Veja um breve resumo de como está a proteção de dados pessoais pelo mundo. Este é um movimento irreversível e que todas as organizações devem considerar.
A tecnologia evolui em grande velocidade. Os dados das pessoas e das empresas já circulam em todo o mundo.Às portas da evolução para tecnologia 5G, já é possível vislumbrar o potencial de novas fronteiras, como a Internet das Coisas (IoT).
Por outro lado, todos estes avanços trazem também ameaças na mesma dimensão: vazamento e roubo de informações, fraudes utilizando a falsidade ideológica, fraudes financeiras e uso indevido de informações pessoais e sigilosas.
Essa é preocupação que motiva a adoção de medidas de proteção de dados pessoais e de defesa da privacidade em todo o mundo. Este ainda é um movimento bastante heterogêneo, mas que caminha para o estabelecimento de alguns parâmetros comuns: o consentimento do titular para o uso dos dados, informações sobre violações e uso indevido, direito ao esquecimento e destruição dos dados a pedido do titular.
As diretrizes gerais focam também na proteção contra ataques e violações, cada vez mais comuns e sofisticadas.
Talvez a legislação de proteção de dados mais conhecida seja o GDPR, um regulamento adotado pela União Européia em 2018 e que vale para todo o Espaço Econômico Europeu. O objetivo é dar aos cidadãos e residentes na União Européia formas de controlar os seus dados pessoais e unificar o quadro regulamentar europeu. Ele também regulamenta também a exportação de dados pessoais para fora da UE, o que acaba afetando as relações com outros países.
A LGPD acompanha uma tendência que evolui para todo o mundo
No Brasil, A Lei Geral de Proteção de Dados Pessoais – LGPD – Lei 13.709, foi publicada em em 14 de agosto de 2018. Ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Mas a GPRD e e LGPD não são únicas.
O SERPRO publicou em seu site um interessante mapa da implantação das medidas de proteção e dados pelo mundo, elaborado pela Comissão Nacional de Informática e das Liberdades.
A seguir uma breve coletânea de informações sobre a proteção de dados pessoais em diversos países.
Estados Unidos
Devido às características específicas da organização dos Estados Unidos como nação, a adoção de uma política única, de alcance federal é um empreendimento bastante complexo e envolveria a revisão de uma serie de leis e regulamentos existentes, no plano federal e no plano dos Estados.
Apesar de não existir uma regulamentação central nos Estados Unidos, existem algumas legislações estaduais e locais:
Califórnia
O CCPA (California Consumer Privacy Act) é um estatuto destinado a proteger os direitos de privacidade e defender os direitos dos consumidores residentes no Estado. Foi aprovado em setembro de 2018 e recebeu complementos em outubro de 2019.
Carolina do Sul
Implantada a partir de janeiro de 2019, o Insurance Data Security Action é uma estrutura de legislação baseada no modelo de legislação de Ciber Segurança proposto pelo National Association of Insurance Commissioners (NAIC). Este modelo, em discussão em diversas localidades nos Estados Unidos, norteia a oferta de seguros voltados para cobrir perdi derivadas de falhas de segurança da informação.
Chicago
O Personal Data Collection & Protection Ordinance, aprovado em 2018, estabelece que as empresas: a) obtenham consentimento prévio dos residentes de Chicago para usar, divulgar ou vender suas informações pessoais, b) notifiquem os residentes de Chicago afetados e a cidade de Chicago em caso de violação de dados, c)registrem-se na cidade de Chicago se forem qualificados como “corretores de dados”, d) forneçam notificação específica aos usuários de dispositivos móveis para serviços de localização e e) obtenham consentimento prévio expresso para usar dados de geolocalização de aplicativos móveis.
Colorado
O Colorado editou o Data Privacy and House Bill 18-1128 que definiu os novos requisitos para a poteção de dados pessoais. A Lei de Privacidade inclui novas obrigações para os municípios quanto à proteção e eliminação de “informações de identificação pessoal (PII).
New York
Requisitos de segurança cibernética do New York State Department Of Financial Services 23 NYCRR 500. Entrou em vigor em fevereiro de 2018 e aplica-se a todas as organizações em Nova York que processam dados pessoais / corporativos;
São Francisco
A Privacy First Policy estabelece regras de proteção das informações coletadas sobre residentes e visitantes por qualquer entidade que tenha contratos, aluguéis e autorizações com a cidade. As empresas devem obedecer a 11 princípios, incluindo proteção de dados contra divulgação não autorizada ou ilegal, ter políticas publicamente disponíveis sobre como acessar os dados coletados e adotar ferramentas para corrigir informações.
