Um novo projeto de lei de dados do Departamento de Ciência, Inovação e Tecnologia do Reino Unido (DSIT) visa reativar várias medidas que não conseguiram passar sob o governo anterior, enquanto retrocede em algumas reformas pós-Brexit controversas propostas por ministros conservadores.
O governo acredita que o “Projeto de Lei de Acesso e Uso de Dados” (DUA) pode impulsionar a economia do Reino Unido em £10 bilhões ao desbloquear grandes economias de eficiência no setor público. Essas economias resultariam da simplificação das regras para compartilhamento de informações em domínios como saúde e aplicação da lei.
A legislação também diz respeito à identidade digital e verificação, expandindo “esquemas de dados inteligentes” (semelhantes ao banco aberto), mapeamento de infraestrutura subterrânea, digitalização do registro de nascimento e morte, e possibilitando o acesso a dados mantidos por plataformas online.
“Com leis que nos ajudam a usar dados de forma segura e eficaz, este Projeto de Lei ajudará a impulsionar a economia do Reino Unido, liberar tempo vital para nossos trabalhadores da linha de frente e aliviar as pessoas de administração desnecessária para que possam seguir com suas vidas”, disse o secretário de tecnologia Peter Kyle em um comunicado.
Acesso a dados em riscos online
Grande parte do projeto de lei parece ter sido carregada das reformas planejadas do governo conservador — como um plano para simplificar o consentimento de cookies, permitindo que os sites processem os dados das pessoas para análises sem consentimento. Mas uma adição notável é um plano para obrigar os provedores de serviços online a reter informações relacionadas às mortes de menores que usam seus serviços.
Isso parece ser uma resposta a casos em que pais enfrentam longas batalhas para acessar as contas de mídia social de seus filhos após suicídios.
Outro ponto notável é uma disposição para legislar que permitirá que pesquisadores de segurança online acessem dados. Aqui, o Reino Unido parece estar copiando a União Europeia, já que a Lei de Serviços Digitais da UE obriga as principais plataformas a facilitar o acesso de pesquisadores aos seus dados.
O Reino Unido frequentemente ficou atrás da UE em regulamentação digital, então incluir uma disposição de acesso a dados no projeto de lei parece uma tentativa de alcançar. Isso também reforçaria as perspectivas da Lei de Segurança Online, que os ministros do Reino Unido finalmente aprovaram no outono passado.
Olho na adequação
Em outros lugares, o novo projeto de lei retrocede em algumas mudanças controversas que o último governo propôs para alterar o Regulamento Geral sobre a Proteção de Dados (GDPR) do país.
Os ministros provavelmente estão ansiosos para evitar falhar na revisão da adequação da UE que ocorrerá em 2025, a qual foi concedida em 2021. Essa decisão permitiu que os dados de qualquer usuário da UE que empresas do Reino Unido mantivessem continuassem fluindo para o país para processamento.
“A Comissão Europeia ficará aliviada ao saber que o Projeto de Lei não avança nas propostas dos conservadores de limitar a aplicação de ROPAs [registro de atividades de processamento], DPIAs [avaliações de impacto sobre a proteção de dados] e DPOs [oficiais de proteção de dados] ou tentar minar a independência da ICO [Escritório do Comissário de Informação]”, disse Edward Machin, advogado sênior na prática de dados, privacidade e cibersegurança da Ropes & Gray.
“Sua expansão das disposições do GDPR sobre interesses legítimos e limitação de propósito também não deve incomodar o próximo processo de renovação da adequação”, acrescentou.
Decisões automatizadas
A organização de direitos digitais Open Rights Group (ORG) teve uma avaliação menos positiva do projeto de lei reativado, alertando que “não protegerá o público contra danos da IA”. A ORG disse que o projeto de lei limita os direitos das pessoas sobre decisões automatizadas que têm um efeito legal ou significativo sobre elas apenas para dados de categorias especiais (não dados pessoais).
