O âmbito de aplicação material da legislação de proteção de dados pessoais e o tratamento de imagem por pessoa singular

Images have gained a never before seen importance. Technological changes have given the Information Society extraordinary means to capture, treat and transmit images, wheter your own or those of others, with or without a commercial purpose, with no boundaries of time or country, without “any kind of eraser”. From the several different ways natural persons may engage in image processing with no commercial purpose, the cases of sharing pictures through social networks and video surveillance assume particular relevance. Consequently there are growing legitimate concerns with the protection of one's image, since its processing may sometimes generate situations of privacy invasion or put at risk other fundamental rights. With this in mind, the present thesis arises from the question: what are the existent legal instruments in Portuguese Law that enable citizens to protect themselves from the abusive usage of their own pictures, whether because that image have been captured by a smartphone or some video surveillance camera, whether because it was massively shared through a blog or some social network? There is no question the one's right to not having his or her image used in an abusive way is protected by the Portuguese constitution, through the article 26th CRP, as well as personally right, under the article 79th of the Civil Code, and finally through criminal law, articles 192nd and 193rd of the Criminal Code. The question arises in the personal data protection context, considering that one's picture, given certain conditions, is personal data. Both the Directive 95/46/CE dated from 1995 as well as the LPD from 1998 are applicable to the processing of personal data, but both exclude situations of natural persons doing so in the pursuit of activities strictly personal or family-related. These laws demand complex procedures to natural persons, such as the preemptive formal authorisation request to the Data Protection National Commission. Failing to do so a natural person may result in the application of fines as high as €2.500,00 or even criminal charges. Consequently, the present thesis aims to study if the image processing with no commercial purposes by a natural person in the context of social networks or through video surveillance belongs to the domain of the existent personal data protection law. To that effect, it was made general considerations regarding the concept of video surveillance, what is its regimen, in a way that it may be distinguishable from Steve Mann's definition of sousveillance, and what are the associated obligations in order to better understand the concept's essence. The application of the existent laws on personal data protection to images processing by natural persons has been analysed taking into account the Directive 95/46/CE, the LPD and the General Regulation. From this analysis it is concluded that the regimen from 1995 to 1998 is out of touch with reality creating an absence of legal shielding in the personal data protection law, a flaw that doesn't exist because compensated by the right to image as a right to personality, that anyway reveals the inability of the Portuguese legislator to face the new technological challenges. It is urgent to legislate. A contrary interpretation will evidence the unconstitutionality of several rules on the LPD due to the obligations natural persons are bound to that violate the right to the freedom of speech and information, which would be inadequate and disproportionate. Considering the recently approved General Regulation and in the case it becomes the final version, the use for natural person of video surveillance of private spaces, Google Glass (in public and private places) and other similar gadgets used to recreational purposes, as well as social networks are subject to its regulation only if the images are shared without limits or existing commercial purposes. Video surveillance of public spaces in all situations is subject to General Regulation provisions.

A regulamentação de proteção de dados pessoais no Brasil e na Europa: uma análise comparativa

Trabalho apresentado no III Simpósio Internacional LAVITS: Vigilância, Tecnopolíticas, Territórios 13 à 15 de Maio, 2015. Rio de Janeiro, Brasil

Os Parlamentos Nacionais como atores dessecuritizadores do espaço de liberdade, segurança e justiça da União Europeia : o caso da proteção de dados

A área da Justiça e Assuntos Internos é uma das áreas de mais rápido crescimento no contexto das políticas da União Europeia. As matérias nela incluídas – tradicionalmente consideradas áreas de soberania dos Estados-membros – suscitam com frequência questões ao nível da proteção de direitos fundamentais e da relação dos cidadãos com as autoridades estatais e supra-estatais. O Tratado de Lisboa atribui também aqui poderes inéditos aos parlamentos – tanto o Parlamento Europeu, como os parlamentos nacionais –, os quais, investidos da sua legitimidade representativa, podem agora desempenhar um papel fundamental na redução do défice democrático da UE, participando no desenvolvimento e aprofundamento das políticas europeias neste domínio, quer através de um escrutínio melhorado ex-ante e ex-post, quer colaborando na necessária e desejada aproximação da Europa aos cidadãos. O presente estudo avalia a evolução do Espaço de Liberdade, Segurança e Justiça à luz das teorias da securitização iniciadas pela Escola de Copenhaga e desenvolvidas pela Escola de Paris, com a finalidade de analisar o potencial de dessecuritização da agenda e das práticas através dos parlamentos. O caso da proteção de dados, reconhecido como direito fundamental, foi escolhido para aprofundar a análise, em função da utilização crescente pelas autoridades competentes de estratégias de intelligence e no contexto do elevado número de bases de dados policiais da União com características de interoperabilidade e do consequente aumento do recurso ao intercâmbio de dados de natureza pessoal, que ocorre no âmbito da cooperação operacional.

