Os dados pessoais ou DCP (comumente "dados pessoais") correspondem na lei francesa a qualquer informação relativa a uma pessoa física identificada ou podem ser identificados, direta ou indiretamente, por referência a um número de identificação ou a um ou mais elementos que são específicos para isto. Os dados são protegidos por vários instrumentos legais, como os Data Protection Act, arquivos e liberdades, de 1978 e do Regulamento Geral sobre protecção de dados ou RGPD (que revoga a Directiva 95/46 / CE ) na Comunidade ea Convenção n S 108 a protecção de dados pessoais do Conselho da Europa . Como a CNIL francesa, muitos países agora têm autoridades responsáveis pela proteção de dados pessoais , que muitas vezes são autoridades administrativas independentes (ou seus equivalentes), responsáveis por fazer cumprir a lei de proteção de dados pessoais.
Na França, a lei afirma que "toda pessoa tem o direito de decidir e controlar a utilização que é feita dos dados pessoais que lhe dizem respeito".
O regulamento europeu GDPR foi adaptado para a legislação nacional pela lei de 20 de junho de 2018 sobre a proteção de dados pessoais. Além disso, esta lei confere à CNIL missões adicionais e um maior poder de controle e sanção em matéria de proteção de dados.
As definições adotadas nos vários textos em que se baseia a legislação de proteção de dados pessoais não diferem fundamentalmente, mas oferecem um nível de detalhe variável.
Legislação da União EuropeiaO artigo 4.º do Regulamento Geral de Proteção de Dados define dados pessoais como “qualquer informação relativa a uma pessoa singular identificada ou identificável […]; é considerada uma "pessoa singular identificável" uma pessoa singular que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online, ou a um ou elementos mais específicos específicos de sua identidade física, fisiológica, genética, psicológica, econômica, cultural ou social ”. Esta definição é ligeiramente mais detalhada do que a que constava do artigo 2.º da Diretiva 95/46 / CE , que especificava que a pessoa se tornava identificável "nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos e específicos. , identidade fisiológica, psicológica, econômica, cultural ou social ”.
Direito francêsDe acordo com o artigo 2 da Lei de Proteção de Dados , os dados pessoais consistem em "qualquer informação relativa a uma pessoa singular identificada ou que possa ser identificada, direta ou indiretamente, por referência a um número de identificação ou a um ou mais elementos que lhe sejam específicos ”. Acrescenta que "para determinar se uma pessoa é identificável, é necessário considerar todos os meios destinados a permitir a sua identificação que estejam disponíveis ou aos quais o responsável pelo tratamento ou qualquer outra pessoa possa ter acesso". Durante a transposição, o legislador francês não repetiu exactamente os termos da directiva de 1995, que acrescenta no seu considerando 26 que “para determinar se uma pessoa é identificável, é necessário considerar todos os meios susceptíveis de serem razoavelmente aplicados, também pelo controlador ou por outra pessoa, para identificar essa pessoa ”.
A lei original de processamento de dados e liberdades de 6 de janeiro de 1978 se referia a "informações nominativas", aquelas que fornecem "uma definição do perfil ou da personalidade da parte interessada" (artigo 2), e "que permitem de qualquer forma , direta ou não, a identificação das pessoas singulares a que se aplicam ”(Artigo 4).
Lei extracomunitáriaA Convenção 108 do Conselho da Europa define dados pessoais em seu artigo 2 como “qualquer informação relativa a uma pessoa física identificada ou identificável”.
O conceito de dados pessoais é amplamente definido e amplamente aplicado pelos tribunais e autoridades nacionais.
Exemplos de dados pessoaisDados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou que possa ser identificada direta ou indiretamente por meio de um ou mais identificadores. Esses identificadores podem ser informações diretamente nominativas, como nome, nome, fotografia do rosto, mas também indiretamente nominativas, como data e local de nascimento, endereço residencial, endereço de e-mail, pseudônimo, um número de referência, um código de pseudo-anonimato ou o número de telefone, que pode ser vinculado à pessoa por meio da verificação cruzada das informações. Um endereço IP também é considerado um dado pessoal, seja fixo ou dinâmico, pois pode ser utilizado, sem saber o nome real do indivíduo, para rastrear seu comportamento na internet, construir "perfis" detalhados e, assim, enviar anúncios personalizados com base em seus hábitos de navegação e histórico de compras.
