso 2, da GDPR estabelece que o pedido de consentimento deve ser apresentado de forma claramente distinguível de outras matérias, de forma inteligível e facilmente acessível, utilizando linguagem clara e simples. Os usuários de plataformas de mídia social podem fornecer consentimento para anúncios ou tipos especiais de análise durante o processo de inscrição e, posteriormente, por meio das configurações de proteção de dados. Em qualquer caso, como estabelece o art. 32 da GDPR, o consentimento deve ser sempre fornecido por um ato afirmativo claro, de modo que as caixas pré-selecionadas ou a inatividade dos usuários não constituam consentimento.

De acordo com o art. 7º, inciso 3, alínea 1, da GDPR, os usuários de plataformas de mídia social devem poder retirar seu consentimento a qualquer momento. Antes de fornecer consentimento, os usuários também devem estar cientes do direito de retirar o consentimento, conforme exigido pelo art. 7º, inciso 3, alínea 3, da GDPR. Em particular, os controladores devem demonstrar que os usuários têm a possibilidade de recusar o consentimento ou retirá-lo sem nenhum prejuízo. Os usuários de plataformas de mídia social que consentem com o processamento de seus dados pessoais com um clique, por exemplo, marcando uma caixa, poderão retirar seu consentimento de maneira igualmente fácil. Isso destaca que o consentimento deve ser uma decisão reversível e que deve haver um grau de controle para o titular dos dados. A retirada fácil do consentimento constitui um pré-requisito válido nos termos do art. 7º, inciso 3, alínea 4, da GDPR e deve ser possível sem diminuir os níveis de serviço. A propósito, o consentimento não pode ser considerado válido sob a GDPR quando obtido por meio de apenas um clique, um deslize ou o pressionar de uma tecla, mas sua retirada requer mais etapas, é mais difícil ou leva mais tempo para ser obtida.

Novamente os exemplos tornam o entendimento de padrões de mídia enganosos mais fácil. Eles são:

Exemplo 1

Variação A: Na primeira etapa do processo de inscrição, os usuários devem escolher entre diferentes opções de registro. Eles podem fornecer um e-mail ou um número de telefone. Quando os usuários escolhem o e-mail, o provedor de mídia social ainda tenta convencer os usuários a fornecer o número de telefone, declarando que será usado para segurança da conta, sem fornecer alternativas sobre os dados que poderiam ser ou já foram fornecidos pelos usuários. Concretamente, várias janelas aparecem durante o processo de inscrição com um campo para o número de telefone, junto com a explicação “Usaremos seu número [de telefone] para segurança da conta”. Embora os usuários possam fechar a janela, eles ficam sobrecarregados e desistem de fornecer seu número de telefone. Variação B: Outro provedor de mídia social pede repetidamente aos usuários que forneçam o número de telefone toda vez que fazem login em sua conta, apesar de os usuários já terem recusado anteriormente a fornecê-lo, seja durante o processo de inscrição ou no último login.

Exemplo 2

Uma plataforma de mídia social usa uma informação ou um ícone de ponto de interrogação para incitar usuários para realizar a ação “opcional” solicitada. No entanto, em vez de apenas fornecer informações aos usuários que esperam ajuda desses botões, a plataforma solicita que os usuários aceitem a importação de seus contatos de sua conta de e-mail, exibindo repetidamente um pop-up.

Exemplo 3

Ao se registrar em uma plataforma de mídia social por meio de um navegador de desktop, os usuários são convidados a também usar o aplicativo móvel da plataforma. Durante o que parece ser outra etapa do processo de inscrição, os usuários são convidados a descobrir o aplicativo. Quando clicam no ícone, esperando ser encaminhados para uma loja de aplicativos, eles são solicitados a fornecer seu número para receber uma mensagem de texto com o link para o aplicativo.

Exemplo 4

A plataforma de mídia social pede aos usuários que compartilhem sua geolocalização afirmando: “Compartilhar e se conectar com outras pessoas ajuda a tornar o mundo um lugar melhor! Compartilhe sua geolocalização! Deixe os lugares e as pessoas ao seu redor inspirarem você!”

Exemplo 5

O provedor de mídia social incentiva os usuários a compartilhar mais dados pessoais do que realmente exigido, solicitando que forneçam uma autodescrição: “Conte-nos sobre você! Nós não podemos esperar, conte-nos agora!”

Exemplo 6

A parte do processo de inscrição onde os usuários são solicitados a enviar suas fotos contém um botão “?”. Clicar nele revela a seguinte mensagem: “Não precisa ir primeiro ao cabeleireiro. Basta escolher uma foto que diga ‘este sou eu’.”

Exemplo 7

Durante o processo de inscrição, os usuários que clicam nos botões “pular” para evitar a inserção de determinado tipo de dado verão uma janela pop-up perguntando “Tem certeza?”. Ao questionar sua decisão, o provedor de mídia social incita os usuários a revisá-la e divulgar esses tipos de dados, como gênero, lista de contatos ou foto. Por outro lado, os usuários que optam por inserir os dados diretamente não veem nenhuma mensagem pedindo para reconsiderar sua escolha.

Exemplo 8

Imediatamente após a conclusão do registro, os usuários só podem acessar as informações de proteção de dados pelo menu geral da plataforma de mídia social e navegando na seção do submenu que inclui um link para “configurações de privacidade e dados”. Ao visitar esta página, um link para a política de privacidade não é visível à primeira vista. Os usuários devem notar, em um canto da página, um pequeno ícone apontando para a política de privacidade, o que significa que os usuários dificilmente podem notar onde estão as políticas relacionadas à proteção de dados.

Exemplo 9

Neste exemplo, quando os usuários inserem sua data de nascimento, eles são convidados a escolher com quem compartilhar essas informações. Considerando que opções menos invasivas estão disponíveis, a opção “compartilhar com todos” é selecionada por padrão, o que significa que todos os usuários registrados, bem como qualquer um na Internet, poderão ver a data de nascimento dos usuários.

Exemplo 10

Os usuários não recebem um link para informações sobre proteção de dados após iniciarem o processo de inscrição. Os usuários não podem encontrar essas informações, pois nenhuma é fornecida na interface de inscrição, nem mesmo no rodapé.

Exemplo 11

Durante o processo de registo, os utilizadores podem consentir ao tratamento dos seus dados pessoais para fins publicitários e são informados de que podem alterar a sua escolha quando quiserem, uma vez registados nas redes sociais, acedendo à política de privacidade. No entanto, uma vez que os usuários concluíram o processo de registro e vão para a política de privacidade, não encontram meios sobre como retirar seu consentimento para isso.

Exemplo 12

Neste exemplo, as informações relacionadas ao compartilhamento de dados dão uma impressão altamente positiva da perspectiva do tratamento, destacando os benefícios de compartilhar o máximo de dados possível. Acoplado à ilustração que representa a fotografia de um animal fofo brincando com uma bola, esse Direcionamento Emocional pode dar aos usuários a ilusão de segurança e conforto quanto aos riscos potenciais de compartilhar algum tipo de informação na plataforma. Por outro lado, as informações fornecidas sobre como controlar a publicidade dos próprios dados não são claras. Primeiro, diz-se que os usuários podem definir suas preferências de compartilhamento a qualquer momento. No entanto, a última frase indica que isso não é possível uma vez que algo já foi postado na plataforma. Essas informações conflitantes deixam os usuários inseguros sobre como controlar a publicidade de seus dados.

Exemplo 13

As informações relacionadas aos direitos do titular dos dados estão espalhadas pelo aviso de privacidade. Embora os diferentes direitos dos titulares sejam explicados na seção “Suas opções”, o direito de apresentar uma reclamação e o endereço de contato exato é indicado somente após várias seções e camadas referentes a diferentes tópicos. O aviso de privacidade, portanto, deixa parcialmente de fora os detalhes de contato nos estágios em que isso seria desejável e aconselhável.

Exemplo 14

A política de privacidade não é dividida em diferentes seções com títulos e contente. Mais de 70 páginas são fornecidas, no entanto, não há um menu de navegação na lateral ou na parte superior para permitir que os usuários acessem facilmente a seção que procuram. A explicação do termo autocriado “dados de criação” é contida em uma nota de rodapé na página 67.

Exemplo 15

Um aviso de privacidade descreve parte de um tratamento de forma vaga e imprecisa, como nesta frase: “Seus dados podem ser usados para melhorar nossos serviços”. Adicionalmente, o direito de acesso aos dados pessoais é aplicável ao tratamento com base no art. 15º, inciso 1, da GDPR, mas é mencionado de maneira obscura ao usuário o que lhe é acessado: “Você pode ver parte das informações em sua conta e revisar o que você postou na plataforma”.

Exemplo 16

Variação A: A plataforma de mídia social está disponível em idioma croata como o idioma de escolha dos usuários (ou em espanhol como o idioma do país em que se encontram), enquanto todas ou algumas informações sobre proteção de dados estão disponíveis apenas em inglês. Variação B: Cada vez que os usuários acessam determinadas páginas, como a página de ajuda, elas mudam automaticamente para o idioma do país em que os usuários estão, mesmo que tenham selecionado anteriormente um idioma diferente.

Exemplo 17

Em sua plataforma, o provedor de mídia social disponibiliza um documento chamado “aconselhamento útil” que também contém informações importantes sobre o exercício dos direitos do titular dos dados. No entanto, a política de privacidade não contém um link ou outro direcionamento a este documento. Em vez disso, menciona que mais detalhes estão disponíveis na seção de perguntas e respostas do site. Os usuários que esperam informações sobre seus direitos na política de privacidade não encontrarão essas explicações lá e terão que navegar mais e pesquisar na seção de perguntas e respostas.

Exemplo 18

Em sua política de privacidade, um provedor de mídia social oferece muitos hiperlinks para páginas com mais informações sobre tópicos específicos. No entanto, há várias partes na política de privacidade contendo apenas declarações gerais de que é possível acessar mais informações, sem dizer onde ou como.

