Como resultado de um panorama global de comunicações digitais, as autoridades policiais buscam cada vez mais dados de comunicações armazenados fora das fronteiras nacionais em investigações criminais domésticas. No entanto, o acesso a dados transfronteiriços pode entrar em conflito com os regimes nacionais de proteção de dados e os instrumentos internacionais de direitos humanos. Por isso é importante acompanhar as constantes alterações que estão surgindo para que a sua empresa esteja em compliance.
GDPR
Nesse sentido, o Regulamento Geral de Proteção de Dados (GDPR – 2016/679), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, foi publicada no OJEU em de 23 de maio de 2018. Esse é um passo essencial para reforçar os direitos fundamentais das pessoas na era digital, onde todos estão vulneráveis, facilitando ainda os negócios, pois clarifica as regras para as empresas e organismos públicos no mercado único digital.
O GDPR aplica-se a qualquer organização que opere na UE, bem como a quaisquer organizações fora da UE que ofereçam bens ou serviços a clientes ou empresas na UE. Isso significa que quase todas as grandes corporações do mundo precisarão estar prontas quando o GDPR entrar em vigor e começar a trabalhar em sua estratégia de conformidade com o GDPR.
Existem dois tipos diferentes de manipuladores de dados aos quais a legislação se aplica: ‘processadores’ e ‘controllers’. As definições de cada uma estão estabelecidas no artigo 4.º do Regulamento Geral de Proteção de Dados.
Ele foi o precursor de normas regulamentares sobre essa matéria. Depois que o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor na União Europeia em maio de 2018, todos os países que não possuíam uma regulamentação de dados iniciaram corridas legislativas internas para aprovar regras de dados.
CLOUD ACT
O Clarifying Lawful Overseas Use of Data (CLOUD ACT) é outro exemplo de norma regulamentadora de dados. Assinado em lei em março de 2018, é uma lei para fornecer acesso transfronteiriço a dados de comunicações em investigações policiais. No entanto, o histórico da lei começa com uma disputa de privacidade entre a Microsoft e o governo dos EUA.
A gênese dessa lei é a briga dos Estados Unidos contra a Microsoft em um caso judicial da Suprema Corte dos Estados Unidos, que diz respeito ao fato de as autoridades policiais poderem acessar o conteúdo das comunicações armazenadas na Irlanda, de acordo com a lei atual dos EUA. Em 27 de fevereiro de 2018, o Supremo Tribunal ouviu os argumentos do caso. Em um breve resumo do caso, instou-se a Suprema Corte a respeitar os padrões internacionais de privacidade, citando casos-chave da Corte Europeia de Direitos Humanos e da Corte Europeia de Justiça. A Microsoft advertiu que “uma decisão do governo também convidaria outros países a desconsiderar a autoridade soberana”.
Antes de uma decisão nesse caso, o CLOUD ACT foi assinado promulgado como lei pelo presidente Trump em 23 de março de 2018, sem ter sido debatido no Congresso. Em vez disso, ele foi incluído em uma emenda a um projeto de lei de despesas coletivas e foi aprovado sem uma audiência dedicada.
Existem dois elementos chaves no CLOUD ACT: i) as disposições para o acesso dos EUA a dados armazenados no exterior; ii) as disposições para criar acordos executivos para acesso estrangeiro a dados armazenados nos EUA.
Por meio do CLOUD Act, autoridades legais dos EUA, em qualquer nível, da polícia local até agentes federais, podem forçar as empresas de tecnologia a entregar dados de usuários, independentemente de onde a empresa armazena os dados.
O CLOUD Act também dá ao poder executivo a possibilidade de celebrar “acordos executivos” com países estrangeiros, o que permitiria que cada nação conseguisse colocar em mãos dados de usuários armazenados no outro país, independentemente das leis de privacidade do país anfitrião. Esses acordos não exigem aprovação do Congresso.
QUADRO COMPARATIVO GDPR X LGDP
Considerando o exposto acima, nosso Regulamento de Proteção de Dados (LGPD) foi finalmente aprovado em (14/08/2018) pelo presidente (Michel Temer). A expectativa é que o Brasil figure como um protetor de dados, respeitando as normas globais, para facilitar nossas relações comerciais com países que se preocupam os dados dos seus cidadãos.
Enquanto a GDPR e a LGPD buscam a proteção de dados e a regulamentação do uso desses dados, temas na CLOUD ACT uma natureza investigativa extraterritorial ao invés de regulatoria, motivo pelo qual nos limitaremos nesse artigo a tratar dos resultados regulatórios.
O GDPR e a LGPD são regulamentações extraterritoriais, que abrangem a proteção de dados pessoais e a maneira como esses dados devem ser tratados, desde o momento em que os dados são coletados até o seu uso.