Canadá
As iniciativas de implantação de medidas de proteção de dados no Canadá se iniciou em 2014 e passou por mudanças e adequações, com uma versão promulgada em junho de 2015. Conhecida como Digital Privacy Act ou Bill S-4, a Lei de Privacidade Digital impacta todos os setores, da legislação até o setor de saúde.
A legislação define que toda organização deve registrar e relatar violações de salvaguardas de segurança, bem como evitar obstruir o comissário da investigação de uma reclamação ou auditoria. Se não estiver em conformidade com esta decisão, o governo pode multar aqueles que não aderiram, com altas penalidades para cada crime.
Além disso, a Lei de Privacidade Digital exige que as organizações mantenham registros de todas as violações das proteções de segurança se as informações pessoais forem comprometidas. Isso significa um enorme desafio para as organizações, pois o custo e a dificuldade administrativa de manter registros de todo e qualquer incidente – não importa o quão pequeno seja – será suficiente para impactar a receita e a produtividade dos membros da equipe de TI.
América Latina
Os seguintes países na América Latina, além do Brasil, aprovaram algum tipo de legislação referente à Proteção de Dados:
Argentina
A Argentina é o país da América Latina com a mais antiga legislação voltada para a proteção de dados, promulgada em 1994. A legislação atual da Argentina protege os dados pessoais armazenados em todas as plataformas de processamento públicas ou privadas. Além disso, os cidadãos têm acesso às suas informações em bancos de dados públicos.
Colômbia
Na Colômbia, a questão da privacidade e proteção de dados é regida por quatro regulamentações: o Decreto 1.377/13, a Lei 1.581/12, a Lei 1.273/09 e a Lei 1.266/08. Atos cobrem assuntos como: consentimento do titular, transferências internacionais de dados e políticas de processamento de dados pessoais, o direito de cada indivíduo de determinar como seus dados serão coletados, armazenados, usados, processados e transferidos e os direitos à privacidade na coleta e processamento de dados pessoais. A Lei 1.273 estabelece as diretrizes sobre crimes cibernéticos e que roubar, vender ou comprar dados pessoais é uma atividade criminosa.
Costa Rica
A Costa Rica adotou a Lei Geral de Proteção de Dados Pessoais, que garante a todas as pessoas seus direitos fundamentais, como autodeterminação, defesa de liberdades e igualdade, em relação a qualquer processamento de dados relacionados a elas ou às suas informações.
México
O México aprovou a Lei Federal Mexicana de Proteção de Dados Pessoais em Poder de Particulares ou mais conhecida como Lei Federal de Proteção de Dados em 2010. A preocupação do país com a proteção de dados também levou à criação do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), uma entidade autônoma que protege dados pessoais manipulados por indivíduos e pelo governo federal e promove os direitos de privacidade das pessoas.
Panamá
O Panamá publicou a Lei de Proteção de Dados Pessoais em setembro de 2016.
Peru
O Peru criou sua legislação de proteção de dados em 2011, que concede autoridade e acesso transparente às informações públicas, fortalecendo a proteção de dados pessoais. A estrutura de proteção de dados pessoais do Peru visa proteger os direitos dos indivíduos e garantir o cumprimento das obrigações das empresas de processamento de dados.
Uruguai
A legislação referente à proteção de dados foi aprovada em 2012 e o Uruguai foi o segundo país, depois da Argentina a ser reconhecido pela União Européia como dotado de legislação específica para essa finalidade. No início de 2020, o Conselho de Ministros do Uruguai, publicou um decreto com as novas obrigações relacionadas à proteção de dados pessoais foram regulamentadas, com novidades nos seguintes temas: comunicação sobre incidentes de segurança; avaliação de impacto na proteção de dados pessoais; Nomeação de um delegado de proteção de dados pessoais; extensão do âmbito territorial da lei.
China
Antes de estabelecer uma regulamentação unificada, a legislação chinesa a respeito da proteção e dados era composta por diversas regulamentações fragmentadas, como a a Decisão de Fortalecer a Proteção das Redes de Informações (2012), o Padrão Nacional de Segurança da Tecnologia da Informação (2013) e a Lei de Proteção ao Consumidor (2014), a Lei Criminal (2015), Lei Civil da República Popular da China (de 2017) e a Lei de Cibersegurança (2017).
A regulamentação chinesa mais recente sobre privacidade é a lei Tecnologia da Informação: Especificação Sobre Segurança de Informações Pessoais (GB/T 35273-2017). Ela estabelece as diretrizes sobre transparência, direitos do titular e consentimento.