Exemplo 19

Com relação aos padrões de design enganosos, o desafio para os controladores neste momento é integrar essas informações ao sistema online de modo que possam ser facilmente percebidas e não percam sua clareza e compreensão, embora o art. 12º, inciso 1, alínea 1, da GDPR não se refira diretamente ao art. 26º, inciso 2, alínea 2 da GDPR.

Exemplo 20

O controlador se refere apenas a ações de terceiros. Uma determinada violação de dados foi originada por um terceiro (por exemplo, um processador) e que, portanto, não ocorreu nenhuma violação de segurança. O controlador também destaca algumas boas práticas não relacionadas à violação real. O controlador declara a gravidade da violação de dados em relação a si mesmo ou a um processador, e não em relação ao titular dos dados.

Exemplo 21

Por meio de uma violação de dados em uma plataforma de mídia social, vários conjuntos de dados de saúde foram acidentalmente acessíveis a usuários não autorizados. O provedor de mídia social apenas informa aos usuários que “categorias especiais de dados pessoais” foram tornadas públicas acidentalmente.

Exemplo 22

O controlador fornece apenas detalhes vagos ao identificar as categorias de dados pessoais afetados. Por exemplo, o controlador se refere a documentos enviados por usuários sem especificar quais categorias de dados pessoais esses documentos incluem e quão sensíveis eles eram.

Exemplo 23

Ao relatar uma violação, o controlador não especifica suficientemente o categoria dos titulares dos dados afetados. Por exemplo, o controlador apenas menciona que os titulares dos dados em questão eram estudantes, mas o controlador não especifica se os titulares dos dados são menores ou grupos de titulares dos dados vulneráveis.

Exemplo 24

Um responsável pelo tratamento declara que os dados pessoais foram tornados públicos através de outras fontes quando notifica a violação à Autoridade de Supervisão e ao titular dos dados. Portanto, o titular dos dados considera que não houve violação de segurança.

Exemplo 25

O controlador relata através de textos que contêm muitas informações não relevantes e omitem os detalhes relevantes. Nas falhas de segurança que afetam as credenciais de acesso e outros tipos de dados, o controlador declara que os dados são criptografados, enquanto são apenas protegidos por senhas.

Exemplo 26

A interface usa um botão de alternância para permitir que os usuários deem ou retirem o consentimento. No entanto, a maneira como a alternância é projetada não deixa claro em que posição ela está e se os usuários deram consentimento ou não. De fato, a posição do botão não corresponde à cor. Se o botão estiver do lado direito, que geralmente está associado à ativação do recurso (“switch on”), a cor do botão é vermelha, o que geralmente significa que um recurso está desativado. Por outro lado, quando o botão está no lado esquerdo, geralmente significando que o recurso está desativado, a cor de fundo do botão de alternância é verde, que normalmente está associada a uma opção ativa.

Exemplo 27

O provedor de mídia social fornece informações contraditórias aos usuários: embora as informações primeiro afirmem que os contatos não são importados sem consentimento, uma janela pop-up de informações explica simultaneamente como os contatos serão importados de qualquer maneira.

Exemplo 28

Os usuários navegam em seu feed de mídia social. Ao fazê-lo, eles são mostrados anúncios. Intrigados com um anúncio e curiosos sobre os motivos pelos quais ele é exibido, eles clicam em um sinal “?” disponível no canto inferior direito do anúncio. Ele abre uma janela pop-in que explica por que os usuários veem esse anúncio específico e lista os critérios de segmentação. Ele também informa aos usuários que eles podem retirar seu consentimento para anúncios direcionados e fornece umlink para fazê-lo. Quando os usuários clicam nestelink, eles são redirecionados para um site totalmente diferente, com explicações gerais sobre o que é consentimento e como gerenciá-lo.

Exemplo 29

Na parte da conta de mídia social onde os usuários podem compartilhar pensamentos, fotos etc. eles são solicitados a confirmar que gostariam de compartilhar este conteúdo depois de digitá-lo ou carregá-lo. Os usuários podem escolher entre um botão dizendo “Sim, por favor”. e outro dizendo “Não, obrigado”. No entanto, quando os usuários decidem não compartilhar o conteúdo com outras pessoas clicando no segundo botão, o conteúdo é publicado em sua conta de mídia social.

Exemplo 30

Um banner de cookies na plataforma de mídia social afirma “Para ter cookies deliciosos, você só precisa de manteiga, açúcar e farinha. Confira nossa receita favorita aqui [link]. Também usamoscookies. Leia mais em nossa política de cookies [link]”, juntamente com um botão “ok”.

Exemplo 31

Os usuários desejam gerenciar as permissões concedidas à plataforma de mídia social com base no consentimento. Eles devem encontrar uma página nas configurações relacionadas a essas ações específicas e desejam desativar o compartilhamento de seus dados pessoais para fins de pesquisa. Quando os usuários clicam na caixa para desmarcá-la, nada acontece no nível da interface e eles têm a impressão de que o consentimento não pode ser retirado.

Exemplo 32

Um provedor de mídia social trabalha com terceiros para o processamento dos dados pessoais de seus usuários. Na sua política de privacidade, ele fornece a lista desses terceiros, mas sem um link para cada uma das suas políticas de privacidade, limitando-se a aconselhar os utilizadores a visitar os sites de terceiros para obterem informações sobre como essas entidades tratam os dados e exercem os seus direitos.

Exemplo 33

Um provedor de mídia social não fornece um cancelamento direto do processamento de um anúncio direcionado, embora o consentimento (opt-in) exija apenas um clique.

Exemplo 34

As informações para retirar o consentimento estão disponíveis em um link acessível apenas ao verificar todas as seções de sua conta e informações associadas a anúncios exibidos no feed da mídia social.

Exemplo 35

Neste exemplo, quando os usuários criam a sua conta, pergunta-se se aceitam que os seus dados sejam tratados para obter publicidade personalizada. Caso os usuários não concordem com esse uso de seus dados, eles veem regularmente – enquanto usam a rede social – uma caixa de solicitação perguntando se desejam anúncios personalizados. Esta caixa bloqueia o uso da rede social. Sendo exibido regularmente, esse prompt contínuo provavelmente cansará os usuários a consentir em anúncios personalizados.

Exemplo 36

É provável que os usuários não saibam o que fazer quando o menu de uma plataforma de mídia social contém várias guias que tratam da proteção de dados como “proteção de dados”, “segurança”, “conteúdo”, “privacidade”, “suas preferências”.

Exemplo 37

O usuário X desativa o uso de sua geolocalização para fins de publicidade. Depois de clicar no botão que permite fazer isso, aparece uma mensagem dizendo “Desativamos sua geolocalização, mas sua localização ainda será usada”.

Exemplo 38

Tópicos relacionados, tal como as configurações de compartilhamento de dados do provedor de mídia social com terceiros e vice-versa, não são disponibilizados nos mesmos espaços ou próximos, mas sim em diferentes guias do menu de configurações.

Exemplo 39

Em toda a plataforma de mídia social, nove em cada dez configurações de proteção de dados opções são apresentadas na seguinte ordem:

– opção mais restritiva (ou seja, compartilhar menos dados com outras pessoas);

– opção limitada, mas não tão restritiva quanto a primeira; e

– opção menos restritiva (ou seja, compartilhar o máximo de dados com outras pessoas).

Os usuários desta plataforma estão acostumados com suas configurações de proteção de dados apresentadas nesta ordem. No entanto, esta ordem não é aplicada na última configuração, onde a escolha da visibilidade dos aniversários dos usuários é mostrada na seguinte ordem:

– Mostrar todo o meu aniversário: 15 de janeiro de 1929 (= opção menos restritiva);

– Mostrar apenas dia e mês: 15 de janeiro (= opção limitada, mas não a mais restritiva); e

– Não mostrar aos outros o meu aniversário (= opção mais restritiva).

Exemplo 40

Entre as opções de visibilidade de dados “visível para mim”, “para meus amigos mais próximos”, “para todas as minhas conexões” e “público”, a opção do meio “para todas as minhas conexões” é predefinida. Isso significa que todos os usuários conectados a eles podem ver suas contribuições, bem como todas as informações inseridas para inscrição na plataforma de mídia social, como endereço de e-mail ou data de nascimento.

Exemplo 41

Neste exemplo, quando os usuários desejam gerenciar a visibilidade de seus dados, eles devem acessar a guia “preferências de privacidade”. As informações para as quais eles podem definir suas preferências estão listadas lá. No entanto, a maneira como as informações são exibidas não torna claro como alterar as configurações. De fato, os usuários devem clicar na opção de visibilidade atual para acessar um menu suspenso no qual podem selecionar a opção de sua preferência.

Exemplo 42

As configurações de proteção de dados são difíceis de se encontrar na conta do usuário, pois, no primeiro nível, não há capítulo de menu com um nome ou cabeçalho que leve nessa direção. Os usuários devem procurar outros submenus como “Segurança”.

Exemplo 43

A alteração da configuração é dificultada, pois, na área de trabalho da plataforma de mídia social, o botão “salvar” para registrar suas alterações não fica visível com todas as opções, mas apenas no topo do submenu. É provável que os usuários ignorem isso e suponham erroneamente que suas configurações são salvas automaticamente, portanto, movendo-se para outra página sem clicar no botão “salvar”. Esse problema não ocorre nas versões app e mobile. Portanto, isso cria uma confusão adicional para os usuários que mudam da versão app para a versão desktop e pode fazê-los pensar que alterar suas configurações só é possível na versão móvel ou no aplicativo

Exemplo 44

Os usuários clicam em “exercer meu direito de acesso” no aviso de privacidade, mas são redirecionados ao seu perfil, que não fornece nenhum recurso relacionado ao exercício do direito.

Exemplo 45

Ao clicar em um link relacionado ao exercício dos direitos do titular dos dados, as seguintes informações não são fornecidas no(s) idioma(s) oficial(is) do estado do país do usuário, enquanto o serviço é. Em vez disso, os usuários são redirecionados para uma página em inglês.

Exemplo 46

A plataforma de mídia social não declara explicitamente que os usuários na UE têm o direito de apresentar uma reclamação a uma autoridade supervisora, mas apenas menciona que em alguns países – sem mencionar quais – há autoridades de proteção de dados que a mídia social provedor coopera com relação a reclamações.

