Work in progress: a construção das leis de dados pelo mundo
Tardou, mas em meados de 2020, dois anos após ter sido sancionada, a Lei Geral de Proteção de Dados (LGPD) passou a vigorar no Brasil. Seus reais efeitos, contudo, ainda não começaram a aparecer de maneira evidente, em parte devido à demora em se estabelecer a Autoridade Nacional de Proteção de Dados (ANPD) — cujo decreto para sua constituição foi publicado em agosto último e ainda está se estruturando —, em parte, porque a aplicação de sanções ocorrerá somente a partir de agosto de 2021. Vinculada à Presidência da República, ANPD deve ter autonomia técnica e cabe a ela a responsabilidade pela fiscalização do cumprimento da LGPD e pela definição de diretrizes.
Inspirada na lei europeia, a legislação brasileira tem semelhanças e diferenças, não apenas em comparação ao Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês para General Data Protection Regulation) como também a regramentos de outros países da América Latina, dos Estados Unidos e de países asiáticos. Em comum, as nações já entenderam a necessidade de estabelecerem limites ao tratamento de dados e garantir a proteção e a privacidade deles. Agora, a sociedade passa por um período de adaptação às novas legislações e aos novos conceitos, com os tribunais buscando entendimentos sobre os temas.
“A legislação europeia tem sido base para legislações a redor do mundo, mas não aborda, como no caso da California Consumer Privacy Act, a possibilidade de venda de dados. A da Califórnia reconhece que dado é ativo e pode ser comercializado”, aponta Maria Clara Ganacin, líder da área de privacidade e dados no escritório Vilarinho Advogados. No caso da lei californiana, o titular pode se opor à comercialização. “O Consumer Act é recente, mas as práticas da Califórnia não são tão recentes; o sistema estruturado é mais maduro e foi colocado à prova mais vezes nos tribunais americanos”, completa Samuel Vilarinho Scarel, sócio fundador do escritório Vilarinho Advogados e responsável pelas áreas de M&A, venture capital e transações em tecnologia.
Apesar de tomar por base o GDPR, a legislação brasileira tem as suas peculiaridades, como algumas diferenciações no tratamento de dados de saúde, biométricos e genéticos, com a LGPD prevendo hipóteses de tratamento. “Aqui, temos a discussão em que medida a LGPD está acima de regulações e de legislações de conselhos. Por exemplo, em saúde, há a discussão de quando se pode dar publicidade do dado, como um resultado de um exame laboratorial”, explica Vilarinho.
Outro ponto diz respeito à definição do que é dado sensível. Conforme esclarece Maria Clara Ganacin, a legislação da União Europeia faz a separação da definição do que é dado sensível e aponta o que se pode fazer em cada caso, dando uma margem de interpretação menor. “Aqui é uma definição única do que é dado sensível e não tem uma especificação sobre como aquele dado pode ser tratado. Falta à LGPD diferenciar as categorias para aplicabilidade”, detalha.
Falta também regular sobre as sanções e exigências segundo o porte das empresas, algo que caberá à Autoridade Nacional. “A Europa tende a detalhar e a regular tudo; e o que não está detalhado eles se baseiam na jurisprudência. Aqui não temos nada disto. Temos uma lei que está começando, que não detalha e que tem alguns dispositivos sem eficácia plena, em que há previsão legal sujeita à regulamentação posterior. Enquanto não tiver a regulamentação, não pode ser aplicado”, acrescenta Vilarinho. Cabe à ANPD, que ainda não está em pleno funcionamento, fazer esta regulamentação e apresentar as definições de diretrizes.
Ganacin pontua que a LGPR está em linha com as legislações que existem para proteção de dados, mas ressalta que há questões que ainda carecem ser solucionadas e que dependem da ANPD. Outro ponto de atenção é o surgimento de vários projetos de leis que visam a, de alguma maneira, mexer na LGPD, retirando, acrescendo ou mudando seus artigos.
Retrato latino
Em uma comparação com leis de alguns países da região da América Latina, Humberto de Jesús Ortiz Rodríguez, especialista em serviços de DPO do Opice Blum, destaca que o Brasil é a nação cuja lei de proteção de dados está mais alinhada ao GDPR europeu. Contudo, outros países latino-americanos, com leis mais antigas que as brasileiras, possuem mecanismos diversos.
Por exemplo, no caso da lei mexicana, o tratamento de dados pode ser feito somente por consentimento, enquanto no Brasil há outras bases legais. Na Colômbia, Argentina, Uruguai e Peru, as leis falam que o tratamento de dados pessoais tem de ser feito por consentimento e apontam que excepcionalmente podem ser tratados em algumas ocasiões – mas são exceções ao consentimento.
“À diferença do Brasil, no México a lei prevê sanções penais e não apenas administrativas. A lei mexicana existe há dez anos e eles já tem regulamento, parâmetros de autorregulação e a autoridade nacional tem desenvolvido campanha de conscientização para criar cultura da privacidade”, afirma Rodríguez.