Esses dados podem ser objetivos, como tipo de sangue, segurança social ou número do cartão do banco, ou subjetivos, como opiniões ou avaliações (nas áreas de "bloco de notas" do software de gerenciamento de clientes , por exemplo) sobre as pessoas envolvidas, que não mesmo tem que ser verdade.
Os dados não precisam ser estruturados ou mesmo contidos em um banco de dados para serem pessoais. Eles não precisam ser necessariamente exploráveis por aquele que os possui.
Da mesma forma, o formato é irrelevante: podem ser imagens (fotografias, pinturas, desenhos), vídeos (gravações de CFTV), sons (amostras de voz), uma parte do corpo (impressão digital, retiniana ou venosa).
Por outro lado, os dados pessoais apenas podem dizer respeito a uma pessoa singular, informações relativas a pessoas coletivas que não são abrangidas pela regulamentação em matéria de dados pessoais. No entanto, ficheiros como o registo comercial e empresarial contêm uma grande quantidade de dados pessoais, incluindo informações relativas aos gestores, neste ponto, entre outros, convém referir que os regulamentos sobre dados pessoais devem ser considerados em conjunto com outros regulamentos que podem limitar certos direitos, como o direito de apagar ou acessar dados pessoais.
Exemplo de dados de registro de nome de passageiro (PNR)Os dados do Passenger Name Record (PNR ) são dados pessoais relativos a todos os detalhes de uma viagem para passageiros que viajam juntos. A CNIL , e sua contraparte européia do G29 , consideram que a troca de dados entre os Estados, bem como o uso que é feito de ele levanta um certo número de problemas no que se refere ao respeito da vida privada , particularmente com o United States de que a lei protege esses dados menos bem do que a lei da União Europeia . No seu parecer sobre a decisão-quadro do Conselho Europeu de novembro de 2007, que incorporou muitas disposições do acordo entre a UE e os Estados Unidos de julho de 2007 sobre o intercâmbio de dados PNR, o G29 declarou: “Um regime PNR europeu não pode conduzir à vigilância generalizada de todos os passageiros ” . Em abril de 2012, o Parlamento Europeu deu a sua aprovação ao armazenamento de informações sobre os passageiros aéreos europeus pelas autoridades americanas. Em abril de 2016, o Parlamento Europeu adotou a Diretiva de dados cadastrais de passageiros da UE.
Exemplo de dados médicosOs dados médicos, especialmente quando são registrados, são considerados " dados confidenciais " pelo RGPD e pela Lei de Proteção de Dados . Só podem ser recolhidos em determinados casos, regulamentados por lei, por exemplo, para o prontuário informatizado de paciente hospitalizado. O relatório de Babusiaux de 2003 recomendou enviá-los aos CPAM (fundos de seguro de saúde primário), sociedades mútuas e companhias de seguros após o anonimato. Uma pequena minoria de médicos se rebelou contra a informatização dos prontuários médicos quando o Carte Vitale foi implantado , alegando a necessidade de proteger o sigilo médico . A "Lei relativa ao seguro saúde" (13 de agosto de 2004) prevê a criação de um Instituto de Dados de Saúde (IDS, grupo de interesse público , operacional em 2007 ), também sujeito à lei de 2011 sobre simplificação e melhoria da qualidade da lei ); congrega o Estado, as caixas nacionais de seguros de saúde , a União Nacional das entidades de seguros complementares de saúde e a União Nacional dos Profissionais de Saúde e deve zelar pela consistência e qualidade dos sistemas de informação utilizados na gestão do risco de doenças; -lo "disponibiliza aos seus membros, a Alta Autoridade para a Saúde , sindicatos regionais de profissionais de saúde e de certos organismos designados por decreto do Conselho de Estado , para efeitos de gestão de risco de doença ou de saúde preocupações públicas , os dados dos sistemas de informação de os seus membros, em condições de garantia do anonimato fixadas por decreto do Conselho de Estado tomado após consulta à Comissão Nacional de Informática e Liberdades ” e publica um relatório anual.