Exemplo 47

Aqui, as informações relacionadas aos direitos de proteção de dados estão disponíveis em pelo menos quatro páginas. Embora a política de privacidade informe sobre todos os direitos, ela não redireciona às páginas relevantes para cada um deles. Por outro lado, quando os usuários visitam sua conta, não encontram informações sobre alguns dos direitos que podem exercer. Este labirinto de privacidade obriga os usuários a vasculhar muitas páginas para descobrir onde exercer cada direito e, dependendo da navegação, podem não estar cientes de todos os direitos que possuem.

Exemplo 48

Neste exemplo, os usuários desejam atualizar alguns de seus dados pessoais, mas não encontram uma maneira de fazê-lo em sua conta. Eles clicam em um link redirecionando-os para a página de Perguntas e Respostas onde inserem sua pergunta. Vários resultados aparecem, alguns relacionados aos direitos de acesso e exclusão. Após conferir todos os resultados, eles clicam no link disponível na página “Como acessar seus dados”. Ele os redireciona para a política de privacidade. Lá, eles encontram informações sobre direitos adicionais. Após a leitura desta informação, clicam no link associado ao exercício do direito de retificação que o redireciona para a conta de usuário. Insatisfeitos, eles voltam para a política de privacidade e clicam em um link geral dizendo “Envie-nos uma solicitação”. Isso leva os usuários ao seu painel de privacidade. Como nenhuma das opções disponíveis parece corresponder à sua necessidade, os usuários acabam por acessar à página “exercício de outros direitos” onde encontram finalmente uma forma de contato.

Exemplo 49

O parágrafo sob o subtítulo “direito de acesso” na política de privacidade explica que os usuários têm o direito de obter informações sob o art. 15º, inciso 1, da GDPR. No entanto, apenas menciona a possibilidade de os usuários receberem uma cópia de seus dados pessoais. Não há link direto visível para exercer o componente de cópia do direito de acesso nos termos do art. 15º, inciso 3, da GDPR. Em vez disso, as três primeiras palavras em “Você pode ter uma cópia de seus dados pessoais” estão ligeiramente sublinhadas. Ao passar o mouse sobre essas palavras com o mouse do usuário, uma pequena caixa é exibida com um link para as configurações.

Exemplo 50

A plataforma de mídia social oferece diferentes versões ( desktop, aplicativo, celular). Em cada versão, as configurações (conduzindo ao acesso/objeção etc.) são exibidas com um símbolo diferente, deixando os usuários que alternam entre as versões confusos.

Exemplo 51

Quando o usuário opta por deletar o nome e local de sua escola de ensino médio ou a referência a um evento que participou e compartilhou, uma segunda janela aparece pedindo para confirmar essa escolha (“Você realmente quer fazer isso? Por que você quer fazer isso?”).

Exemplo 52

Os usuários estão procurando o direito de apagar seus dados. Eles têm que abrir as configurações da conta, abrir um submenu chamado “privacidade” e rolar até o final para encontrar um link para excluir a conta.

Exemplo 53

No primeiro nível de informação, a informação é dada aos usuários destacando apenas as consequências negativas e desanimadoras de excluir suas contas (por exemplo, “você vai perder tudo para sempre” ou “seus amigos vão te esquecer”).

Exemplo 54

Quando os usuários excluem sua conta, eles não são informados sobre o tempo em que seus dados serão mantidos após a exclusão da conta. Pior ainda, em nenhum momento de toda a exclusão, os usuários do processo são avisados sobre o fato de que “alguns dos dados pessoais” podem ser armazenados mesmo após a exclusão de uma conta. Eles precisam buscar a informação por conta própria, nas diversas fontes de informação disponíveis.

Exemplo 55

Os usuários só podem excluir sua conta por meio de links denominados “Até mais” ou “Desativar” disponível em sua conta.

Exemplo 56

No processo de excluir sua conta, os usuários têm duas opções para escolher: Excluir sua conta ou pausá-la. Por padrão, a opção de pausa é selecionada.

Exemplo 57

Após clicar em “Excluir minha conta”, os usuários têm a opção de baixar seus dados, implementado como direito à portabilidade, antes de excluir a conta. Ao clicar para baixar suas informações, os usuários são redirecionados para uma página de informações de download. No entanto, uma vez que os usuários tenham escolhido o que e como baixar seus dados, eles não são redirecionados para o processo de exclusão.

Exemplo 58

Neste exemplo, os usuários primeiro veem uma caixa de confirmação para apagar sua conta depois de clicar no link ou botão correspondente. Mesmo que haja algum Direcionamento Emocional nesta caixa, esta etapa pode ser vista como uma medida de segurança para que os usuários não excluam sua conta após um clique incorreto em sua conta. No entanto, quando os usuários clicam no botão “Excluir minha conta”, eles são confrontados com uma segunda caixa perguntando para descrever textualmente o motivo pelo qual desejam sair da conta. Desde que não tenham inserido algo na caixa, não podem excluir sua conta, pois o botão associado à ação está inativo e acinzentado. Essa prática torna o apagar de uma conta mais demorado do que o necessário, especialmente porque pedir aos usuários que produzam um texto descrevendo por que eles querem sair de uma conta requer esforço e tempo extras e não deve ser obrigatório excluir a conta.

Exemplo 59

O provedor de mídia social torna obrigatório que os usuários respondam a uma pergunta sobre seus motivos para desejar apagar sua conta, por meio de uma seleção d e respostas em um menu suspenso. Parece aos usuários que responder a essa pergunta (aparentemente) permite que eles realizem a ação que desejam, ou seja, excluir a conta. Após uma resposta ser selecionada, uma janela pop-up aparece, mostrando aos usuários uma maneira de resolver o problema declarado em sua resposta. O processo de perguntas e respostas, portanto, retarda os usuários em seu processo de exclusão de conta.

Exemplo 60

Na plataforma de mídia social XY, o link para desativar ou excluir a conta é encontrado na guia “Seus dados XY” .

Exemplo 61

A guia real para apagar uma conta é encontrada na seção “excluir uma função de sua conta”.

Em conclusão, as três diretrizes são exemplos de boas práticas para orientar a sociedade, de maneira geral.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

O EDPB publica novas diretrizes para proteção de dados pessoais

No items found.

O Conselho Europeu de Proteção de Dados (EDPB, European Data Protection Board), autoridade europeia para proteção de dados pessoais, publicou recentemente, após consulta pública da qual participaram diversos segmentos da sociedade europeia, três novas diretrizes relacionadas à proteção de dados pessoais. Elas as são seguintes:

1. Diretrizes 05/2021 sobre a interação entre a aplicação do art. 3º e as disposições sobre transferências internacionais de acordo com o Capítulo V da GDPR
2. Diretrizes 07/2022 sobre a certificação como ferramenta para transferências
3. Diretrizes 03/2022 sobre padrões de design enganosos em interfaces de plataformas de mídia social: como reconhecê-los e evitá-los

Passamos a uma breve descrição de cada uma delas.

1.1. DIRETRIZES 05/2021 SOBRE A INTERAÇÃO ENTRE A APLICAÇÃO DO ART. 3º E AS DISPOSIÇÕES SOBRE TRANSFERÊNCIAS INTERNACIONAIS DE ACORDO COM O CAPÍTULO V DA GDPR

Como a GDPR (General Data Protection Regulation, Resolução Geral de Proteção de Dados) não define o que é “transferência de dados pessoais para um país terceiro ou para uma organização internacional”, o EDPB utilizou três critérios cumulativos para qualificar uma operação de tratamento como transferência. Assim, se os três critérios identificados pelo EDPB forem cumpridos, há uma transferência e o Capítulo V da GDPR é aplicável. Eles são:

1. Um controlador ou um operador (“exportador”) está sujeito à GDPR para o referido tratamento.

2. O exportador divulga por transmissão ou de outra forma torna dados pessoais, sujeitos a este tratamento, disponíveis a outro controlador, controlador conjunto ou operador (“importador”).

3. O importador se encontra em um país terceiro, independentemente de estar ou não sujeito à GDPR para o referido tratamento de acordo com o art. 3º ou é uma organização internacional.

Dessa forma, a transferência de dados pessoais para um país terceiro ou para uma organização internacional somente poderá ocorrer no contexto de uma decisão de adequação da Comissão Europeia (art. 45.º) ou mediante a disponibilização de salvaguardas adequadas (art. 46º).

Caso os três critérios não sejam atendidos, o Capítulo V da GDPR não se aplica, mas o responsável pelo tratamento deve cumprir com as demais disposições da GDPR, especialmente o art. 5º (“Princípios relativos ao tratamento de dados pessoais”), o art. 24º (“Responsabilidade do controlador”) e o art. 32º (“Segurança do tratamento”).

Os riscos desse tratamento de dados pessoais em um país estrangeiro não atender à GDPR são focados especialmente em leis nacionais conflitantes ou acesso desproporcional do governo.

O ponto alto desse guia são os exemplos. Eles ajudam a entender a questão em casos práticos, conforme disposto a seguir:

Exemplo 1 – O controlador em um país terceiro coleta dados diretamente de um titular de dados na UE (sob o art. 3º, inciso 2, da GDPR)

Maria, que mora na Itália, insere o seu nome, sobrenome e endereço ao preencher um formulário em um site de roupas online para concluir a sua encomenda e receber o vestido que comprou em sua residência na Roma. O site de roupas online é operado por uma empresa de um país terceiro que não tem presença na UE, mas visa especificamente o mercado UE. Neste caso, o titular dos dados (Maria) transmite os seus dados pessoais à empresa do país terceiro. Isso não constitui uma transferência de dados pessoais, uma vez que os dados não são transmitidos por um exportador (controlador ou operador), mas sim coletados diretamente do titular dos dados pelo controlador nos termos do art. 3º, inciso 2, da GDPR. Assim, o Capítulo V não se aplica a este caso. No entanto, a empresa de um país terceiro será obrigada a aplicar a GDPR, uma vez que as suas operações de tratamento estão sujeitas ao art. 3.º, inciso 2.