“Isso significa que as organizações podem usar decisões automatizadas para tomar decisões que mudam vidas — como demitir trabalhadores, calcular salários, decidir sobre aplicações de visto e benefícios”, disse a ORG. “Isso também dá ao Secretário de Estado o direito de isentar sistemas de tomada de decisão automatizada de salvaguardas de proteção de dados, independentemente do risco que eles representam para o público.”
A ORG também destacou “novas brechas” que poderiam enfraquecer os direitos de dados, permitindo que as empresas atrasassem a resposta a solicitações de dados pedindo mais informações aos indivíduos. E alertou que o projeto de lei reativado ainda permite “capturas de dados de nossas informações pessoais sob a justificativa de ‘pesquisa’.”
“O Projeto de Lei de Uso e Acesso de Dados enfraquece nossos direitos e dá às empresas e organizações mais poderes para usar decisões automatizadas. Isso é de particular preocupação em áreas de policiamento, bem-estar e imigração, onde decisões que mudam vidas poderiam ser tomadas sem revisão humana”, disse o oficial de legalidade e política da ORG, Mariano delli Santi, em um comunicado.
ICO
A ORG enfatizou que o projeto de lei reativado ainda concede poderes ao governo que poderiam minar a independência da ICO.
No entanto, Richard Cumbley, sócio do departamento de tecnologia, mídia e telecomunicações do escritório de advocacia Linklaters, destacou uma mudança que limitava a ICO a um período de seis meses para concluir investigações de multas. Isso, ele sugeriu, poderia resolver o problema de investigações da ICO que se arrastam por anos.
Notificações de privacidade
Além de emitir uma primeira análise sobre a primeira tentativa do novo governo de reformar o GDPR, Jon Baines, especialista sênior em proteção de dados do escritório de advocacia Mishcon de Reya, destacou mudanças planejadas nas notificações de privacidade que podem ser controversas.
“O Projeto de Lei DUA propõe que a obrigação de fornecer uma notificação de privacidade aos sujeitos de dados de quem os dados são coletados diretamente não se aplicará na medida em que fornecê-la ‘seja impossível ou envolva um esforço desproporcional’.”, disse ele em um post no blog. Ele notou que alguns exemplos dados no projeto de lei incluem “o número de sujeitos de dados, a idade dos dados pessoais e quaisquer salvaguardas apropriadas aplicadas ao processamento.”
“Uma redação semelhante é proposta para o caso do Artigo 14, onde dados pessoais são coletados, mas não diretamente do sujeito de dados. Parece provável que, se essas cláusulas forem promulgadas, a obrigação dos controladores de dados de notificar os sujeitos de dados sobre o processamento será bastante reduzida. Correspondentemente, essas cláusulas provavelmente serão altamente controversas e sujeitas a debate parlamentar”, acrescentou.
Regulamentações de consentimento de dados
O projeto de lei também propõe emendas às Regulamentações de Privacidade e Comunicações Eletrônicas (PECR), que regulam comunicações de marketing e questões como a exigência de consentimento para cookies.
“O rastreamento de pixels e a impressão digital do dispositivo são claramente colocados no mesmo patamar que os cookies, restringindo uma brecha percebida amplamente utilizada por comerciantes online para evitar as regras de cookies”, disse Cumbley da Linklater ao TechCrunch.
Em seu post no blog, Baines, da Mishcon de Reya, destacou o retorno da proposta do governo anterior de permitir o uso de cookies de primeira parte (e tecnologia de rastreamento semelhante) para análises de sites sem exigir o consentimento dos usuários. Ele também notou o ressurgimento de uma proposta para aumentar a multa potencial por infrações do PECR para os níveis do GDPR do Reino Unido (ou seja, £17,5 milhões para as infrações mais graves).
Baines também apontou outra mudança que poderia ajudar a ICO a reprimir remetentes de spam especulativo. O projeto de lei permitiria que spam que não foi recebido por ninguém contasse como comunicações potencialmente ofensivas e, portanto, seria passível de aplicação.