Exemplo de AIDSNa França, no final da década de 1990 , o secretário de Estado da Saúde Bernard Kouchner propôs a inclusão da AIDS na lista de doenças infecciosas obrigatórias , o que implica a declaração obrigatória, porém anônima, das pessoas soropositivas . Essa abordagem é apoiada por associações de luta contra a AIDS , desde que os dados sejam anônimos.
Jean-Baptiste Brunet, diretor do European AIDS Monitoring Centre também apoia esta ideia, ao contrário do National AIDS Council que sublinha os "riscos de violação das liberdades individuais ", bem como a menor eficácia de "medidas obrigatórias que não estão diretamente em do interesse dos doentes "" a obrigação implicaria um dispositivo automático, um ilusório sistema de sanções em caso de incumprimento da regulamentação, ou mesmo uma alteração legislativa do código de saúde pública ".
Em maio de 1999, um decreto impõe a declaração compulsória da AIDS de acordo com a lei de 1998 sobre vigilância sanitária . Outro decreto, de6 de maio de 1999, preocupou as associações que lutavam contra a SIDA no verão de 1999, por possivelmente incluir dados pessoais no processamento automatizado implementado pelo Instituto de Vigilância em Saúde Pública , com risco de discriminação . O ministro anuncia então que este decreto será alterado, devendo a CNIL adiar em Setembro de 2009 a implementação pelo instituto de vigilância sanitária do processamento automatizado.
Exemplo de dados biométricosBiometria “refere-se a uma tecnologia de identificação que consiste em transformar uma característica morfológica ou comportamental em uma impressão digital. Seu objetivo é atestar a singularidade de uma pessoa medindo uma parte imutável e incontrolável de seu corpo ”. O acordo 2016/679 define como "os dados pessoais resultantes de processamento técnico específico relativos ao aspecto físico, fisiológico ou comportamental de um indivíduo que permitem ou confirmam a sua identificação única, como imagens faciais ou dados de impressões digitais" (Artigo 4 (14)) .
Para serem utilizadas, as características em questão devem atender a certos requisitos cumulativos: devem ser únicas, universais, permanentes e mensuráveis. As características do corpo susceptíveis de serem utilizadas por um dispositivo de identificação ou autenticação biométrica são, em particular, a impressão digital , o contorno da mão, a análise da retina , da íris, da rede venosa do dedo., Da mão ou o rosto, a geometria facial, até o DNA . Todos os dados biométricos extraídos dessas características durante a inscrição são dados pessoais.
Os dados biométricos são sujeitos a um regime específico de direito francês desde que a lei n o 2004-801, de 6 de Agosto de 2004, que consta do artigo 25 da Lei de Protecção de Dados, o que torna seu tratamento prévia autorização do CNIL. O regulamento geral sobre a protecção de dados pessoais qualifica-os como “categorias especiais de dados pessoais” (artigo 9.º, n.º 1), cujo tratamento é, em princípio, proibido.
Os dados pessoais às vezes são chamados incorretamente de “dados confidenciais”, em oposição aos dados não identificáveis, o que leva à confusão com “categorias especiais de dados pessoais” comumente chamados de “dados confidenciais”. São, portanto, dados pessoais "que revelam, direta ou indiretamente, as origens raciais ou étnicas, opiniões políticas, filosóficas ou religiosas ou filiação sindical de pessoas, ou que se relacionam com a saúde ou a vida sexual. Destes" (Artigo 8 da alteração Lei de Proteção de Dados). O regulamento acrescenta “dados genéticos” e “dados biométricos para efeitos de identificação única de uma pessoa singular” (artigo 9.º).
Outra designação incorreta é a de “dados privados”, em particular porque os dados pessoais podem muito bem ser tornados públicos sem perder a proteção garantida por lei. Dito isso, é necessário separar claramente (o que não é tão claro nos países anglo-saxões onde há um uso semelhante de Proteção e privacidade de dados pessoais) a proteção de dados pessoais e o respeito pela privacidade, porque este último é um conceito mais amplo, mas, no entanto relacionado. Na verdade, a coleta, o uso e o processamento de Dados Pessoais podem afetar seriamente a reputação, a imagem, a vida pessoal emocional e social de uma pessoa ou a psicologia.
Por outro lado, o nome abreviado “dados pessoais” é de uso comum e comumente aceito.