Exemplo 2 – O controlador em um país terceiro coleta dados diretamente de um titular de dados na UE (sob Art. 3º, inciso 2, GDPR) e usa um operador fora da UE para algumas atividades de tratamento

Maria, que mora na Itália, insere o seu nome, sobrenome e endereço ao preencher um formulário em um site de roupas online para concluir a sua encomenda e receber o vestido que comprou online em sua residência na Roma. O site de roupas online é operado por uma empresa de um país terceiro que não tem presença na UE, mas visa especificamente o mercado da UE. Para tratar os pedidos recebidos por meio do site, a empresa do país terceiro contratou um operador que não pertence ao Espaço Econômico Europeu (EEE). Neste caso, o titular dos dados (Maria) cede os seus dados pessoais à empresa de país terceiro e isso não constitui uma transferência de dados pessoais, uma vez que os dados são recolhidos diretamente pelo responsável pelo tratamento conforme o art. 3º, inciso 2, do GDPR. Assim, o responsável pelo tratamento terá que aplicar a GDPR ao tratar estes dados pessoais. Na medida em que se contrata um operador que não pertence ao EEE, a divulgação por parte da empresa de um país terceiro ao seu operador que não pertence ao EEE equivaleria a uma transferência, e seria necessário aplicar as obrigações do art. 28º, Capítulo V, para garantir que o nível de proteção oferecida pela GDPR não seria prejudicada quando os dados fossem tratados em seu nome pelo operador que não pertence ao EEE.

Exemplo 3 – O controlador em um país terceiro recebe dados diretamente de um titular de dados na UE (mas não sob o art. 3º, inciso 2, da GDPR) e usa um operador fora da UE para algumas atividades de tratamento

Maria, que mora na Itália, decide reservar um quarto de hotel em Nova York por meio de um formulário no site do hotel. Os dados pessoais são coletados diretamente pelo hotel, o qual não tem como alvo/monitora indivíduos no EEE. Neste caso, não ocorre qualquer transferência, uma vez que os dados são transmitidos diretamente pelo titular dos dados e recolhidos diretamente pelo responsável pelo tratamento. Além disso, uma vez que nenhuma atividade de direcionamento ou monitoramento de indivíduos no EEE é realizada pelo hotel, a GDPR não será aplicada, inclusive com relação a quaisquer atividades de tratamento realizadas por operadores fora do EEE em nome do hotel.

Exemplo 4 – Dados coletados por uma plataforma do EEE e, em seguida, transmitidos a um responsável pelo tratamento em um país terceiro

Maria, que mora na Itália, reserva um quarto de hotel em Nova York por meio de uma agência de viagens online no EEE. Os dados pessoais de Maria, necessários para a reserva do hotel, são coletados pela agência de viagens online na EEE como controladora e enviados ao hotel que recebe os dados como controladora separada. Ao passar os dados pessoais ao hotel do país terceiro, a agência de viagens do EEE realiza uma transferência de dados pessoais e aplica-se o Capítulo V da GDPR.

Exemplo 5 –O controlador na UE envia dados para um processador em um terceiro país

A empresa X estabelecida na Áustria, na qualidade de responsável pelo tratamento, fornece dados pessoais dos seus empregados ou clientes à empresa Z em um país terceiro, a qual trata esses dados como subcontratante em nome da empresa X. Neste caso, os dados são fornecidos por um responsável pelo tratamento sujeito à GDPR, que no que diz respeito ao tratamento em questão, a um subcontratante de um país terceiro. Assim, o fornecimento de dados será considerado como uma transferência de dados pessoais para um país terceiro e, portanto, aplica-se o Capítulo V da GDPR.

Exemplo 6 – O operador na UE envia dados de volta ao seu controlador em um terceiro país

A XYZ Inc., controladora não estabelecida na UE, envia dados pessoais de seus funcionários/clientes, todos titulares de dados não localizados na UE, ao operador ABC Ltd. para tratamento na UE, em nome da XYZ. ABC retransmite os dados para XYZ. O tratamento realizado pela ABC, o operador, é coberto pela GDPR para obrigações específicas de operador de acordo com o art. 3º, inciso 1, uma vez que a ABC está estabelecida na UE. Uma vez que a XYZ é responsável pelo tratamento em um país terceiro, a divulgação de dados da ABC à XYZ é considerada como uma transferência de dados pessoais e, por conseguinte, aplica-se o Capítulo V.

Exemplo 7 – O operador na UE envia dados para um suboperador em um terceiro país

A empresa A estabelecida na Alemanha, na qualidade de controlador, contratou B, uma empresa francesa, como operadora em seu nome. A empresa B deseja delegar ainda uma parte das atividades de tratamento que está realizando em nome de A ao suboperador C, uma empresa em um país terceiro, e, portanto, envia os dados ao C para esta finalidade. O tratamento realizado por A e seu operador B é realizado no contexto isso seus estabelecimentos na UE e, portanto, está sujeito à GDPR de acordo com seu art. 3º, inciso 1, enquanto o tratamento por C é realizado em um país terceiro. Portanto, a passagem de dados do operador B ao suboperador C é uma transferência para um país terceiro e aplica-se o Capítulo V da GDPR.

Exemplo 8 – Funcionário de um controlador na UE viaja para um país terceiro em viagem de negócios

George, funcionário da empresa A, sediada na Polônia, viaja para um país terceiro para uma reunião trazendo seu notebook. Durante sua estada no exterior, George liga seu computador e acessa remotamente dados pessoais nos bancos de dados de sua empresa para finalizar um memorando. Trazer o notebook e acessar dados pessoais de um país terceiro remotamente não se qualificam como uma transferência de dados pessoais, uma vez que George não é outro controlador, mas sim um funcionário e, portanto, parte integrante do controlador A. Desse modo, a transmissão é realizada dentro do mesmo controlador A. O tratamento, incluindo o acesso remoto e as atividades de tratamento realizadas por George após o acesso, é realizado pela empresa polonesa, ou seja, um controlador estabelecido na UE sujeito ao art. 3º, inciso 1, da GDPR. Entretanto, nota-se que, se George, na sua qualidade de empregado de A, enviasse ou disponibilizasse dados a outro responsável pelo tratamento ou subcontratante no país terceiro, o fluxo de dados em questão equivaleria a uma transferência ao abrigo do Capítulo V; do exportador A na UE para esse importador no país terceiro.

Exemplo 9: Uma subsidiária (controladora) na UE compartilha dados com sua matriz (operadora) em um terceiro país

A empresa irlandesa X, que é uma subsidiária da matriz Y em um país terceiro, divulga dados pessoais de seus funcionários à empresa Y para serem armazenados em um banco de dados centralizado de RH pela matriz no país terceiro. Nesse caso, a empresa irlandesa X trata (e divulga) os dados na qualidade de empregadora e, portanto, como controladora, ao passo que a matriz é a operadora. A empresa X está sujeita à GDPR de acordo com o art. 3º, inciso 1, para este tratamento e a Empresa Y está situada em um país terceiro. A divulgação, portanto, se qualifica como uma transferência para um país terceiro conforme o Capítulo V da GDPR.

Exemplo 10 – O operador na UE envia dados de volta ao seu controlador em um país terceiro

A empresa A, controladora sem estabelecimento na UE, recebe bens e serviços no mercado da UE. A empresa francesa B está tratando dados pessoais em nome da empresa A. B retransmite os dados para A. O tratamento realizado pelo processador B está abrangido pela GDPR para as obrigações específicas do subcontratante nos termos do art. 3º, inciso 1, uma vez que ocorre no contexto disso atividades do seu estabelecimento na UE. O tratamento realizado por A também está abrangido pela GDPR, uma vez que o art. 3º, inciso 2, aplica-se a A. No entanto, como A está em um país terceiro, a divulgação de dados de B para A é considerada como uma transferência para um país terceiro e, portanto, o Capítulo V se aplica

Exemplo 11 – Acesso remoto a dados na UE por um operador de um país terceiro agindo em nome de controladores da UE

Uma empresa em um país terceiro (empresa Z), sem estabelecimento na UE oferece serviços como operador a empresas na UE. A empresa Z, atuando como operador em nome dos controladores da UE, está acessando remotamente, por exemplo, para fins de suporte, os dados armazenados na UE. Como a empresa Z se localiza em um país terceiro, esse acesso remoto resulta em transferências de dados dos controladores da UE para seu operador (empresa Z) em um país terceiro nisso termos do Capítulo V.

Exemplo 12 – O controlador na UE usa um operador na UE sujeito à legislação de um terceiro país

A empresa dinamarquesa X, na qualidade de controladora, contrata a empresa Y estabelecida na UE como operadora em seu nome. A empresa Y é uma subsidiária da matriz Z de um país terceiro. A empresa Y está tratando os dados da empresa X exclusivamente na UE e não há ninguém fora da UE, incluindo a matriz Z, que tenha acesso aos dados. Além disso, um resultado do contrato entre a empresa X e a empresa Y é que Y só tratará os dados pessoais mediante instruções documentadas da empresa X, salvo se for exigido pela legislação da UE ou do Estado-Membro ao qual a empresa Y está sujeita. A empresa Y está, no entanto, sujeita à legislação de países terceiros com efeito extraterritorial, o que, neste caso, significa que a empresa Y pode receber pedidos de acesso feitos por autoridades de países terceiros. Como a empresa Y não está em um país terceiro (sendo uma empresa da UE sujeita ao art. 3º, inciso 1, da GDPR), a divulgação de dados da empresa X controladora à empresa Y operadora não equivale a uma transferência e Capítulo V da GDPR não se aplica. Conforme mencionado, há, no entanto, a possibilidade de a empresa Y receber solicitações de acesso feitas por autoridades de países terceiros e, caso a empresa Y atenda a tal solicitação, tal divulgação de dados será considerada como uma transferência nos termos do Capítulo V. Quando a empresa Y atender a uma solicitação que viola as instruções do controlador e, portanto, o art. 28º da GDPR, a empresa Y deverá ser considerada como um controlador independente desse tratamento nos termos do art. 28º, inciso 10, da GDPR. Nesta situação, a empresa X, responsável pelo tratamento, deve, antes de contratar o subcontratante, avaliar estas circunstâncias para garantir que, conforme exigido pelo art. 28.º da GDPR, apenas recorra a subcontratantes que apresentem garantias suficientes para a implementação de medidas técnicas e organizativas adequadas, para que o tratamento seja efetuado em conformidade com a GDPR, incluindo o Capítulo V, assim como assegurar a existência de um contrato ou ato jurídico que regule o tratamento por parte do subcontratante.

