Os casos recorrentes de vazamentos de informações em empresas, assim como o uso indevido de dados pessoais indicam a necessidade de implantação de leis que protejam os dados pessoais da população. Os danos, que muitas vezes são irreparáveis aos titulares e à imagem das empresas, têm feito disparar o número de organizações em conformidade com a Lei Geral de Proteção de Dados, a LGPD, em vigor no país desde 2020, assim como também com outras regulamentações internacionais.
No Brasil, a lei ainda está engatinhando, mas pelo mundo, em países como Estados Unidos, Japão, Argentina, Uruguai, Reino Unido e membros da União Europeia já são exemplos de sucesso de implantação de leis de proteção de informações de cidadãos, que funcionam inclusive extraterritorialmente.
A LGPD no Brasil, um início mais que necessário
Em meio a descrenças de muitos empresários, tal como aconteceu com o Código de Defesa do consumidor, onde mais cedo ou mais tarde todos tiveram que se adequar, a LGPD no Brasil segue em implementação num momento mais que oportuno.
O país figura como um dos que mais sofrem ataques cibernéticos no mundo e continua expondo dados nos setores público e privado, paralisando sistemas e revelando falta de transparência de empresas e governos.
De acordo com o advogado José Antonio Milagre, especialista em Direito Digital, e mestre e doutorando em Ciência da Informação pela UNESP, a chegada da LGDP no Brasil traz mais segurança ao país, colocando-o no mesmo nível de outras nações que já possuíam regulamentos de proteção de dados.
Porém ele afirma: “o Brasil ainda tem muito a aprender com a Europa no que diz respeito à proteção de dados pessoais.” Para tanto, é imprescindível que todas as empresas e instituições do país vençam a barreira do receio de investir e entendam a importância de haver regulamentações específicas para proteger os dados pessoais.
Proteção de dados pelo mundo: como funciona a LGPD em países como Estados Unidos e na União Europeia
Vários países pelo mundo já reconhecem há muito tempo a necessidade de se ter regulamentações específicas para proteger os dados pessoais de sua população. Considerando o exemplo de como foi feito na União Europeia, no Reino Unido, na Califórnia (EUA), no Japão, no Uruguai e na Argentina, é possível calcular o quanto o Brasil pode ganhar em termos de segurança cibernética.
União Europeia
A Europa já possui deliberação sobre tratamento de dados pessoais desde a década de 90, quando criou a diretiva 46/1995. Mais de 20 anos depois, essa diretiva foi revogada pela Resolução 679 de 2016, denominada General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados (GDPR).
Já há alguns anos em vigor, a GDPR é considerada o maior conjunto de regras de proteção à privacidade online, o que faz o continente europeu ser o mais avançado do mundo em termos de leis de proteção de dados. O texto da GDPR serviu de inspiração para a criação da LGPD, influenciando legislações em todo o mundo devido a alta capacidade da GDPR de processar dados, e também pela possibilidade de aplicação extraterritorial da lei.
Com isso, os cidadãos da União Europeia e do Espaço Econômico Europeu exercem o direito de saber quais informações que as empresas coletam sobre eles e em que situações irão usá-las.
O GDPR impõe que todos os países que lidam com informações pessoais de cidadãos europeus façam o processamento dos dados pessoais. Também as autoridades da União Europeia estão capacitadas para realizar investigações de conformidade, o que garante a qualidade da proteção de dados dos cidadãos.
Reino Unido
Em vigor desde 1o de janeiro de 2021, o Regulamento Geral de Proteção de Dados (GDPR) do Reino Unido nasceu da necessidade de as organizações do país se esforçarem na adesão à conformidade de proteção de dados com as novas exigências.
Antes, o GDPR Reino Unido era integrante do GDPR da União Europeia, que atualmente não se aplica mais na Grã-Bretanha desde a confirmação oficial do Brexit, cujo período de transição encerrou-se em 31 de dezembro de 2020.
Desde então, a Lei de Proteção de Dados do Reino Unido (DPA) 2018 incorporou as disposições do GDPR da UE.
Nas terras britânicas, a proteção de dados é aplicada pelo ICO (Information Commissioner ‘s Office), ou Gabinete do Comissário de Informação, uma autoridade pública responsável por aplicar as leis de proteção de dados no país. O ICO ajuda as empresas a cumprirem as leis de privacidade através de publicações de diretrizes específicas.
O GDPR Reino Unido é direcionado a quem coleta, mantém ou processa dados pessoais de cidadãos que vivem no país. Do mesmo modo,a quem possui uma empresa com sede fora da Grã-Bretanha, mas que fornece bens ou serviços a quem reside no país e necessita coletar seus dados, é exigido que tenha seu exercício de processamento de dados em conformidade com o GDPR do Reino Unido.
A empresa que violar os requisitos de conformidade do GDPR do Reino Unido, está arriscada a receber uma multa máxima de £ 17,5 milhões de libras esterlinas.