Para ele, o principal desafio que o Brasil enfrenta é o de criar uma cultura de privacidade no qual as empresas entendam que aplicar a lei não é apenas custo, mas que pode ser um investimento que as diferencie no mercado. “Adoção da LGPD significa incluir ou manter o Brasil dentro do jogo internacional. A ideia de se estabelecer cada vez mais e melhores práticas de proteção de dados faz com que os países adotem novas regulações, novos mecanismos e novos padrões de como agir com relação aos dados”, diz.
Na Colômbia, a autoridade nacional desempenha um papel educativo, que, segundo Rodríguez, tem sido fundamental para criar na sociedade a consciência para privacidade e proteção de dados. “A autoridade colombiana, assim como a mexicana, vem estabelecendo os parâmetros e os padrões de ações, além de orientar sobre como a lei deve ser aplicada. Não é apenas punir, tem de ter cunho educativo”, defende, dando como outro exemplo a autoridade espanhola, que divulga perguntas e respostas e promove guia orientando empresas a como se adequar e estar em conformidade com a lei.
Na América Latina, muitos países estão buscando estarem mais próximos às boas práticas do mercado e, por isso, estão modernizando e atualizando legislações que estejam desfasadas, conta o especialista do Opice Blum. “Privacidade e proteção de dados são exigências para fazer parte do mercado internacional: ou as empresas e os países se adequam ou ficam como espectadores do jogo”, ressalta. Na visão dele, os países latinos que contam com as legislações mais completas na área são, além do Brasil, o México, a Colômbia, a Argentina e o Uruguai.
Leis asiáticas
Já as leis na Índia e China vieram tardiamente, segundo Rafael Zanatta, diretor-executivo na Associação Data Privacy Brasil de Pesquisa, e marcadas por um debate focado não apenas nas questões de proteção de dados pessoais como também em questões econômicas. “Estamos acompanhando as leis da Índia e China e os projetos em consultas públicas, Na Índia, está em comissão especial, em fase de processo legislativo, e a chinesa segue um processo completamente diferente; está em rodada dentro do partido”, diz Zanatta, explicando ainda que a população chinesa tem sim participação no processo, mas quem define é o Partido Comunista da China.
Se nos EUA a legislação é fragmentada, tende a olhar para consumidor e tem uma perspectiva com “light-touch” e a GDPR europeia buscou uma unificação de direitos fundamentais para a construção de parâmetro de regulação, na China, ela está fortemente arraigada à soberania nacional e ao desenvolvimento econômico, sinaliza Zanatta. “As leis novas ficam muito próximas da discussão de segurança da informação numa perspectiva meio que de segurança de Estado, podendo tender a desvirtuar a razão das leis de proteção de dados”.
A China começou, há cerca de dois anos, a implantar um projeto de legislação de proteção de dados que é próxima à brasileira LGPD e ao GDPR (Europa). Chamada de Padrão, a GB/T 35273-2017 Information Technology – Personal Information Security Specification tem uma concepção mais abrangente de dados sensíveis, que está menos ligada à qualidade do dado ou à particularidade da pessoa. De acordo com os especialistas do escritório Vilarinho Advogados, a lei chinesa segue na linha de tratar vazamentos de dados, classificando se o dado é muito provável de vazar ou não e, dependendo da probabilidade, é considerado sensível.
Ela aplica-se a todas as organizações, de caráter público ou privado, que tenham o poder de definir a finalidade e o método de tratamento de dados pessoais (o equivalente ao controlado na legislação brasileira) e inclui como informações pessoais endereços de IP, cookies de rastreamento e demais indicadores de dispositivos móveis. “No tocante aos dados sensíveis, em vez de implementar um rol taxativo, a lei chinesa estabelece critérios de classificação baseada nos riscos à saúde física e mental, à reputação e ao patrimônio de um determinado indivíduo em caso de vazamento ou má utilização das informações”, aponta Ganacin.
Na lei chinesa, o consentimento deve ser dado no momento anterior ao início do tratamento de dados pessoais, sendo que, consentimentos adicionais para a coleta de novos dados podem ser requisitados, sempre que necessário, antes do início do novo tratamento. “Caso o titular se recuse a fornecer o consentimento, operador poderá se negar a disponibilizar novos serviços e/ou atualizações, mas não poderá cortar o serviço ou alterar a qualidade do serviço já disponibilizado”, explica Vilarinho.
Já a portabilidade dos dados é limitada a certas “áreas” tais como saúde, educação ou dados referentes às relações de emprego; e menores de 14 anos devem ter seu consentimento fornecido pelos pais e/ou responsável legal.
Para Rafael Zanatta, diretor-executivo na Associação Data Privacy Brasil de Pesquisa, a lei chinesa está indo mais pesado na proteção de dados de crianças abaixo de 14 anos e na questão da territorialidade. “O mais quente mesmo do momento é que, se houver tratamento massivo de dados pessoas, o dado tem de estar em território chinês”.
Por sua vez, o Japão está na dianteira e já consegue negociar status com a União Europeia. “Há lei aprovada e é um dos poucos países que conseguiu a decisão de adequação que determina que a lei japonesa tem equiparação com o GDPR, ou seja, tem o reconhecimento de que há o mesmo nível de proteção jurídica que na EU e com isso o Japão consegue acelerar acordos comerciais”, comenta Zanatta.