1.2. DIRETRIZES 07/2022 SOBRE A CERTIFICAÇÃO COMO FERRAMENTA PARA TRANSFERÊNCIAS

O art. 46º da GDPR preconiza que os exportadores de dados implementem salvaguardas adequadas para transferências de dados pessoais para países terceiros ou organizações internacionais. Dentre essas salvaguardas, surge a certificação como um novo mecanismo de transferência (arts. 42º, inciso 2, e 46º, inciso 2, alínea f).

Segundo o art. 44º da GDPR, qualquer transferência de dados pessoais para países terceiros ou organizações internacionais deve cumprir as condições das restantes disposições da GDPR para além do cumprimento de seu Capítulo V. Portanto, cada transferência deve cumprir, entre outros, os princípios de proteção de dados do art. 5º da GDPR, estar de acordo com o art. 6º da GDPR e cumprir o art. 9º da GDPR no caso de categorias especiais de dados.

Assim, um teste de duas etapas deve ser aplicado. Como primeira etapa, deve-se garantir o cumprimento das disposições gerais da GDPR. Em seguida, como segunda etapa, deve-se cumprir o disposto no Capítulo V da GDPR.

Nos termos do art. 46º, inciso 2, alínea f, da GDPR, essas salvaguardas adequadas, como respeitar os direitos dos titulares dos dados, podem ser fornecidas por um mecanismo de certificação aprovado, juntamente com compromissos vinculativos e exequíveis do responsável pelo tratamento ou operador no país terceiro.

O EDPB tem poderes para aprovar critérios de certificação em todo o EEE por meio do Selo Europeu de Proteção de Dados e emitir opiniões sobre projetos de decisão das Autoridades Supervisoras sobre critérios de certificação e requisitos de credenciamento dos organismos de certificação, de modo a garantir a consistência. Também é competente para reunir todos os mecanismos de certificação e selos e marcas de proteção de dados em um registro e disponibilizá-los publicamente.

Já as Autoridades Supervisoras (SAs, Supervisory Authorities) aprovam os critérios de certificação quando o mecanismo de certificação não for um Selo Europeu de Proteção de Dados . Elas também podem credenciar o organismo de certificação, definir os critérios de certificação e emiti-la, se estabelecido pela legislação nacional de seu Estado-Membro.

Por outro lado, o Organismo Nacional de Acreditação pode credenciar terceiros organismos de certificação usando a ISO 17065 e os requisitos adicionais de acreditação da SA, os quais devem estar de acordo com a seção 2 das diretrizes. Em alguns Estados-Membros, a acreditação pode ser oferecida tanto pela SA competente como por um organismo nacional de acreditação ou por ambos.

E finalmente, o Proprietário do Esquema é outro importante stakeholder. Trata-se de uma organização que estabelece os critérios de certificação e os requisitos metodológicos segundo os quais a conformidade deve ser avaliada. A organização que realiza as avaliações pode ser a mesma que desenvolve e detém o esquema, mas pode haver arranjos nos quais uma organização é proprietária do esquema e outra (ou mais de uma) realiza as avaliações como organismo de certificação.

Considerando que o exportador é responsável pela aplicação de todas as disposições do Capítulo V, ele também deve avaliar se a certificação que pretende utilizar como ferramenta para transferências é eficaz à luz da legislação e práticas vigentes no país terceiro relevante para a transferência em questão. Portanto, a certificação deve ser baseada na avaliação dos critérios de certificação de acordo com uma metodologia de auditoria obrigatória.

Os seguintes critérios mínimos devem ser levados em consideração pelo mecanismo de certificação com respeito ao tratamento:

  1. o propósito;
  2. o tipo de entidade (controlador ou operador);
  3. tipo de dados transferidos tendo em conta se estão envolvidas categorias especiais de dados pessoais, conforme definido no art. 9º da GDPR;
  4. as categorias de titulares de dados; e
  5. os países onde o tratamento de dados ocorre.

E com respeito à transparência e aos direitos dos titulares de dados, os seguintes critérios devem ser observados:

  1. Exigir que sejam prestadas informações sobre as atividades de tratamento aos titulares dos dados, incluindo, se for caso disso, sobre a transferência de dados pessoais para um país terceiro ou uma organização internacional (vide arts. 12º, 13º e 14º da GDPR);
  2. Exigir que sejam garantidos aos titulares dos dados os direitos de acesso, retificação, eliminação, restrição, notificação de retificação, eliminação ou restrição, oposição ao tratamento, direito a não ficar sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a definição de perfis, essencialmente equivalente àquelas previstas nos arts. 15º a 19º, 21º e 22º da GDPR;
  3. Exigir que um procedimento adequado de tratamento de reclamações seja estabelecido pelo importador de dados titular de uma certificação, a fim de garantir a implementação efetiva dos direitos do titular dos dados; e
  4. Exigir a avaliação de se e em que medida esses direitos são aplicáveis aos titulares de dados no país terceiro relevante e quaisquer medidas adicionais apropriadas que possam ser necessárias para aplicá-los, por exemplo, exigindo que o importador aceite se submeter à jurisdição e cooperar com a autoridade de supervisão competente para o(s) exportador(es) em todos os procedimentos destinados a garantir o cumprimento desses direitos e, em particular, que se compromete a responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela referida autoridade supervisora, incluindo medidas corretivas e compensatórias.

Critérios de certificação adicionais incluem a avaliação da legislação do país terceiro, obrigações gerais dos importadores e exportadores, regras sobre transferências posteriores, reparação e execução dos direitos do titular de dados, processo e ações para situações em que a legislação nacional impeça o cumprimento de compromissos assumidos como parte da certificação, como lidar com pedidos de acesso a dados por autoridades de países terceiros e salvaguardas adicionais relativas ao exportador.

Novamente, uma lista de exemplos de medidas complementares a serem implantadas pelo importador, caso o trânsito esteja incluído no escopo da certificação, acaba sendo um ponto alto das diretrizes. São os seguintes:

Caso 1 – armazenamento de dados para backup e outras finalidades que não exijam acesso a dados não criptografados

Devem ser estabelecidos critérios relativos às normas de criptografia e à segurança da chave de decriptografia, nomeadamente critérios relativos à situação jurídica do país terceiro. Caso o importador possa ser obrigado a repassar as chaves de decriptografia, a medida adicional não pode ser considerada efetiva.

Caso 2 – transferência de dados pseudonimizados

No caso de dados pseudonimizados, devem ser estabelecidos critérios relativos à segurança da informação adicional necessária para atribuir os dados cedidos a uma pessoa identificada ou identificável. A saber:

– Critérios relativos à situação jurídica no país terceiro. Se o importador puder ser forçado a acessar ou usar dados adicionais para atribuir os dados a uma pessoa identificada ou identificável, a medida não pode ser considerada eficaz; e

– Critérios relativos à definição de informações adicionais à disposição das autoridades de países terceiros que possam ser suficientes para atribuir os dados a uma pessoa identificada ou identificável.

Caso 3 – criptografia de dados para protegê-los contra o acesso pelas autoridades públicas do país terceiro do importador quando transitam entre o exportador e seu importador

No caso de dados criptografados, devem ser incluídos todos os critérios para a segurança do trânsito. Caso o importador possa ser obrigado a repassar chaves criptográficas para decriptografia, autenticação ou para modificar um componente utilizado para trânsito de modo que suas propriedades de segurança sejam prejudicadas, a medida adicional não pode ser considerada efetiva.

Caso 4 – destinatário protegido

No caso de destinatários protegidos, devem ser definidos critérios para os limites do privilégio. O processamento de dados deve permanecer dentro dos limites do privilégio legal. Isso também se aplica ao processamento por (sub)processadores e transferências posteriores, cujos destinatários também devem ser privilegiados.

Outra lista de exemplos de medidas complementares caso o trânsito não esteja coberto pela certificação e o exportador tenha que garantir é igualmente interessante:

Caso 1 – transferência de dados pseudonimizados

Devem ser fornecidos critérios relativos às informações adicionais disponíveis para as autoridades do país terceiro que possam ser suficientes para atribuir os dados a uma pessoa identificada ou identificável.

Caso 2 – criptografia de dados para protegê-los contra o acesso pelas autoridades públicas do país terceiro do importador quando transitam entre o exportador e seu importador

Devem ser fornecidos critérios relacionados à confiabilidade da autoridade de certificação de chave pública ou infraestrutura usada, à segurança das chaves criptográficas usadas para autenticação ou decriptografia e à confiabilidade do gerenciamento de chaves e ao uso de software mantido adequadamente sem vulnerabilidades conhecidas. Se o importador puder ser forçado a divulgar chaves criptográficas adequadas para decriptografia, autenticação ou modificar um componente usado para trânsito a fim de prejudicar suas propriedades de segurança, a medida não pode ser considerada eficaz.

Caso 3 – destinatário protegido

No caso de destinatários protegidos, devem ser definidos critérios para os limites do privilégio. O tratamento de dados deve permanecer dentro dos limites do privilégio legal. Isso também se aplica ao tratamento por (sub)operadores e transferências posteriores, cujos destinatários também devem ser privilegiados.

1.3. DIRETRIZES 03/2022 SOBRE PADRÕES DE DESIGN ENGANOSOS EM INTERFACES DE PLATAFORMAS DE MÍDIA SOCIAL: COMO RECONHECÊ-LOS E EVITÁ-LOS

Essas Diretrizes oferecem recomendações práticas para provedores de mídia social como controladores de mídia social, designers e usuários de plataformas de mídia social sobre como avaliar e evitar os chamados “padrões de design enganosos” em interfaces de mídia social que infringem os requisitos da GDPR.