Relatório de estágio curricular realizado na Comissão Nacional de Protecção de Dados

The personal data protection is presented as an indisputably complex and transversal subject and gives an account of this report, a result of curricular internship at the Portuguese Commission for Data Protection. The Commission is the competent authority for the control and supervision of personal data processing. The subject around which this report was prepared is the protection of personal data, analyzed in several aspects. The protection of personal data is, for some time, a topic that raises many concerns, because it is closely linked to fundamental rights constitutionally protected. Fundamental rights inherent in each of us are a result of Article 1 of the Constitution of the Portuguese Republic, in the sense that the dignity of the human person is affirmed as the first value around which the Portuguese legal system will have to be based. In other words, is the dignity of the human person the highest value in the Portuguese legal system. Was the development of societies to the point that we know today that has led to the importance to the personal data of citizens. In modern societies, it is possible to know everything about everyone and the curiosity of others seems not to worry about the injuries that affect the rights of citizens. Where new technologies make excuses for the excessive processing of personal data and where subjects do not seem to bother about their personal data crossing the world, it is important that jurisdictions give value the protection of personal data and the implications of its misuse, in that as these are the mirror of identity each of us and can be used against their owners, causing irreparable damage to the their fundamental rights. Being understood as protection of personal data the possibility of each citizen to decide the use of their data and how they can be used, we can say that its protection depends essentially on each of us, as holders of personal data. Therefore, the protection of our data begins in ourselves.

Privacidade e tutela de dados genéticos

Este trabalho trata da questão da tutela dos dados genéticos e sua relação com o direito à privacidade. Em primeiro lugar, analisa-se a evolução da noção de privacidade e seus conflitos com o progresso tecnológico. Em seguida, realizou-se uma pesquisa que procurou apresentar como países estrangeiros lidam com a questão dos dados genéticos, tendo ficado evidente a utilização desses para fins de identificação criminal e como essas experiências influenciam o legislador brasileiro. Depois, são discutidas as controvérsias jurídicas decorrentes da formação de bancos de dados genéticos, o papel que o consentimento desempenha para a proteção da privacidade do indivíduo e a constituição de bancos de dados e os princípios que regem o tratamento desses dados. Por fim, conclui-se que se deve perseguir um equilíbrio entre a necessidade de proteção dos dados genéticos e a utilização desses para se atender interesses juridicamente relevantes de terceiros.

Uma abordagem para um plano de gestão de fluxo de dados na TV Unesp

Pós-graduação em Televisão Digital: Informação e Conhecimento - FAAC

Algoritmo papílio como método de proteção de templates para aumentar a segurança em sistemas de identificação biométricos

There are authentication models which use passwords, keys, personal identifiers (cards, tags etc) to authenticate a particular user in the authentication/identification process. However, there are other systems that can use biometric data, such as signature, fingerprint, voice, etc., to authenticate an individual in a system. In another hand, the storage of biometric can bring some risks such as consistency and protection problems for these data. According to this problem, it is necessary to protect these biometric databases to ensure the integrity and reliability of the system. In this case, there are models for security/authentication biometric identification, for example, models and Fuzzy Vault and Fuzzy Commitment systems. Currently, these models are mostly used in the cases for protection of biometric data, but they have fragile elements in the protection process. Therefore, increasing the level of security of these methods through changes in the structure, or even by inserting new layers of protection is one of the goals of this thesis. In other words, this work proposes the simultaneous use of encryption (Encryption Algorithm Papilio) with protection models templates (Fuzzy Vault and Fuzzy Commitment) in identification systems based on biometric. The objective of this work is to improve two aspects in Biometric systems: safety and accuracy. Furthermore, it is necessary to maintain a reasonable level of efficiency of this data through the use of more elaborate classification structures, known as committees. Therefore, we intend to propose a model of a safer biometric identification systems for identification.

