Em maio de 2018, o Regulamento Geral de Proteção de Dados (do inglês, General Data Protection Regulation GDPR) da União Europeia entrou em vigor, um movimento que incentivou vários países da região a iniciarem reformas e atualizações de suas legislações locais sobre proteção de dados pessoais. O Brasil, por exemplo, emitiu a Lei Geral sobre a proteção de dados pessoais, que reflete as disposições da UE; enquanto Chile, Argentina e México tomaram medidas para aumentar a proteção da privacidade e segurança dos dados pessoais de seus cidadãos. Neste artigo, discutimos as constantes mudanças na proteção de dados pessoais em alguns países da região e até que ponto eles buscam seguir as etapas da UE.
A era do Regulamento Geral de Proteção de Dados (GDPR)
A UE é reconhecida em todo o mundo por criar leis que estabelecem padrões para proteção de dados, e o GDPR não é exceção. Devido às disposições de vanguarda em proteção de dados pessoais, suas medidas e sanções rigorosas, o GDPR influenciou legislações em todo o mundo, estabelecendo o mais alto padrão no processamento de dados pessoais.
O GDPR alcançou reconhecimento internacional, não apenas porque contém disposições extensivas relacionadas à proteção de dados pessoais e privacidade, mas também por causa de sua aplicação extraterritorial. O GDPR pode obrigar não apenas empresas localizadas na UE a processar dados pessoais, mas também empresas localizadas em outros países que lidam com informações pessoais de cidadãos europeus.
O regulamento europeu também concedeu às autoridades da UE o poder de realizar investigações de conformidade. As autoridades podem avaliar se um país, território ou setor dentro de um país ou organização internacional garante um nível adequado de proteção de dados pessoais de acordo com as disposições do GDPR. Países de fora da UE têm um incentivo financeiro para incorporar em suas legislações certas obrigações de proteção de dados ao nível do GDPR, a fim de obter potenciais benefícios ao contar com disposições locais consideradas adequadas nos termos do GDPR para as transferências de dados pessoais a partir da UE.
Legislação na região na era do GDPR
Até 2018, vários países latino-americanos já haviam estabelecido algumas medidas e políticas para a proteção de dados pessoais; no entanto, a entrada em vigor do GDPR deflagrou várias reformas às leis sobre privacidade, uma vez que os países latino-americanos decidiram elevar seus padrões de proteção de dados pessoais para cumprir os estabelecidos no regulamento da UE.
Brasil
Até recentemente, o Brasil carecia de uma lei específica para regulamentar a proteção de dados e até mesmo uma definição de dados pessoais. Em contraste, durante anos o país manteve várias leis setoriais que incluíam disposições gerais sobre proteção de pessoas e seus dados. O Código de Defesa do Consumidor, por exemplo, concedeu alguns direitos de privacidade para acessar e corrigir dados do consumidor. O Marco Civil da Internet regula o processamento de dados pessoais, incluindo a obtenção, armazenamento, retenção, processamento e transferência de dados pessoais. O Código Penal, modificado pela Lei nº 12737/12, também conhecida como lei do cibercrime, também cobria certos aspectos relacionados à privacidade dos indivíduos. A legislação fragmentada no Brasil chegou ao fim em julho 2018 quando o Senado brasileiro aprovou a Lei Geral de Proteção de Dados do Brasil, estabelecendo um sistema único de proteção de dados com base nas disposições do GDPR.
A Lei Geral de Proteção de Dados do Brasil rege os direitos e obrigações relacionados ao processamento de dados pessoais, bem como boas práticas, e também:
- Cria uma autoridade nacional de proteção de dados;
- Incorpora o alcance extraterritorial da lei: são aplicáveis ao setor público e privado, se o tratamento ocorre no Brasil ou se os dados pessoais são obtidos a partir de detentores localizados no Brasil, independentemente da localização do responsável;
- Obriga as empresas e agências governamentais que tratam dados pessoais a nomear um oficial de proteção de dados; e
- Prevê a imposição de multas de até 2% da receita bruta no último exercício fiscal de empresas no Brasil em caso de descumprimento.
Argentina
A Argentina aprovou uma das primeiras leis de proteção de dados pessoais na América Latina, no entanto, sua legislação permaneceu praticamente inalterada desde 2000. Atualmente, a Argentina está buscando reformar suas leis de privacidade existentes para continuar sendo considerada pela UE como um país com um nível adequado de proteção de dados.