No que diz respeito à conformidade da proteção de dados das interfaces de usuário de aplicativos online no setor de mídia social, os princípios de proteção de dados aplicáveis são definidos no art. 5º da GDPR. O princípio do tratamento justo estabelecido em sua alínea a serve como ponto de partida para avaliar se um padrão de design realmente se constitui “enganoso”.

O EDPB fornece exemplos concretos de tipos de padrões de design enganosos para os seguintes casos de uso dentro deste ciclo de vida. Eles são: a inscrição, ou seja, o processo de registro; os casos de uso de informações relativos ao aviso de privacidade, controle conjunto e comunicações de violação de dados; gestão de consentimento e proteção de dados; exercício dos direitos do titular dos dados durante a utilização das redes sociais; e, finalmente, fechar uma conta de mídia social.

Os padrões de design enganosos abordados nestas Diretrizes resultam de uma análise interdisciplinar das interfaces existentes. Eles podem ser divididos nas seguintes categorias:

  1. Sobrecarga: confrontar os usuários com uma avalanche de solicitações, informações, opções ou possibilidades, a fim de induzi-los a compartilhar mais dados ou permitir involuntariamente o processamento de dados pessoais contra as expectativas do titular dos dados;
  2. Desvio: projetar a interface ou a jornada do usuário de modo que eles esqueçam ou não pensem sobre os aspectos da proteção de dados;
  3. Tumulto: afetar a escolha que os usuários fariam ao apelar para suas emoções ou usando influências visuais;
  4. Obstrução: bloquear a obtenção de informação ou gerenciamento de dados dos usuários, dificultando ou impossibilitando a ação;
  5. Instabilidade: tonar o design da interface inconsistente e pouco claro, dificultando que os usuários naveguem pelas diferentes ferramentas de controle de proteção de dados e entenderem a finalidade do tratamento; e
  6. Deixar no escuro: projetar uma interface de modo a ocultar informações ou ferramentas de controle de proteção de dados ou deixar os usuários inseguros sobre como seus dados são tratados e que tipo de controle eles podem ter sobre eles no exercício de seus direitos.

Como o EDPB já afirmou, a justiça é um princípio abrangente que exige que os dados pessoais não sejam tratados de forma prejudicial, discriminatória, inesperada ou enganosa para o titular dos dados. Se a interface tiver informações insuficientes ou enganosas para os usuários e compreender características dos padrões de design enganosos, ela pode ser classificada como tratamento injusto. O princípio da imparcialidade tem uma função abrangente e todos os padrões de design enganosos não estariam de acordo, independentemente da conformidade com outros princípios de proteção de dados.

O primeiro passo para os usuários terem acesso a uma plataforma de mídia social é criar uma conta. Como parte deste processo de registro, os usuários são solicitados a fornecer seus dados pessoais, como nome e sobrenome, e-mail ou, às vezes, número de telefone. Os usuários precisam ser informados sobre o tratamento de seus dados pessoais e geralmente são solicitados a confirmar que leram o aviso de privacidade e concordam com os termos de uso da plataforma de mídia social. Essas informações precisam ser fornecidas em uma linguagem clara e simples, para que os usuários possam compreendê-las facilmente e concordar conscientemente.

O consentimento deve ser livre, informado e específico na fase de inscrição. Para provedores de mídia social que solicitam o consentimento dos usuários para diversos fins de tratamento, as Diretrizes 05/2020 do EDPB fornecem orientações valiosas sobre a coleta de consentimento. As plataformas de mídia social não podem contornar a capacidade de os titulares de dados consentirem livremente, seja por meio de desenhos gráficos ou redação que impeça o titular dos dados de exercer tal vontade. A este respeito, o art. 7º, inciso 2, da GDPR estabelece que o pedido de consentimento deve ser apresentado de forma claramente distinguível de outras matérias, de forma inteligível e facilmente acessível, utilizando linguagem clara e simples. Os usuários de plataformas de mídia social podem fornecer consentimento para anúncios ou tipos especiais de análise durante o processo de inscrição e, posteriormente, por meio das configurações de proteção de dados. Em qualquer caso, como estabelece o art. 32 da GDPR, o consentimento deve ser sempre fornecido por um ato afirmativo claro, de modo que as caixas pré-selecionadas ou a inatividade dos usuários não constituam consentimento.

De acordo com o art. 7º, inciso 3, alínea 1, da GDPR, os usuários de plataformas de mídia social devem poder retirar seu consentimento a qualquer momento. Antes de fornecer consentimento, os usuários também devem estar cientes do direito de retirar o consentimento, conforme exigido pelo art. 7º, inciso 3, alínea 3, da GDPR. Em particular, os controladores devem demonstrar que os usuários têm a possibilidade de recusar o consentimento ou retirá-lo sem nenhum prejuízo. Os usuários de plataformas de mídia social que consentem com o processamento de seus dados pessoais com um clique, por exemplo, marcando uma caixa, poderão retirar seu consentimento de maneira igualmente fácil. Isso destaca que o consentimento deve ser uma decisão reversível e que deve haver um grau de controle para o titular dos dados. A retirada fácil do consentimento constitui um pré-requisito válido nos termos do art. 7º, inciso 3, alínea 4, da GDPR e deve ser possível sem diminuir os níveis de serviço. A propósito, o consentimento não pode ser considerado válido sob a GDPR quando obtido por meio de apenas um clique, um deslize ou o pressionar de uma tecla, mas sua retirada requer mais etapas, é mais difícil ou leva mais tempo para ser obtida.

Novamente os exemplos tornam o entendimento de padrões de mídia enganosos mais fácil. Eles são:

Exemplo 1

Variação A: Na primeira etapa do processo de inscrição, os usuários devem escolher entre diferentes opções de registro. Eles podem fornecer um e-mail ou um número de telefone. Quando os usuários escolhem o e-mail, o provedor de mídia social ainda tenta convencer os usuários a fornecer o número de telefone, declarando que será usado para segurança da conta, sem fornecer alternativas sobre os dados que poderiam ser ou já foram fornecidos pelos usuários. Concretamente, várias janelas aparecem durante o processo de inscrição com um campo para o número de telefone, junto com a explicação “Usaremos seu número [de telefone] para segurança da conta”. Embora os usuários possam fechar a janela, eles ficam sobrecarregados e desistem de fornecer seu número de telefone. Variação B: Outro provedor de mídia social pede repetidamente aos usuários que forneçam o número de telefone toda vez que fazem login em sua conta, apesar de os usuários já terem recusado anteriormente a fornecê-lo, seja durante o processo de inscrição ou no último login.

Exemplo 2

Uma plataforma de mídia social usa uma informação ou um ícone de ponto de interrogação para incitar usuários para realizar a ação “opcional” solicitada. No entanto, em vez de apenas fornecer informações aos usuários que esperam ajuda desses botões, a plataforma solicita que os usuários aceitem a importação de seus contatos de sua conta de e-mail, exibindo repetidamente um pop-up.

Exemplo 3

Ao se registrar em uma plataforma de mídia social por meio de um navegador de desktop, os usuários são convidados a também usar o aplicativo móvel da plataforma. Durante o que parece ser outra etapa do processo de inscrição, os usuários são convidados a descobrir o aplicativo. Quando clicam no ícone, esperando ser encaminhados para uma loja de aplicativos, eles são solicitados a fornecer seu número para receber uma mensagem de texto com o link para o aplicativo.

Exemplo 4

A plataforma de mídia social pede aos usuários que compartilhem sua geolocalização afirmando: “Compartilhar e se conectar com outras pessoas ajuda a tornar o mundo um lugar melhor! Compartilhe sua geolocalização! Deixe os lugares e as pessoas ao seu redor inspirarem você!”

Exemplo 5

O provedor de mídia social incentiva os usuários a compartilhar mais dados pessoais do que realmente exigido, solicitando que forneçam uma autodescrição: “Conte-nos sobre você! Nós não podemos esperar, conte-nos agora!”

Exemplo 6

A parte do processo de inscrição onde os usuários são solicitados a enviar suas fotos contém um botão “?”. Clicar nele revela a seguinte mensagem: “Não precisa ir primeiro ao cabeleireiro. Basta escolher uma foto que diga ‘este sou eu’.”

Exemplo 7

Durante o processo de inscrição, os usuários que clicam nos botões “pular” para evitar a inserção de determinado tipo de dado verão uma janela pop-up perguntando “Tem certeza?”. Ao questionar sua decisão, o provedor de mídia social incita os usuários a revisá-la e divulgar esses tipos de dados, como gênero, lista de contatos ou foto. Por outro lado, os usuários que optam por inserir os dados diretamente não veem nenhuma mensagem pedindo para reconsiderar sua escolha.

Exemplo 8

Imediatamente após a conclusão do registro, os usuários só podem acessar as informações de proteção de dados pelo menu geral da plataforma de mídia social e navegando na seção do submenu que inclui um link para “configurações de privacidade e dados”. Ao visitar esta página, um link para a política de privacidade não é visível à primeira vista. Os usuários devem notar, em um canto da página, um pequeno ícone apontando para a política de privacidade, o que significa que os usuários dificilmente podem notar onde estão as políticas relacionadas à proteção de dados.

Exemplo 9

Neste exemplo, quando os usuários inserem sua data de nascimento, eles são convidados a escolher com quem compartilhar essas informações. Considerando que opções menos invasivas estão disponíveis, a opção “compartilhar com todos” é selecionada por padrão, o que significa que todos os usuários registrados, bem como qualquer um na Internet, poderão ver a data de nascimento dos usuários.

Exemplo 10

Os usuários não recebem um link para informações sobre proteção de dados após iniciarem o processo de inscrição. Os usuários não podem encontrar essas informações, pois nenhuma é fornecida na interface de inscrição, nem mesmo no rodapé.