Estados Unidos
Os Estados Unidos não possuem uma regulamentação única de proteção de dados válida para todo o território do país, mas sim, várias leis federais e estaduais que em conjunto estão entre as melhores do mundo em termos de segurança e privacidade de dados e informações.
No estado da Califórnia se destaca o California Consumer Privacy Act (CCPA) – ou Lei de Privacidade dos Consumidores da Califórnia, a primeira lei específica e abrangente de proteção de dados, que entrou em vigor no início de 2020, sendo também inspirado no GDPR da União Europeia.
Com esta lei estadual, os cidadãos da Califórnia adquiriram o direito de acessar seus dados coletados e de saber como as empresas os utilizam, podendo até mesmo proibir que elas os utilizem. E entre as determinações que as empresas normatizadas pelo CCPA devem cumprir está a regulamentação geral de proteção de dados (RGPD) e uma recusa para determinadas transferências de dados.
Outra lei estadual americana que se destaca na proteção de dados é a New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD). Em vigor desde 2020, a NY SHIELD se assemelha à CCPA, e é uma expansão da lei de notificação de violação de dados no estado de Nova Iorque. Seu foco está no cuidado e na transparência ao gerir dados pessoais.
Os Estados Unidos possuem ainda várias leis federais sobre privacidade do cidadão, além de acordos de proteção de dados assinados com a União Europeia e a Suíça.
Entre as leis federais americanas, se destacam:
1. Children’s Online Privacy Protection Act (COPPA) ou: Lei de Proteção à Privacidade Online para Crianças: lei responsável por regulamentar a coleta e o uso de dados sobre crianças menores de 13 anos por parte de alguns tipos de empresas. Como por exemplo, exigir que essas empresas obtenham o consentimento dos pais para realizar a coleta e o uso das informações das crianças.
2. Telemarketing Sales Rules (TSR) ou Regras de Vendas de Telemarketing: estabelece regras e restrições de telemarketing no que se refere principalmente a privacidade. Por exemplo, ela proíbe chamadas para quem já informou que não deseja mais receber ligações e estabelece limite de horário para que estas sejam realizadas.
3. Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM) ou Controlando o Ataque de Pornografia Não Solicitada e Lei de Marketing: uma lei que exige regras para empresas que enviam e-mails comerciais não solicitados. O destinatário pode, por exemplo, escolher não receber mensagens.
4. Health Insurance Portability and Accountability Act (HIPAA), ou Lei de Portabilidade e Responsabilidade do Seguro Saúde: uma lei que determina a proteção dos dados de pacientes dos hospitais, garantindo sua segurança e privacidade.
Japão
A primeira lei de proteção de dados do Japão foi criada em 2003, a A Act on the Protection of Personal Information (APPI), atualizada em 2015. Ganhou novas regras em 2017, um ano antes da GDPR na União Europeia.
Com a APPI, empresas que não lidarem adequadamente com os dados dos cidadãos sofrerão penalidades. Uma normatização aplicada em dois tipos separados de dados: informações pessoais e informações que requerem cuidados especiais. A lei garante aos japoneses o direito de pedir a revisão e até exclusão de seus dados se acharem pertinente, assim como a LGPD fará no Brasil.
Argentina
A Argentina foi o primeiro país da América Latina a regulamentar leis específicas para proteger os dados de seus cidadãos, ela o faz desde 1994. No momento, vigora no país a Lei de Proteção de Dados Pessoais 25.326 (LDPA). Também vigora o Decreto regulamentar 1558/2001 e outras disposições da Diretoria Nacional de Proteção de Dados Pessoais. Lá os dados só são usados com a permissão do cidadão.
Uruguai
No Uruguai, o direito à proteção de dados está previsto na lei n° 18.331, de 11 de agosto de 2008. Ao lado da Argentina, o país integra os dois únicos países da América Latina que apresentam padrões adequados de proteção de dados pessoais, de acordo com a GDPR da União Europeia.
Essa conquista ocorreu graças ao desempenho da Unidade Reguladora e Controladora de Dados Pessoais (URCDP), órgão regulador da mesma função que a Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD do Uruguai, com seus marcos regulatórios avançados, é inclusive o modelo que serviu de base para a criação da LGPD no Brasil.
As regras da Lei Geral De Proteção de Dados uruguaia são, portanto, muito semelhantes às implementadas no Brasil, e regulamentam todos os processos que abrangem o uso de dados pessoais: a forma de coleta, como se classifica, como é utilizada, armazenada, processada, compartilhada, transferida e descartada, entre outras ações.
Então, quanto você acha que sua empresa precisa se adequar para assegurar a proteção de dados de seus clientes? O que você acredita que a LGPD trará de benefícios para a sua empresa?
Realize rapidamente um diagnóstico e veja como se orientar para fazer a sua jornada de adequação.