O senado federal brasileiro aprovou recentemente em 17 de junho de 2018 o projeto de Lei n.53, que se refere ao tratamento e a Proteção de Dados Pessoais.
O presidente tem até o dia 06 de agosto de 2018 para aprovar ou vetar o projeto. Caso aprovado, a nova lei deverá entrar em vigor 18 meses após sua publicação oficial.
O assunto é de extrema importância. Recentemente tivemos escândalos ligados ao vazamento de dados pessoais em larga escala, vide casos Cambridge Analytica e Facebook. Diante desses casos o mundo inteiro se mobilizou sobre o tema, e em 25 de maio de 2018 entrou em vigor a General Data Protection Regulation (GDPR) na união europeia. Ou seja, os países da Europa atualizaram suas leis para garantir maior segurança aos dados das pessoas que utilizam a internet. A lei europeia tem alcance no mundo todo, uma vez que a rede de computadores é global.
Diante da GDPR aprovada na união europeia, o governo brasileiro correu atrás para criar a “versão brasileira” da lei.
Conversamos com o especialista em segurança digital Rodrigo Cardoso, presidente da Turing Security, para analisarmos as principais diferenças entre a Lei de Proteção de Dados Pessoais brasileira e a General Data Protection Regulation da união europeia:
GDPR – União Europeia
Mudanças.
A lei de proteção aos dados já existia na união europeia desde 1995, porém a nova lei aprovada revisou diversos aspectos.
Regras mais rigorosas se aplicam ao processamento de dados em grande escala ou a dados confidenciais (sensíveis – sexo, gênero, raça, político, hospitalar entre outros). As empresas que se encaixam nesse perfil precisam se adequar rapidamente, assim como o governo.
Existe agora uma obrigação de designar um responsável pela proteção dos dados, o chamado Data Protection Officer (DPO), que pode ser um colaborador ou uma empresa especializada para manter registros de atividades de processamento de dados pessoais, notificar incidentes de segurança da informação e mais.
Caso as empresas não se ajustem, as multas são pesadas e claras.
Por outro lado, uma empresa ou instituição que não processa dados confidenciais e está seguindo cuidadosamente as regras da lei de proteção de dados anterior, vigente desde 1995, não precisa fazer grandes alterações.
A mudança substantiva está em relação a portabilidade de dados pessoais que se aplica, principalmente, ao setor privado. Exemplo, uma pessoa pode levar seus dados digitais da empresa X e transferi-los para a empresa Y. As empresas devem revisar seus sistemas de informação para garantir que seja possível uma transferência rápida, fácil e segura.
Motivo.
A razão dessa reformulação é o mercado único europeu que funciona dentro do bloco econômico. Os dados e as informações precisam trafegar pelas fronteiras nacionais. Por esse motivo, as regras são mais precisas para o setor privado e se optou por uma maior flexibilidade de operações para o setor público.
A transnacionalidade é outro ponto interessante da lei (arts. 3º; 44 a 50), a transmissão de dados a países terceiros é essencial como parte do comércio e cooperação internacional.
Adequação.
Agências do setor público, empresas com processadores de dados em grande escala e grandes corporações devem começar com uma avaliação abrangente de seu processamento de dados e informações. De olho na nova legislação de proteção de dados é importante observar seus processos operacionais, sistemas de informação e modelos de documentos. As agências estaduais também precisam considerar a Lei de Informações Públicas e a legislação específica aplicável a elas. As empresas, definitivamente, precisam revisar a portabilidade de dados e informações. As informações devem ser mantidas de forma estruturada, em um formato legível por sistemas de computadores.
LPDP – Brasil (PL53/2018)
Lei de Proteção de Dados Pessoais brasileira.
Com a nova legislação no setor, espera-se que a segurança jurídica se torne mais eficaz. Não obstante, é importante enfatizar que a regulação brasileira buscou se basear na GDPR europeia, sendo possível encontrar muitas semelhanças na sua estrutura legal e terminologias.
Fundamentos.