Temos a LGPD colocando o consentimento como tema fundamental para o processamento de dados. Agora, os titulares dos dados devem autorizar o uso de suas informações para que as empresas possam processar os dados; os titulares de dados também têm a opção de anular o consentimento, quando as empresas devem interromper o processamento.
Embora a regulamentação brasileira seja muito semelhante ao GDPR, eles apresentam algumas pequenas distinções que buscamos demonstra na tabela abaixo, onde dispomos os principais pontos do GDPR e LGDP, bem como as possíveis singularidades de cada um:
| GDPR e LGPD | GDPR (EU) | LGPD (Brasil) | |
| Quem está sob LGPD e GDPR? | O regulamento aplica-se:
• Para um controlador ou processador localizado no respectivo país, independentemente de o processamento ocorrer no território ou não; • Para o processamento de dados pessoais dos titulares de dados que estão no respectivo país por um controlador ou processador não estabelecido no território; • Para empresas que ofereçam bens ou serviços nos respectivos territórios. |
__
|
A LGPD não se aplica a dados em trânsito, ou seja, os dados enviados por um primeiro país ao Brasil, mas que não serão processados aqui, porque os dados serão enviados para um terceiro país. |
| Penalidades | As infracções serão punidas de acordo com a sua gravidade. As penalidades são:
• Advertências seguidas de medidas corretivas; • Divulgação da infração; • Bloqueio / suspensão / eliminação de dados; • multas administrativas; • Compensação dos danos causados aos titulares dos dados. |
As multas administrativas são de até 20 milhões de euros ou até 4% do faturamento global da empresa no exercício financeiro anterior, o que for maior. | As multas administrativas são de até 2% do faturamento global da empresa no período financeiro anterior, limitado a R $ 50 milhões. |
| Principles related to processing | Os dados pessoais devem ser processados de forma especificada, explícita e legítima, todos os dados devem ser adequados, relevantes e limitados para os propósitos que foram coletados. Os regulamentos estabelecem que a prestação de um serviço não pode estar condicionada ao consentimento de dados pessoais que não seja necessário para a execução do serviço (retire ou deixe o consentimento). | __ | __ |
| Direitos sob o GDPR e LGPD | Os direitos sob o GDPR foram repetidos pela LGPD. Os direitos são:
• A Empresa tem a obrigação de informar o que vai fazer com os dados; • O titular dos dados tem o direito de ratificar seus dados; • O titular dos dados tem o direito de retirar o consentimento e apagar os dados; • Direito de transferir dados pessoais facilmente de um ambiente de TI para outro. |
__ | __ |
| Data Protection Officer | Ambos os regulamentos estabelecem o Diretor de Proteção de Dados (DPO). O DPO é o representante da empresa que será o canal entre a empresa, o titular dos dados e as autoridades. O DPO também será responsável por informar a empresa e seu funcionário sobre as regras de proteção de dados e receber as reclamações e comunicações dos titulares de dados e autoridades. | O DPO é necessário apenas se as principais atividades das empresas:
• consistem em operações de processamento que requerem monitoramento regular dos titulares de dados em larga escala; • Consistem no processamento de uma grande variedade de categorias especiais de dados, nos termos do artigo 9.º, ou de dados pessoais relativos a condenações penais e crimes referidos no artigo 10.º. |
Se a empresa processa dados, precisa designar um DPO. |
| Decisões automatizadas | Se as operações de processamento da empresa constituem tomada de decisão automatizada, incluindo o perfil, os indivíduos têm o direito de não estarem sujeitos a uma decisão e devem ser capazes de obter intervenção e revisão humana. | O direito não se aplica se a decisão automatizada for uma necessidade contratual entre a empresa e a pessoa, se for autorizada por lei ou se for baseada em consentimento explícito. | __ |
| Legalidade do processamento | O processamento obedecerá ao regulamento somente se e na medida em que pelo menos um dos seguintes itens se aplicar:
• consentimento do titular dos dados (o consentimento deve ser livre, claro e não ambíguo); • Necessário para a execução de um contrato; • Obrigação legal; • Interesse legítimo do controller; • Proteja os interesses vitais da pessoa em causa. |
__ | __ |
A LGPD levará um período de 18 meses para entrar em vigor, este período é fundamental para que as empresas ajustem, modifiquem e aprimorem as operações para cumprir as obrigações previstas na LGPD. No momento em que o regulamento for aplicável, fevereiro de 2020, devemos estar preparados para processar dados dessa nova maneira global.
Este é um breve resumo das leis internacionais de dados, apenas para dar uma ideia geral do seu impacto na rotina das empresas. Por isso é importante a implementação de um plano de adequação, tendo em vista que a maioria das empresas trabalha com dados cadastrais de usuários, indepententemente do seu tamanho.
Consultoria e Assessoria Empresariais 