Privacidade, dados públicosNossas sociedades estão testemunhando, com a Internet e as mídias sociais, uma ampliação de nossa visão de privacidade. Compartilhamos muitas informações e dados todos os dias, às vezes conscientemente em nossos perfis do Facebook, Instagram ou Twitter, às vezes involuntariamente por nossos rastros deixados pela aceitação de cookies de determinados sites. Ao publicar e compartilhar informações em nossos perfis digitais, concordamos em compartilhar a adesão desses dados com nossa rede primeiro (amigos, seguidores, etc.), depois com a plataforma e com todas as pessoas que tenham acesso a esses perfis. Essas informações, mesmo compartilhadas com o mundo todo, permanecem como dados pessoais. Essas novas formas de divulgação estratégica de informações pessoais para fins de gerenciamento de capital online não são de forma alguma uma renúncia à privacidade ; nossa necessidade de proteger nossa privacidade ainda existe. Existem várias motivações para a auto-revelação nas redes sociais. Dependendo da rede social observada, surgem diversas formas de gerenciar seu capital social. Todos permitem um ajuste da apresentação online do usuário, alguns permitem o agrupamento de detalhes selecionados em diferentes esferas mais ou menos íntimas. Segundo o sociólogo Antonio Casilli, nas redes sociais, a noção de capital social designa "a aquisição, por meio de relações mediadas pelas TIC, de recursos materiais, informacionais ou emocionais". Essa divulgação e gestão do capital social estão sujeitas a custos, como perda de privacidade ; Tornar-se conhecido significa, em particular, sacrificar parte de sua vida privada para atrair conexões. Ainda segundo Antonio Casilli, “nenhum dos dados compartilhados é privado ou público, representa de certa forma um sinal que os usuários enviam ao seu ambiente (aqui, os membros de suas redes pessoais online), a fim de receber um retorno ( feedback ) do referido ambiente. " A privacidade é então baseada na busca de um acordo entre várias partes; os atores estão prontos para confrontar seus interesses e dar e receber em termos de revelar informações potencialmente íntimas. A confidencialidade, a intimidade e a privacidade não dependem apenas de características específicas do indivíduo, mas tornam-se contextuais e, portanto, passíveis de consulta coletiva.
Os dados que foram sujeitos a um processo de anonimato não são considerados dados pessoais. De acordo com o considerando 26 do Regulamento Geral de Proteção de Dados, 'não há necessidade de aplicar princípios de proteção de dados a informações anônimas, ou seja, informações não relacionadas a uma pessoa física identificada ou identificável, ou a dados pessoais tornados anônimos de forma que os dados o assunto não é ou não é mais identificável. Este regulamento, portanto, não se aplica ao tratamento de tais informações anônimas, inclusive para fins estatísticos ou de pesquisa ”.
No entanto, uma distinção deve ser feita entre dados "verdadeiramente anônimos" e dados "pseudo-anônimos" (usando um código de referência "confidencial") que são frequentemente usados em campos como pesquisa médica. "Dados pseudo-anônimos (ou codificados) permanecem dados pessoais e, portanto, enquadram-se no âmbito dos regulamentos de dados pessoais.
Por outro lado, a recolha de dados pessoais, mesmo que estes sejam imediatamente anonimizados, continua a ser um tratamento de dados sujeito aos princípios da protecção de dados.
No entanto, a eficácia das técnicas de anonimato é questionada por alguns pesquisadores. Dados médicos anônimos (visitas a hospitais, consultas médicas) de funcionários do estado de Massachusetts foram "reidentificados" cruzando-os com os cadernos eleitorais da mesma cidade. O governador do estado em si poderia ser identificada-re, com apenas seis pessoas compartilhando a mesma data de nascimento, três dos quais eram do sexo masculino, e destes, apenas um compartilhado o mesmo código postal, de um total de 54.000 moradores. E sete códigos postais. A eficácia do anonimato também depende da granularidade das informações, pois em pequenas amostras ou no caso de granularidade muito fina até poucos indivíduos, o anonimato torna-se inexistente.
Mais recentemente, um estudo realizado por pesquisadores do MIT mostrou que quatro pontos geo-localizados foram suficientes para identificar 95% dos indivíduos em um banco de dados telefônico de 1,5 milhão de pessoas.