Filipinas
A Lei de Privacidade de Dados – Lei Nacional nº 10.173, foi implementada em 2016. Sua base foi redigida em 2012. A lei determina que um indivíduo ele tem o direito de saber quem está coletando a informação, o propósito e finalidade da coleta, como e por quem os dados serão processados e quem terá acesso a eles.
Índia
A base da proteção da dados são a Lei de Tecnologia da Informação (Lei 21 de 2000) e a lista de Regras de Tecnologia da Informação de 2011. Ambas trazem regras específicas sobre como proteger dados pessoais e outros requerimentos para garantir a privacidade de dados. Há, ainda, conjuntos de regras voltados especificamente para a coleta e o tratamento de dados pessoais nos setores bancário e de saúde.
No entanto, ainda não existe uma legislação unificada. Um projeto de Lei de Proteção de Dados pessoas foi publicada no final de 2019 e ainda está em análise pelo Parlamento.
Indonésia
A Indonésia ainda não possui uma legislação unificada para a proteção. As regras atuais são Lei de Informação e Transações Eletrônicas (Lei 11 de 2018), a Lei 19 de 2016, e pelas Regulações nº 82 de 2012 e nº 20 de 2016.
Uma legislação única está em discussão inspirada na GDPR, como foco no consentimento, notificação de vazamentos de dados e exclusão de dados, entre outros pontos.
Japão
Até 2003, a privacidade de dados no Japão era regida pela Lei de Proteção de Informações Pessoais (Lei 57 de 2003). Em 2017, o Japão colocou em prática a Emenda APPI de 2017, que define os critérios básicos para a proteção de dados pessoais. Ela define regras sobre o compartilhamento de dados com terceiros, manutenção de informações em bancos de dados, anonimização de dados e vazamentos, proteção dos titulares. Estas diretrizes alinharam ao Japão às políticas da União Européia.
Malásia
A Lei de Proteção de Dados Pessoais entrou em vigor no ano de 2010. Essa Lei nº 709 estabelece que, para que um tratamento de dados seja legítimo e legal, o titular deve receber informações sobre o propósito da coleta e tratamento, sobre os seus direitos enquanto titular dos dados e sobre quem terá acesso a esses dados.
Austrália
A Lei de Privacidade foi promulgada em 1988 e define as regras para as instituições do setor público e do setor privado. A lei foi construída com base nos 13 Princípios Australianos de Privacidade (APPs, ou Australian Privacy Principles), que abordam temas como uso e divulgação de dados; direitos do titular dos dados; manutenção da qualidade dos dados; e transparência e anonimidade.
A lei é complementada pelas regulamentações estaduais de privacidade e pelas leis de proteção de dados voltadas para setores específicos — estabelecidas de acordo com o uso que cada mercado faz de dados pessoais.
Nova Zelândia
A Lei de Privacidade foi estabelecida em 1993. Ela é focada principalmente na coleta de dados, formas de armazenamento e acesso, limitações do tratamento e divulgação de dados pessoais.
O país também tem legislações de privacidade voltadas para setores específicos, incluindo crédito, saúde e telecomunicações. Está em discussão a Lei de Privacidade de 2018, que deverá substituir a legislação anterior. As mudanças mais significativas incluem o reporte mandatório sobre vazamentos, notificações de compliance e transferências internacionais de dados.
Ampliando a proteção de dados pessoais pelo mundo
A abrangência dos negócios das organizações é cada vez mais global e é praticamente inevitável que informações de clientes estejam sendo tratadas em Data Centers ao redor do mundo, em plataformas de análise de comportamentos, sistemas de e-commerce, sistemas de pagamentos etc.
Portanto, a proteção dos dados é um movimento inevitável.
A LGPD permite a transferência de dados para além as fronteiras do Brasil, desde que seja:
- com o consentimento específico do titular dos dados;
- a pedido do titular para que esse possa executar pré-contrato ou contrato;
- para proteger a vida e a integridade física do titular ou de terceiro;
- para ajudar na execução de política pública;
- para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil;
- para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional;
- para cumprir obrigação legal;
- com a autorização da ANPD;
- comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta.
Portanto, o intercâmbio de informações de cidadãos brasileiros ou residentes no Brasil com outros países dependerá da compatibilidade da legislação dos países envolvidos nas relações comerciais com regras universais de Proteção de Dados. Falhas na adesão às políticas de proteção provavelmente implicarão em perdas de imagem e confiança tão onerosas e significativas quanto às possíveis perdas financeiras diretas.