Os efeitos da cidade digital: o direito à privacidade e à liberdade de informação

O presente trabalho analisa a formação da cidade digital nas relações sociais, ressaltando os efeitos da garantia do direito à privacidade no ambiente dos navegantes de sites e redes sociais, em função das repercussões jurídicas do vazamento de informações da vida pessoal dos usuários da rede, e do tratamento dos dados coletados pelos prestadores de serviço. Através do ciberespaço formam-se comunidades virtuais que ultrapassam a necessidade de localidade e sociabilidade, criando um isolamento social e abandonando as interações face a face em ambientes reais, originando uma sociabilidade baseada no individualismo. Avaliamos os novos padrões de interação que se originam nesta nova formatação de coletividade informacional e suas repercussões no âmbito do direito. Em uma perspectiva mais detalhada, esse estudo indica quais as hipóteses de responsabilidade civil dos provedores na Internet em decorrência de atos ilícitos cometidos por terceiros e as alternativas de um sistema de tutela da privacidade à proteção de dados, face à lesão no ambiente informacional. O levantamento das possíveis situações de responsabilização civil foi efetuado através da análise da jurisprudência e da doutrina dominante, ressaltando os aspectos fáticos que caracterizam sua formatação. Esse modelo se impõe, através de uma relação hierárquica a uma multiplicidade de indivíduos, criando um encarceramento perfeito através do exercício do biopoder. Tais papéis são reforçados por uma cultura consumista e a sociedade do espetáculo, que transforma o indivíduo em mercadoria levantando perfis de usuários conectados em rede, propiciando uma categorização dos consumidores. Nesse contexto, apresentamos os riscos de uma sociedade de vigilância que se apresenta factível como um produto das relações de mercado, que possibilita dispor livremente de um conjunto crescente de informações. Esta constante vigilância invade todos os espaços, custodiando nosso comportamento independente do tempo, com uma implacável memória no âmbito das comunicações eletrônicas, tornando nosso passado eternamente visível e fazendo surgir situações constrangedoras a nos assombrar.

Electronic health records for mobile citizens: a secure and collaborative architecture

Durante as ultimas décadas, os registos de saúde eletrónicos (EHR) têm evoluído para se adaptar a novos requisitos. O cidadão tem-se envolvido cada vez mais na prestação dos cuidados médicos, sendo mais pró ativo e desejando potenciar a utilização do seu registo. A mobilidade do cidadão trouxe mais desafios, a existência de dados dispersos, heterogeneidade de sistemas e formatos e grande dificuldade de partilha e comunicação entre os prestadores de serviços. Para responder a estes requisitos, diversas soluções apareceram, maioritariamente baseadas em acordos entre instituições, regiões e países. Estas abordagens são usualmente assentes em cenários federativos muito complexos e fora do controlo do paciente. Abordagens mais recentes, como os registos pessoais de saúde (PHR), permitem o controlo do paciente, mas levantam duvidas da integridade clinica da informação aos profissionais clínicos. Neste cenário os dados saem de redes e sistemas controlados, aumentando o risco de segurança da informação. Assim sendo, são necessárias novas soluções que permitam uma colaboração confiável entre os diversos atores e sistemas. Esta tese apresenta uma solução que permite a colaboração aberta e segura entre todos os atores envolvidos nos cuidados de saúde. Baseia-se numa arquitetura orientada ao serviço, que lida com a informação clínica usando o conceito de envelope fechado. Foi modelada recorrendo aos princípios de funcionalidade e privilégios mínimos, com o propósito de fornecer proteção dos dados durante a transmissão, processamento e armazenamento. O controlo de acesso _e estabelecido por políticas definidas pelo paciente. Cartões de identificação eletrónicos, ou certificados similares são utilizados para a autenticação, permitindo uma inscrição automática. Todos os componentes requerem autenticação mútua e fazem uso de algoritmos de cifragem para garantir a privacidade dos dados. Apresenta-se também um modelo de ameaça para a arquitetura, por forma a analisar se as ameaças possíveis foram mitigadas ou se são necessários mais refinamentos. A solução proposta resolve o problema da mobilidade do paciente e a dispersão de dados, capacitando o cidadão a gerir e a colaborar na criação e manutenção da sua informação de saúde. A arquitetura permite uma colaboração aberta e segura, possibilitando que o paciente tenha registos mais ricos, atualizados e permitindo o surgimento de novas formas de criar e usar informação clínica ou complementar.

Direito a ser esquecido na internet

With the recent technological development, we have been witnessing a progressive loss of control over our personal information. Whether it is the speed in which it spreads over the internet or the permanent storage of information on cloud services, the means by which our personal information escapes our control are vast. Inevitably, this situation allowed serious violations of personal rights. The necessity to reform the European policy for protection of personal information is emerging, in order to adapt to the technological era we live in. Granting individuals the ability to delete their personal information, mainly the information which is available on the Internet, is the best solution for those whose rights have been violated. However, once supposedly deleted from the website the information is still shown in search engines. In this context, “the right to be forgotten in the internet” is invoked. Its implementation will result in the possibility for any person to delete and stop its personal information from being spread through the internet in any way, especially through search engines directories. This way we will have a more comprehensive control over our personal information in two ways: firstly, by allowing individuals to completely delete their information from any website and cloud service and secondly by limiting access of search engines to the information. This way, it could be said that a new and catchier term has been found for an “old” right.