Os dados pessoais, pelo valor económico potencial que resulta da sua utilização, fazem parte do ativo intangível de uma empresa e estão no cerne do que alguns têm denominado, inclusive a nível institucional, “l 'economia de dados'. Diversos modelos de negócios baseiam-se no uso de dados pessoais, inclusive os que consistem na prestação de serviços gratuitos em troca de dados fornecidos por seus usuários, utilizados principalmente para personalização de marketing e direcionamento comportamental .
Escândalos recentes (por exemplo, Facebook-Cambridge Analytica ) também mostraram o uso de dados pessoais para fins políticos, a fim de influenciar direta ou indiretamente as escolhas políticas dos eleitores nas principais eleições.
Além disso, os dados pessoais produzidos por comunidades ou administrações, anteriormente sujeitas a um processo de anonimato, podem ser divulgados para fins de interesse geral no âmbito das políticas de dados abertos .
Uma vez que os dados pessoais fornecem informações, em particular, sobre a identidade, comportamento, hábitos ou preferências das pessoas em causa, a sua utilização entra em conflito com o direito ao respeito pela vida privada e familiar , protegido pela Convenção Europeia. Protecção dos direitos humanos e liberdades fundamentais (artigo 8.º, n.º 1), a Carta Europeia dos Direitos Fundamentais (artigo 7.º) e o Código Civil (artigo 9.º).
Nalguns casos, o exercício dos direitos conferidos às pessoas abrangidas pela legislação em matéria de protecção de dados dá origem a conflitos com outras liberdades fundamentais, como a liberdade de expressão ou o direito à informação, em particular quando se concretiza o direito a ser esquecido .
Capa do GoogleSe as fugas de dados pessoais por vezes resultam de hacking por entidades externas, também acontece que estas sejam voluntárias por parte dos seus titulares, sob pena de penalizar os utilizadores. Em agosto de 2014, um usuário de e-mail do Gmail foi denunciado às autoridades locais pelo Google após enviar uma foto de pornografia infantil como anexo de e-mail. No entanto, o Google diz isso claramente em seus termos de uso: “Nossos sistemas automatizados analisam seu conteúdo (incluindo e-mails) para oferecer a você [...] Essa análise ocorre durante o envio, recebimento e armazenamento de conteúdo”.
Se ninguém pode contestar o mérito desta ação, esta notícia destaca o maciço controle de trocas realizado pelo Google. Este método também está em contradição com o artigo 29 da CNIL que estipula que: “O acesso aos dados pessoais para fins de segurança não é aceitável numa sociedade democrática, visto que é massivo e sem condições. A conservação, o acesso e a utilização dos dados pelas autoridades nacionais competentes devem ser limitados ao estritamente necessário e proporcionado numa sociedade democrática. Devem estar sujeitos a garantias substanciais e efetivas ”.
A primeira lei relativa ao tratamento automático de informações pessoais foi aprovada pelo Landtag de Hesse em 1970. A primeira lei nacional para a proteção de dados pessoais foi o Datalagen sueco de 11 de maio de 1973.
O Artigo 1 da Lei de Proteção de Dados declara que "qualquer pessoa tem o direito de decidir e controlar a utilização de dados pessoais que lhe digam respeito". Os diversos instrumentos jurídicos existentes neste domínio estabelecem um conjunto de princípios que o responsável pelo tratamento dos dados pessoais deve respeitar para proteger os direitos fundamentais do titular dos dados, que goza de direitos que lhe permitem manter o controlo sobre os seus dados pessoais. .
O direito positivo francês sobre a proteção de dados pessoais consiste na alteração da Lei de Proteção de Dados , que garante a transposição da Diretiva 95/46 / CE . Em 25 de maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados em toda a União Europeia, por se tratar de uma norma de aplicação direta, que não necessita ser transposta. Posto isto, foi apresentado um projeto de lei ao Conselho de Ministros em 13 de dezembro de 2017 com o objetivo de adaptar a Lei de Proteção de Dados às disposições deste Regulamento, nomeadamente no que diz respeito às opções nacionais autorizadas pelas inúmeras cláusulas de abertura presentes. texto comunitário (idade mínima para consentir com o processamento, regime para dados sensíveis, etc.).