Em 2018, foi proposta uma lei para substituir a Lei nº 25.326, a fim de alinhar a legislação argentina com o GDPR; por conseguinte, foram incluídos determinados direitos e princípios semelhantes aos contidos no regulamento europeu, entre os quais:
- Novos conceitos como “dados genéticos”, “dados biométricos” e “computação em nuvem”;
- Limitar os titulares de dados pessoais apenas a pessoas físicas, excluindo pessoas jurídicas;
- Obriga agências governamentais a designarem um oficial de proteção de dados, quando dados pessoais sensíveis ou grandes quantidades de dados estejam sendo processados; e
- Padrões para a legalidade do tratamento de dados pessoais.
O projeto de lei também inclui direitos adicionais para os titulares dos dados, como o direito de opor-se ou restringir o processamento de seus dados pessoais e o direito à portabilidade.
Chile
A proteção de dados pessoais no Chile é regulamentada pela Lei nº 19.628 desde 1999. Sua finalidade é estabelecer disposições gerais sobre dados pessoais processados por terceiros. Embora esta lei chilena estabeleça que os titulares dos dados devem ser informados sobre os objetivos do processamento de suas informações pessoais e deve obter o consentimento, não estabelece mecanismos para monitorar o cumprimento adequado das obrigações legais nesta área. Portanto, o Chile buscou reformar a Lei Nº 19.628 para ajustá-la às provisões do GDPR. O projeto de lei:
- Regula a proteção e o processamento de dados pessoais;
- Cria um conselho de proteção de dados para que a lei seja cumprida e impõe multas de até US$ 700.000; e
- Inclui dados biométricos na definição de dados sensíveis;
É muito importante mencionar que o Chile também reformará sua constituição para incluir o direito à proteção de dados pessoais.
México
A Lei Federal Mexicana de Proteção de Dados Pessoais em Posse de Particulares, em vigor desde 2010, é a base de um sistema de privacidade abrangente que rege o tratamento de dados pessoais, incluindo a sua coleta, utilização, transferência e armazenamento. As leis atuais concedem direitos de acesso, retificação, cancelamento ou oposição ao processamento de dados pessoais para os detentores dos dados.
A autoridade de proteção de dados mais ativa na América Latina
Os titulares de dados pessoais estão cada vez mais conscientes de seus direitos nesse contexto e os exercem ativamente. Entre janeiro de 2012 e junho 2017, a autoridade de proteção de dados mexicano (conhecido como “INAI”) executou: (a) 820 Procedimentos de Proteção dos Direitos ARCO; (b) 2.094 reclamações apresentadas por titulares de dados pessoais, que resultaram em 1.520 procedimentos e 208 procedimentos de verificação. Além disso, o INAI é provavelmente a autoridade para a proteção de dados mais ativa na América Latina, já que entre janeiro de 2012 e junho 2017, impôs sanções sobre empresas que operam no México, em 147 casos, totalizando aproximadamente US$ 16,7 milhões de dólares.
Embora as leis mexicanas ofereçam flexibilidade e possibilidade de autorregulação, é provável que o México adote, até certo ponto, proteção de dados pessoais e disposições de segurança comparáveis às regulamentações europeias. Por exemplo, o México recentemente aderiu à Convenção Europeia para a Proteção das Pessoas relacionado ao Tratamento Automatizado de Dados Pessoais (“Convenção 108”) e seu Protocolo Adicional relativo às Autoridades de Controle e aos Fluxos Transfronteiriços de Dados. A Convenção 108 impõe obrigações aos estados, como a inclusão de princípios e disposições para o tratamento de dados pessoais em sua legislação local.
Dado que o México está plenamente ciente da importância de cumprir as disposições de privacidade na medida do possível, reformas importantes para a atual lei de privacidade são esperadas no curto prazo para alinhar a legislação mexicana com o GDPR e a Convenção 108.
A conformidade com os mais altos padrões é importante, pois a UE desempenha um papel importante em muitos mercados e indústrias na América Latina. Reformas às leis locais atuais sobre a proteção de dados pessoais podem melhorar o relacionamento com os parceiros comerciais europeus e podem proporcionar maior reconhecimento internacional. Esta é a oportunidade para o Brasil e países da região divulgarem sua presença global em um mundo impulsionado pela proteção de dados pessoais.
Artigo conta com contribuições de Paulina Bojalil, Associada da Baker McKenzie México, Michael Egan, Parceiro Comercial Internacional da Baker McKenzie Washington, D.C. e Carlos Vela-Treviño, TMT / Parceiro de Privacidade da Baker McKenzie México.
Post publicado originalmente no blog Abierto al Público
Leave a Reply