From user browsing behaviour to user demographics

A Internet conta hoje com mais de 3 mil milhões de utilizadores e esse valor não para de aumentar. Desta forma, proporcionar uma experiência online agradável aos seus utilizadores é cada vez mais importante para as empresas. De modo a tirar partido dos benefícios deste crescimento, as empresas devem ser capazes de identificar os seus clientes-alvo dentro do total de utilizadores; e, subsequentemente, personalizar a sua experiência online. Existem diversas formas de estudar o comportamento online dos utilizadores; no entanto, estas não são ideais e existe uma ampla margem para melhoria. A inovação nesta área pode comportar um grande potencial comercial e até ser disruptiva. Com isto em mente, proponho-me a estudar a possível criacão de um sistema de aprendizagem automática (machine learning) que permita prever informa ações demográficas dos utilizadores estritamente com base no seu comportamento online. Tal sistema poderia constituir uma alternativa às atuais opções, que são mais invasivas; mitigando assim preocupações ao nível da proteção de dados pessoais. No primeiro capítulo (Introdução) explico a motivação para o estudo do comportamento dos utilizadores online por parte de empresas, e descrevo as opções disponíveis atualmente. Apresento também a minha proposta e o contexto em que assenta. O capítulo termina com a identicação de limitações que possam existir a priori. O segundo capítulo (Machine Learning) fornece uma introdução sobre machine learning, com o estudo dos algoritmos que vão ser utilizados e explicando como analisar os resultados. O terceiro capítulo (Implementação) explica a implementação do sistema proposto e descreve o sistema que desenvolvi no decorrer deste estudo, e como integra-lo em sistemas já existentes. No quarto capítulo (Análise e manipulação dos dados), mostro os dados compilados e explico como os recolhi e manipulei para testar a hipótese. No quinto capítulo (Análise de dados e discussão) vemos como e que os dados recolhidos foram usados pelos vários algoritmos para descobrir como se correlacionam com dados dos utilizadores e analiso e discuto os resultados observados. Por fim, o sexto e último capítulo apresenta as conclusões. Dependendo dos resultados, mostro como a hipótese poderia ser melhor testada, ou então discuto os próximos passos para tornar o sistema realidade.

A percepção de privacidade do internauta brasileiro à luz da tipologia de Sheehan: uma análise exploratória

O status tecnológico da sociedade contemporânea, imersa no mundo virtual, ao mesmo tempo que cria novas oportunidades para as empresas e mais comodidade aos usuários, também gera interesses conflitantes entre essas duas partes e incita ao surgimento de paradoxos na relação de ambas com a privacidade. Um dos reflexos desse cenário é a falta de confiança do consumidor em expor seus dados pessoais no ambiente on-line, o que, por sua vez, atua como um obstáculo ao pleno potencial do comércio eletrônico. Uma das possíveis saídas para o dilema, apontada por vários estudiosos, estaria na busca do chamado caminho virtuoso do meio, representado por soluções eficazes e satisfatórias para todas as instâncias envolvidas. Como parte de tal caminho, que configura um processo de conhecimento do sentido e do valor da privacidade nos dias atuais, encontram-se os estudos de tipologia, que, apesar de numericamente pequenos — sobretudo tendo a Internet como foco —, representam esforços para se chegar a uma conceituação sobre o que é a natureza do privado. Desse entendimento dependem a elaboração e a fundamentação de estratégias para o implemento de soluções em sintonia com as inúmeras demandas sociais de hoje. O objetivo do presente trabalho, portanto, é replicar um determinado modelo de tipologia de privacidade no cenário do Brasil após pesquisa do tema em nível global. A escolha recaiu sobre um estudo de Sheehan (2002), desenvolvido nos Estados Unidos junto a um público de intermautas. Na transposição do modelo para um grupo de 190 indivíduos no Brasil, verificou-se que, dentre as quatro variáveis abordadas no estudo original (gênero, idade, grau de escolaridade e renda familiar), apenas a idade teve significância para a privacidade, com pouco mais de 20% de variabilidade. Já o nível de escolaridade, que se mostrou importante no trabalho norte-americano, não apresentou qualquer relevância entre o público brasileiro. As divergências nos resultados podem ser atribuídas a diferentes fatores, com ênfase ao papel exercido pelos sistemas culturais. Considerá-las, pois, pode embasar futuros estudos que, à semelhança deste, procurem responder ao desafio da privacidade no campo virtual e beneficiem tanto indivíduos como o fortalecimento do e-commerce.