Em resumo, a lei de proteção de dados pessoais exige que o controlador de dados cumpra os seguintes princípios:
Os titulares dos dados têm o direito à informação, à retificação ou mesmo ao apagamento de dados (por vezes referido como "direito a ser esquecido" ou "a retirar da lista"), de se opor ou limitar o processamento e, com o Regulamento, o direito de demanda portabilidade de dados (isso é conhecido como o “ direito à portabilidade ”).
suíçoA Lei Federal de Proteção de Dados de 19 de junho de 1992 ( na versão em 1º de janeiro de 2011) estabeleceu uma proteção de privacidade muito estrita , proibindo praticamente todo processamento de dados não explicitamente autorizado pelo titular dos dados. Em particular, é prescrito que:
Além disso, qualquer pessoa pode solicitar por escrito a uma empresa (que administra um arquivo) a retificação ou exclusão dos dados que lhe dizem respeito. A empresa deve responder em trinta dias.
Todo o sistema está sujeito à autoridade de um oficial federal de proteção e transparência de dados .
ChinaDesde 2012 e uma “decisão” da Comissão Permanente da ANP apelando ao reforço da protecção de dados da Internet e propondo uma primeira definição de “dados pessoais”, disposições relativas à protecção destes últimos têm infundido muitos textos., Em particular setorial, até 2017 e a promulgação da lei sobre cibersegurança (CSL, 2017), uma espécie de lei-quadro, desde então, complementada por uma infinidade de textos. Entre esses fundos: (1) um padrão (Especificação de Segurança de Informações Pessoais ou "PISS") teoricamente voluntário, mas amplamente obrigatório na prática, e que especifica as medidas a serem tomadas em termos de coleta, armazenamento, uso, compartilhamento, transferência e publicação de dados pessoais (maio de 2018); (2) um projeto de novo regulamento que rege as transferências transfronteiras de dados pessoais (junho de 2019).
Todo esse sistema legal e regulatório é amplamente inspirado no GDPR. Embora o GDPR seja frequentemente mais abrangente e preciso, e proceda de um ponto de partida diferente (proteção dos direitos individuais, enquanto o CSL insiste em salvaguardar a segurança nacional), os dois regimes estão de acordo em muitos pontos, incluindo o seguinte: ( 1) a necessidade de obter o consentimento do usuário antes da coleta de seus dados (a lei chinesa sobre segurança cibernética exige até consentimento “explícito”); (2) certos princípios, como minimizar as informações coletadas em relação ao objetivo buscado; minimização do tempo de armazenamento, etc. ; (3) o direito dos usuários de acessar os dados e solicitar sua correção ou exclusão; (4) limitação da partilha de dados a terceiros (o PISS apenas autoriza se “necessário” e desde que o destinatário seja capaz de garantir a sua segurança); (5) a adoção de uma abordagem contratual para as transferências transnacionais de dados pessoais.
Diferenças notáveis permanecem, no entanto. Em alguns casos, a lei chinesa acaba sendo mais restritiva do que o GDPR. Assim: (1) a lei sobre cibersegurança prevê penalidades de até dez vezes o valor dos lucros obtidos com transferências internacionais estão sujeitos a controles mais rígidos na China: o usuário deve ter sido informado e ter consentido em qualquer saída de dados confidenciais , um relatório de avaliação de risco deve ter sido submetido e aprovado pelas autoridades, etc. ; (2) em termos de proteção de dados pessoais, o corpus chinês é muito mais prescritivo quanto aos meios a serem implementados; auditoria anual e treinamento, estabelecimento de planos de emergência, criação de um cargo de "oficial de segurança de dados" em tempo integral em organizações que atendem a certos critérios, notificação de qualquer violação de segurança às autoridades, etc. No entanto, o "direito ao esquecimento" não é reconhecido como tal na China e a exclusão de dados a pedido dos usuários está sujeita a várias condições (ausência de consentimento, coleta ou uso ilegal, etc.) conforme promulgadas. Padrão PISS ”. Além disso, não existe uma autoridade específica responsável pela protecção dos dados pessoais, embora os operadores de rede e prestadores de serviços sejam obrigados a partilhar os dados recolhidos com as suas administrações de supervisão e órgãos de segurança pública.