Exemplo 11

Durante o processo de registo, os utilizadores podem consentir ao tratamento dos seus dados pessoais para fins publicitários e são informados de que podem alterar a sua escolha quando quiserem, uma vez registados nas redes sociais, acedendo à política de privacidade. No entanto, uma vez que os usuários concluíram o processo de registro e vão para a política de privacidade, não encontram meios sobre como retirar seu consentimento para isso.

Exemplo 12

Neste exemplo, as informações relacionadas ao compartilhamento de dados dão uma impressão altamente positiva da perspectiva do tratamento, destacando os benefícios de compartilhar o máximo de dados possível. Acoplado à ilustração que representa a fotografia de um animal fofo brincando com uma bola, esse Direcionamento Emocional pode dar aos usuários a ilusão de segurança e conforto quanto aos riscos potenciais de compartilhar algum tipo de informação na plataforma. Por outro lado, as informações fornecidas sobre como controlar a publicidade dos próprios dados não são claras. Primeiro, diz-se que os usuários podem definir suas preferências de compartilhamento a qualquer momento. No entanto, a última frase indica que isso não é possível uma vez que algo já foi postado na plataforma. Essas informações conflitantes deixam os usuários inseguros sobre como controlar a publicidade de seus dados.

Exemplo 13

As informações relacionadas aos direitos do titular dos dados estão espalhadas pelo aviso de privacidade. Embora os diferentes direitos dos titulares sejam explicados na seção “Suas opções”, o direito de apresentar uma reclamação e o endereço de contato exato é indicado somente após várias seções e camadas referentes a diferentes tópicos. O aviso de privacidade, portanto, deixa parcialmente de fora os detalhes de contato nos estágios em que isso seria desejável e aconselhável.

Exemplo 14

A política de privacidade não é dividida em diferentes seções com títulos e contente. Mais de 70 páginas são fornecidas, no entanto, não há um menu de navegação na lateral ou na parte superior para permitir que os usuários acessem facilmente a seção que procuram. A explicação do termo autocriado “dados de criação” é contida em uma nota de rodapé na página 67.

Exemplo 15

Um aviso de privacidade descreve parte de um tratamento de forma vaga e imprecisa, como nesta frase: “Seus dados podem ser usados para melhorar nossos serviços”. Adicionalmente, o direito de acesso aos dados pessoais é aplicável ao tratamento com base no art. 15º, inciso 1, da GDPR, mas é mencionado de maneira obscura ao usuário o que lhe é acessado: “Você pode ver parte das informações em sua conta e revisar o que você postou na plataforma”.

Exemplo 16

Variação A: A plataforma de mídia social está disponível em idioma croata como o idioma de escolha dos usuários (ou em espanhol como o idioma do país em que se encontram), enquanto todas ou algumas informações sobre proteção de dados estão disponíveis apenas em inglês. Variação B: Cada vez que os usuários acessam determinadas páginas, como a página de ajuda, elas mudam automaticamente para o idioma do país em que os usuários estão, mesmo que tenham selecionado anteriormente um idioma diferente.

Exemplo 17

Em sua plataforma, o provedor de mídia social disponibiliza um documento chamado “aconselhamento útil” que também contém informações importantes sobre o exercício dos direitos do titular dos dados. No entanto, a política de privacidade não contém um link ou outro direcionamento a este documento. Em vez disso, menciona que mais detalhes estão disponíveis na seção de perguntas e respostas do site. Os usuários que esperam informações sobre seus direitos na política de privacidade não encontrarão essas explicações lá e terão que navegar mais e pesquisar na seção de perguntas e respostas.

Exemplo 18

Em sua política de privacidade, um provedor de mídia social oferece muitos hiperlinks para páginas com mais informações sobre tópicos específicos. No entanto, há várias partes na política de privacidade contendo apenas declarações gerais de que é possível acessar mais informações, sem dizer onde ou como.

Exemplo 19

Com relação aos padrões de design enganosos, o desafio para os controladores neste momento é integrar essas informações ao sistema online de modo que possam ser facilmente percebidas e não percam sua clareza e compreensão, embora o art. 12º, inciso 1, alínea 1, da GDPR não se refira diretamente ao art. 26º, inciso 2, alínea 2 da GDPR.

Exemplo 20

O controlador se refere apenas a ações de terceiros. Uma determinada violação de dados foi originada por um terceiro (por exemplo, um processador) e que, portanto, não ocorreu nenhuma violação de segurança. O controlador também destaca algumas boas práticas não relacionadas à violação real. O controlador declara a gravidade da violação de dados em relação a si mesmo ou a um processador, e não em relação ao titular dos dados.

Exemplo 21

Por meio de uma violação de dados em uma plataforma de mídia social, vários conjuntos de dados de saúde foram acidentalmente acessíveis a usuários não autorizados. O provedor de mídia social apenas informa aos usuários que “categorias especiais de dados pessoais” foram tornadas públicas acidentalmente.

Exemplo 22

O controlador fornece apenas detalhes vagos ao identificar as categorias de dados pessoais afetados. Por exemplo, o controlador se refere a documentos enviados por usuários sem especificar quais categorias de dados pessoais esses documentos incluem e quão sensíveis eles eram.

Exemplo 23

Ao relatar uma violação, o controlador não especifica suficientemente o categoria dos titulares dos dados afetados. Por exemplo, o controlador apenas menciona que os titulares dos dados em questão eram estudantes, mas o controlador não especifica se os titulares dos dados são menores ou grupos de titulares dos dados vulneráveis.

Exemplo 24

Um responsável pelo tratamento declara que os dados pessoais foram tornados públicos através de outras fontes quando notifica a violação à Autoridade de Supervisão e ao titular dos dados. Portanto, o titular dos dados considera que não houve violação de segurança.

Exemplo 25

O controlador relata através de textos que contêm muitas informações não relevantes e omitem os detalhes relevantes. Nas falhas de segurança que afetam as credenciais de acesso e outros tipos de dados, o controlador declara que os dados são criptografados, enquanto são apenas protegidos por senhas.

Exemplo 26

A interface usa um botão de alternância para permitir que os usuários deem ou retirem o consentimento. No entanto, a maneira como a alternância é projetada não deixa claro em que posição ela está e se os usuários deram consentimento ou não. De fato, a posição do botão não corresponde à cor. Se o botão estiver do lado direito, que geralmente está associado à ativação do recurso (“switch on”), a cor do botão é vermelha, o que geralmente significa que um recurso está desativado. Por outro lado, quando o botão está no lado esquerdo, geralmente significando que o recurso está desativado, a cor de fundo do botão de alternância é verde, que normalmente está associada a uma opção ativa.

Exemplo 27

O provedor de mídia social fornece informações contraditórias aos usuários: embora as informações primeiro afirmem que os contatos não são importados sem consentimento, uma janela pop-up de informações explica simultaneamente como os contatos serão importados de qualquer maneira.

Exemplo 28

Os usuários navegam em seu feed de mídia social. Ao fazê-lo, eles são mostrados anúncios. Intrigados com um anúncio e curiosos sobre os motivos pelos quais ele é exibido, eles clicam em um sinal “?” disponível no canto inferior direito do anúncio. Ele abre uma janela pop-in que explica por que os usuários veem esse anúncio específico e lista os critérios de segmentação. Ele também informa aos usuários que eles podem retirar seu consentimento para anúncios direcionados e fornece umlink para fazê-lo. Quando os usuários clicam nestelink, eles são redirecionados para um site totalmente diferente, com explicações gerais sobre o que é consentimento e como gerenciá-lo.

Exemplo 29

Na parte da conta de mídia social onde os usuários podem compartilhar pensamentos, fotos etc. eles são solicitados a confirmar que gostariam de compartilhar este conteúdo depois de digitá-lo ou carregá-lo. Os usuários podem escolher entre um botão dizendo “Sim, por favor”. e outro dizendo “Não, obrigado”. No entanto, quando os usuários decidem não compartilhar o conteúdo com outras pessoas clicando no segundo botão, o conteúdo é publicado em sua conta de mídia social.

Exemplo 30

Um banner de cookies na plataforma de mídia social afirma “Para ter cookies deliciosos, você só precisa de manteiga, açúcar e farinha. Confira nossa receita favorita aqui [link]. Também usamoscookies. Leia mais em nossa política de cookies [link]”, juntamente com um botão “ok”.

Exemplo 31

Os usuários desejam gerenciar as permissões concedidas à plataforma de mídia social com base no consentimento. Eles devem encontrar uma página nas configurações relacionadas a essas ações específicas e desejam desativar o compartilhamento de seus dados pessoais para fins de pesquisa. Quando os usuários clicam na caixa para desmarcá-la, nada acontece no nível da interface e eles têm a impressão de que o consentimento não pode ser retirado.

Exemplo 32

Um provedor de mídia social trabalha com terceiros para o processamento dos dados pessoais de seus usuários. Na sua política de privacidade, ele fornece a lista desses terceiros, mas sem um link para cada uma das suas políticas de privacidade, limitando-se a aconselhar os utilizadores a visitar os sites de terceiros para obterem informações sobre como essas entidades tratam os dados e exercem os seus direitos.

Exemplo 33

Um provedor de mídia social não fornece um cancelamento direto do processamento de um anúncio direcionado, embora o consentimento (opt-in) exija apenas um clique.

Exemplo 34

As informações para retirar o consentimento estão disponíveis em um link acessível apenas ao verificar todas as seções de sua conta e informações associadas a anúncios exibidos no feed da mídia social.

Exemplo 35

Neste exemplo, quando os usuários criam a sua conta, pergunta-se se aceitam que os seus dados sejam tratados para obter publicidade personalizada. Caso os usuários não concordem com esse uso de seus dados, eles veem regularmente – enquanto usam a rede social – uma caixa de solicitação perguntando se desejam anúncios personalizados. Esta caixa bloqueia o uso da rede social. Sendo exibido regularmente, esse prompt contínuo provavelmente cansará os usuários a consentir em anúncios personalizados.

Exemplo 36

É provável que os usuários não saibam o que fazer quando o menu de uma plataforma de mídia social contém várias guias que tratam da proteção de dados como “proteção de dados”, “segurança”, “conteúdo”, “privacidade”, “suas preferências”.