Os princípios da GDPR são mais específicos e diretos ao assunto do que a lei brasileira, que é de forma geral bastante subjetiva.
Consentimento.
É a palavra chave para o tema em ambas as legislações. Sem consentimento do titular dos dados ou informações pessoais, o controlador dos dados não poderá manipulá-los.
O termo “controlador” é usado por ambas as leis, contudo, a GDPR criou o cargo Data Protection Officer (DPO) para ser o responsável pelo tratamento dos dados em quaisquer órgãos ou instituições públicas ou privadas. No Brasil, a lei usa o termo “controlador” de forma generalizada para tipificar essa responsabilidade (controller, na língua inglesa).
Dados Sensíveis.
Ambas as leis tratam com bastante cuidado o tema. Importante dizer que o uso da anonimização é obrigatória por lei em determinados casos. Há um ponto negativo na lei brasileira. Ela diz que poderá permitir que dados sensíveis possam ser comercializados para obter vantagem econômica com aval da agência ou estatal supervisora. É um assunto muito sério para ser disciplinado imediatamente. O ideal seria termos mais maturidade e tempo com a lei para depois analisar e reavaliar esse ponto. Na GDPR não há menção de comercialização das informações pessoais protegidas.
Autoridade Supervisora.
Aqui, a lei propôs apenas um órgão com poderes para o tratamento dos dados pessoais.
Talvez não seja o ideal manter a regulação nas “mãos” de apenas um órgão público com personalidade jurídica de direito público indireta. A GDPR já é mais flexível, permitindo um ou mais órgãos de fiscalização para cada estado-membro do bloco europeu, além de manter a comunicação dos seus atos com a Comissão Europeia.
Fiscalização.
As sanções administrativas impostas pela lei brasileira são quase uma ‘cópia’ da GDPR, a diferença entre elas é a maneira como as sanções foram impostas. Na GDPR as faltas e penalidades são claras e devidamente multadas. Na LPDP é nítida a falta de clareza nas penalidades impostas aos agentes infratores e ainda, impõe sanções passíveis de ações na justiça no futuro, por exemplo, artigo 52, incisos V, VII, VIII e IX.
Além disso, a lei não diz se as penalidades são cumulativas na mesma infração.
Criptografia.
A LPDP não fez menção ao tema criptografia, assunto que foi destaque no país entre 2015 a 2016, (A (In) Segurança Jurídica das Comunicações Digitais no Brasil: O caso Whatsapp).
Na GDPR o termo é disciplinado objetivamente (arts. 6; 32 e 34).
MCI. (Marco Civil da Internet)
A LPDP alterou dispositivos do Marco Civil da Internet (MCI) nos artigos 7, inciso X e 16, inciso II, que se referiam a dados pessoais.
A GDPR é um reflexo da globalização que o mundo opera hoje e uma resposta para a grandes empresas de Internet como, por exemplo, Facebook, Google e Amazon.
Na avaliação do Rodrigo Cardoso, o poder legislativo brasileiro fez bem em adotar o modelo europeu para iniciar a sua trajetória no campo da proteção de dados pessoais, mas aponta preocupação em relação a algumas das alterações feitas pelo Brasil, principalmente pela falta de experiência sobre o tema em nosso país.
De maneira geral, a nova Lei é um avanço e talvez a mais importante sobre o tema digital após o Marco Civil da internet. O ideal é que ela seja acompanhada de perto pelo poder público, empresas e sociedade em geral, para que possamos avaliar e discutir melhorias contínuas.
Segundo o especialista, alguns pontos importantes tiveram pouco destaque como a questão da transparência das regras e dos dados, assim como práticas de geo-pricing e geo-blocking bastante utilizadas atualmente.
A adequação da GDPR ou da LPDP por parte da empresas é uma tarefa que requer conhecimentos computacionais e jurídicos aplicados de forma conjunta e estratégica.
Qual sua opinião sobre o tema?
Leila
Muito bom o texto, tenho interesse no assunto
Rafael Gonzalez Post author
Obrigado pelo comentário Leila. Participe. 🙂