Na ausência de um canal eficaz que permita aos cidadãos fazerem valer os seus direitos, a implementação deste corpo legislativo é principalmente por iniciativa do governo e continua a ser muito imperfeita. Uma primeira "campanha" teve como alvo os gigantes digitais chineses: Alibaba, Tencent, Sina, Baidu, etc., inspecionados sucessivamente. Em 2018, o foco era o comportamento criminoso e malicioso (furto, venda de dados pessoais), sob a liderança do Ministério da Segurança Pública. Depois, em 2019, nos aplicativos mais populares para celulares para avaliar se eles estavam coletando dados ilegalmente ou em quantidades excessivas. Estão previstas sanções financeiras e criminais, mas na maioria das vezes as empresas são obrigadas a implementar medidas corretivas e, em alguns casos, os pedidos são colocados offline. A implementação permanece em grande parte vertical, por iniciativa das autoridades públicas. Esta lógica de campanha resulta automaticamente em uma implementação de intensidade variável ao longo do tempo, dependendo dos atores e setores. Além disso, a lei é susceptível de ser adaptada às circunstâncias e aos interesses superiores do Estado. Por exemplo: em fevereiro de 2020, para combater a epidemia de COVID-19, o governo chinês generalizou o uso de soluções de rastreamento de indivíduos potencialmente afetados desenvolvidas pela Tencent e Alibaba. De acordo com o New York Times, o aplicativo do Alibaba compartilhou dados automaticamente com a polícia sem notificar os usuários.
Estados Unidos da AméricaEsses dados podem ser vendidos, se o titular dos dados não expressar expressamente seu desacordo. Esse é o caso, por exemplo, de dados de software de folha de pagamento.
A Comissão Nacional de Informática e Liberdades é a autoridade administrativa independente responsável pela aplicação da lei sobre tecnologia da informação e liberdades e pelo respeito pelos direitos das pessoas. Para isso, apóia os responsáveis pelo tratamento de dados, informa os titulares dos dados sobre seus direitos, recebe e investiga reclamações que podem resultar em sanções.
A integridade digital é um conceito jurídico emergente que visa alcançar uma melhor proteção dos dados, garantindo o direito à autodeterminação informativa. Introduzido no âmbito dos direitos fundamentais , o direito à integridade digital é proposto como uma justificação para todos os direitos digitais, incluindo o da proteção de dados.
Os métodos de coleta tornaram-se particularmente diversificados com as tecnologias digitais. Esses métodos podem ir desde a coleta de informações por meio de formulário preenchido voluntariamente pelos indivíduos até o registro de rastros (hábitos de navegação, localização geográfica do endereço de conexão, sites consultados, relacionamento estabelecido com indivíduos ou redes, etc.).
Os modos de exploração podem ser feitos pelos próprios indivíduos, através da busca de informações por meio de um mecanismo de busca ou em redes sociais online, ou por organizações: marketing direcionado, listagem de populações pelo Estado, envio em massa de e-mails comerciais não solicitados ( spam ), etc. . O modelo de negócios dos principais players da Web ( Google , Amazon ) e redes sociais ( Facebook , Twitter ) é amplamente baseado no uso de dados pessoais dos usuários.
Pierre Bellanger sugere em 2014 a criação de um direito de propriedade: o de seu traço digital nas redes. Este direito pressupõe que qualquer captura ou processamento de dados de um cidadão europeu cumpre a legislação europeia, mas, além disso, qualquer exportação desses dados para fora da União está sujeita a um imposto: o “dataxe”.
AFAPDP, a associação das autoridades de proteção de dados, refuta a criação de tal direito de propriedade. Em 18 de outubro de 2018, a associação, reunida em assembléia em Paris , vota uma resolução declarando que "os dados pessoais são elementos constitutivos da pessoa humana, que, portanto, tem direitos inalienáveis sobre eles". Esta resolução foi proposta pela CNIL .
Compartilhar e vazar dados pessoais é uma violação da segurança e da privacidade dos dados, que pode ter graves repercussões para os indivíduos envolvidos. No entanto, são frequentes:
Elise Lucet no Documentário, Investigação de dinheiro : "Nossos dados pessoais valem ouro" na França 2 em maio de 2021, destaca as falhas na proteção de dados pessoais na França.
Em geral
Aspectos tecnicos
Aspectos legais
Avaliações