Exemplo 37

O usuário X desativa o uso de sua geolocalização para fins de publicidade. Depois de clicar no botão que permite fazer isso, aparece uma mensagem dizendo “Desativamos sua geolocalização, mas sua localização ainda será usada”.

Exemplo 38

Tópicos relacionados, tal como as configurações de compartilhamento de dados do provedor de mídia social com terceiros e vice-versa, não são disponibilizados nos mesmos espaços ou próximos, mas sim em diferentes guias do menu de configurações.

Exemplo 39

Em toda a plataforma de mídia social, nove em cada dez configurações de proteção de dados opções são apresentadas na seguinte ordem:

– opção mais restritiva (ou seja, compartilhar menos dados com outras pessoas);

– opção limitada, mas não tão restritiva quanto a primeira; e

– opção menos restritiva (ou seja, compartilhar o máximo de dados com outras pessoas).

Os usuários desta plataforma estão acostumados com suas configurações de proteção de dados apresentadas nesta ordem. No entanto, esta ordem não é aplicada na última configuração, onde a escolha da visibilidade dos aniversários dos usuários é mostrada na seguinte ordem:

– Mostrar todo o meu aniversário: 15 de janeiro de 1929 (= opção menos restritiva);

– Mostrar apenas dia e mês: 15 de janeiro (= opção limitada, mas não a mais restritiva); e

– Não mostrar aos outros o meu aniversário (= opção mais restritiva).

Exemplo 40

Entre as opções de visibilidade de dados “visível para mim”, “para meus amigos mais próximos”, “para todas as minhas conexões” e “público”, a opção do meio “para todas as minhas conexões” é predefinida. Isso significa que todos os usuários conectados a eles podem ver suas contribuições, bem como todas as informações inseridas para inscrição na plataforma de mídia social, como endereço de e-mail ou data de nascimento.

Exemplo 41

Neste exemplo, quando os usuários desejam gerenciar a visibilidade de seus dados, eles devem acessar a guia “preferências de privacidade”. As informações para as quais eles podem definir suas preferências estão listadas lá. No entanto, a maneira como as informações são exibidas não torna claro como alterar as configurações. De fato, os usuários devem clicar na opção de visibilidade atual para acessar um menu suspenso no qual podem selecionar a opção de sua preferência.

Exemplo 42

As configurações de proteção de dados são difíceis de se encontrar na conta do usuário, pois, no primeiro nível, não há capítulo de menu com um nome ou cabeçalho que leve nessa direção. Os usuários devem procurar outros submenus como “Segurança”.

Exemplo 43

A alteração da configuração é dificultada, pois, na área de trabalho da plataforma de mídia social, o botão “salvar” para registrar suas alterações não fica visível com todas as opções, mas apenas no topo do submenu. É provável que os usuários ignorem isso e suponham erroneamente que suas configurações são salvas automaticamente, portanto, movendo-se para outra página sem clicar no botão “salvar”. Esse problema não ocorre nas versões app e mobile. Portanto, isso cria uma confusão adicional para os usuários que mudam da versão app para a versão desktop e pode fazê-los pensar que alterar suas configurações só é possível na versão móvel ou no aplicativo

Exemplo 44

Os usuários clicam em “exercer meu direito de acesso” no aviso de privacidade, mas são redirecionados ao seu perfil, que não fornece nenhum recurso relacionado ao exercício do direito.

Exemplo 45

Ao clicar em um link relacionado ao exercício dos direitos do titular dos dados, as seguintes informações não são fornecidas no(s) idioma(s) oficial(is) do estado do país do usuário, enquanto o serviço é. Em vez disso, os usuários são redirecionados para uma página em inglês.

Exemplo 46

A plataforma de mídia social não declara explicitamente que os usuários na UE têm o direito de apresentar uma reclamação a uma autoridade supervisora, mas apenas menciona que em alguns países – sem mencionar quais – há autoridades de proteção de dados que a mídia social provedor coopera com relação a reclamações.

Exemplo 47

Aqui, as informações relacionadas aos direitos de proteção de dados estão disponíveis em pelo menos quatro páginas. Embora a política de privacidade informe sobre todos os direitos, ela não redireciona às páginas relevantes para cada um deles. Por outro lado, quando os usuários visitam sua conta, não encontram informações sobre alguns dos direitos que podem exercer. Este labirinto de privacidade obriga os usuários a vasculhar muitas páginas para descobrir onde exercer cada direito e, dependendo da navegação, podem não estar cientes de todos os direitos que possuem.

Exemplo 48

Neste exemplo, os usuários desejam atualizar alguns de seus dados pessoais, mas não encontram uma maneira de fazê-lo em sua conta. Eles clicam em um link redirecionando-os para a página de Perguntas e Respostas onde inserem sua pergunta. Vários resultados aparecem, alguns relacionados aos direitos de acesso e exclusão. Após conferir todos os resultados, eles clicam no link disponível na página “Como acessar seus dados”. Ele os redireciona para a política de privacidade. Lá, eles encontram informações sobre direitos adicionais. Após a leitura desta informação, clicam no link associado ao exercício do direito de retificação que o redireciona para a conta de usuário. Insatisfeitos, eles voltam para a política de privacidade e clicam em um link geral dizendo “Envie-nos uma solicitação”. Isso leva os usuários ao seu painel de privacidade. Como nenhuma das opções disponíveis parece corresponder à sua necessidade, os usuários acabam por acessar à página “exercício de outros direitos” onde encontram finalmente uma forma de contato.

Exemplo 49

O parágrafo sob o subtítulo “direito de acesso” na política de privacidade explica que os usuários têm o direito de obter informações sob o art. 15º, inciso 1, da GDPR. No entanto, apenas menciona a possibilidade de os usuários receberem uma cópia de seus dados pessoais. Não há link direto visível para exercer o componente de cópia do direito de acesso nos termos do art. 15º, inciso 3, da GDPR. Em vez disso, as três primeiras palavras em “Você pode ter uma cópia de seus dados pessoais” estão ligeiramente sublinhadas. Ao passar o mouse sobre essas palavras com o mouse do usuário, uma pequena caixa é exibida com um link para as configurações.

Exemplo 50

A plataforma de mídia social oferece diferentes versões ( desktop, aplicativo, celular). Em cada versão, as configurações (conduzindo ao acesso/objeção etc.) são exibidas com um símbolo diferente, deixando os usuários que alternam entre as versões confusos.

Exemplo 51

Quando o usuário opta por deletar o nome e local de sua escola de ensino médio ou a referência a um evento que participou e compartilhou, uma segunda janela aparece pedindo para confirmar essa escolha (“Você realmente quer fazer isso? Por que você quer fazer isso?”).

Exemplo 52

Os usuários estão procurando o direito de apagar seus dados. Eles têm que abrir as configurações da conta, abrir um submenu chamado “privacidade” e rolar até o final para encontrar um link para excluir a conta.

Exemplo 53

No primeiro nível de informação, a informação é dada aos usuários destacando apenas as consequências negativas e desanimadoras de excluir suas contas (por exemplo, “você vai perder tudo para sempre” ou “seus amigos vão te esquecer”).

Exemplo 54

Quando os usuários excluem sua conta, eles não são informados sobre o tempo em que seus dados serão mantidos após a exclusão da conta. Pior ainda, em nenhum momento de toda a exclusão, os usuários do processo são avisados sobre o fato de que “alguns dos dados pessoais” podem ser armazenados mesmo após a exclusão de uma conta. Eles precisam buscar a informação por conta própria, nas diversas fontes de informação disponíveis.

Exemplo 55

Os usuários só podem excluir sua conta por meio de links denominados “Até mais” ou “Desativar” disponível em sua conta.

Exemplo 56

No processo de excluir sua conta, os usuários têm duas opções para escolher: Excluir sua conta ou pausá-la. Por padrão, a opção de pausa é selecionada.

Exemplo 57

Após clicar em “Excluir minha conta”, os usuários têm a opção de baixar seus dados, implementado como direito à portabilidade, antes de excluir a conta. Ao clicar para baixar suas informações, os usuários são redirecionados para uma página de informações de download. No entanto, uma vez que os usuários tenham escolhido o que e como baixar seus dados, eles não são redirecionados para o processo de exclusão.

Exemplo 58

Neste exemplo, os usuários primeiro veem uma caixa de confirmação para apagar sua conta depois de clicar no link ou botão correspondente. Mesmo que haja algum Direcionamento Emocional nesta caixa, esta etapa pode ser vista como uma medida de segurança para que os usuários não excluam sua conta após um clique incorreto em sua conta. No entanto, quando os usuários clicam no botão “Excluir minha conta”, eles são confrontados com uma segunda caixa perguntando para descrever textualmente o motivo pelo qual desejam sair da conta. Desde que não tenham inserido algo na caixa, não podem excluir sua conta, pois o botão associado à ação está inativo e acinzentado. Essa prática torna o apagar de uma conta mais demorado do que o necessário, especialmente porque pedir aos usuários que produzam um texto descrevendo por que eles querem sair de uma conta requer esforço e tempo extras e não deve ser obrigatório excluir a conta.

Exemplo 59

O provedor de mídia social torna obrigatório que os usuários respondam a uma pergunta sobre seus motivos para desejar apagar sua conta, por meio de uma seleção d e respostas em um menu suspenso. Parece aos usuários que responder a essa pergunta (aparentemente) permite que eles realizem a ação que desejam, ou seja, excluir a conta. Após uma resposta ser selecionada, uma janela pop-up aparece, mostrando aos usuários uma maneira de resolver o problema declarado em sua resposta. O processo de perguntas e respostas, portanto, retarda os usuários em seu processo de exclusão de conta.

Exemplo 60

Na plataforma de mídia social XY, o link para desativar ou excluir a conta é encontrado na guia “Seus dados XY” .

Exemplo 61

A guia real para apagar uma conta é encontrada na seção “excluir uma função de sua conta”.

Em conclusão, as três diretrizes são exemplos de boas práticas para orientar a sociedade, de maneira geral.

No items found.