A Lei Geral de Proteção de Dados entrou em vigor no Brasil apenas em agosto de 2020; no entanto, no ano de 2018, na União Europeia, entrava em vigor o Regulamento Geral da Proteção de Dados (RGPD), ou General Protection Regulation (GDPR). A movimentação europeia em busca da consolidação de diretrizes de privacidade e segurança da informação representou forte influência para que outros países ao redor do globo seguissem o mesmo movimento.

Com os olhos voltados para a União Europeia, diversos países utilizaram a RGPD como base para a construção e/ou atualização de suas respectivas legislações sobre proteção de dados pessoais, o que não foi diferente com a Lei Geral de Proteção de Dados brasileira.

Analisando sob uma ótica de economia globalizada, é fundamental que observemos como outros países estão protegendo seus dados, uma vez que a proteção de dados pessoais exerce forte influência nas relações econômicas.

A adequação à proteção de dados tornou-se uma verdadeira exigência de mercado e confere forte potencial competitivo. A União Europeia, por exemplo, exige nível minimamente adequado de proteção de dados para que um país possa ter relações econômicas no bloco, ou a temida transferência internacional de dados pessoais. É importante que as empresas que realizam negócios internacionais ou que realizam tratamento de dados internacionais estejam por dentro das legislações sobre privacidade e proteção de dados dos países com quem realizam transações.

Conheça as principais leis de proteção de dados ao redor do mundo e como elas podem influenciar no cenário de privacidade e segurança da informação mundial.

União Europeia

Na década de 70 foi aprovada a primeira lei que versava sobre proteção de dados na Europa, mais precisamente na Alemanha, o que revolucionou a forma como lidamos com dados pessoais no mundo. Em 1995 entrou em vigor na Europa a Diretiva de Proteção de Dados, que posteriormente, em 2018, foi substituída pelo Regulamento Geral de Proteção de Dados, o RGPD.

Este importante regulamento unificou na União Europeia as regras de proteção de dados, assegurando aos países membros o direito de regulamentar medidas mais rígidas em alguns temas.

A aplicabilidade extraterritorial daquela lei contribuiu para que empresas do mundo inteiro adotassem medidas mais adequadas às normas de proteção de dados. Na prática, uma empresa situada no Brasil pode ficar obrigada a observar a lei europeia, por exemplo, quando ofertar bens ou serviços a titulares de dados europeus, independente da realização de pagamento por este bem ou serviço.

O RGPD traz consigo forte potencial regulatório do mercado econômico mundial, uma vez que estabelece diretrizes para que um país possa manter relações econômicas com países que façam parte da União Europeia, o que fez com que o mundo observasse a General Data Protection Regulation com olhos atentos.

Estados Unidos da América

Diferente de outros países, nos Estados Unidos não há uma lei ou regulamentação nacional para o tratamento de dados pessoais. Porém, algumas leis estaduais legislam sobre o assunto, como é o caso da Califórnia – California Consumer Privacy Act – CCPA – que estabeleceu direitos aos consumidores acerca dos dados pessoais.

Alguns regulamentos americanos trazem regras para o tratamento de dados pessoais de forma mais pontual, como é o caso do Health Insurance Portability and Accontability Act (HIPAA) sobre o direito de proteção de dados de saúde e o Children’s Online Privacy Protection Act (COPPA) que regulamenta o tratamento de dados de crianças menores de 13 anos sem consentimento dos pais.

Argentina

A Lei de Proteção de Dados da Argentina (Lei nº 25.326) – Ley de Protección de los Datos Personales ou Personal Data Protection Act (PDPA), em inglês, foi uma das primeiras leis sobre privacidade e proteção de dados a ser aprovada na América Latina, promulgada nos anos 2000. A lei argentina se aplica a qualquer pessoa ou entidade que trate dados pessoais no país. O que muito se assemelha à LGPD brasileira, uma vez que considera como direito do titular a correção, acesso facilitado e a remoção dos dados pessoais coletados.

Entretanto, a forte influência mundial da GDPR europeia não seria diferente em território argentino. Com a entrada em vigor da lei europeia, a Argentina anunciou que reformaria a Ley de Protección de los Datos Personales a fim de manter-se em níveis adequados de privacidade e proteção de dados exigidos pela União Europeia. Ainda no ano de 2018 foi proposto novo texto legal, visando substituir a Lei nº 25.326, e consolidar seu consequente alinhamento com o texto europeu. Importantes alterações foram propostas, entre as quais:

• Estabelece novos conceitos, como: computação na nuvem e dados genéricos;
• Abordagem mais completa e obrigações do controlador mais rígidas;
• Exclui as pessoas jurídicas como titulares de dados pessoais – apenas pessoas naturais são consideradas titulares de dados;
• Novos padrões de legalidade de tratamento de dados pessoais;
• Passa a adotar novas bases legais para pautar o tratamento dos dados pessoais, anteriormente baseados, predominantemente, no consentimento;
• Necessidade de designação de responsável pelo tratamento de dados pessoais, Data Protection Officer (DPO).

Chile

O Chile anunciou em 2018 que planejava atualizar sua Lei de Proteção de Dados Pessoais, Lei nº 19.628, que data do ano de 1999. A atualização proposta visa atender aos padrões da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e, sob os moldes dos regulamentos europeus, criar a Agência de Proteção de Dados Pessoais do Chile. Dentre as alterações:

• Prevê a aplicação de multa de até 700 mil dólares em caso de de descumprimento da lei;
• Inclui dados biométricos no rol dos dados pessoais sensíveis;
• Criação da Agência Nacional de Proteção de Dados Pessoais chilena.

México

No México o direito de proteção de dados é regido pela Lei Federal de Proteção de Dados pessoais em Poder de Particulares de 2010. A referida lei regulamenta o tratamento de dados praticados por empresas privadas e assegura aos titulares o direito de acesso, retificação, cancelamento e oposição ao tratamento de dados pessoais em face de quem detém os dados.

Brasil

No Brasil a Lei Geral de Proteção de Dados – ou LGPD, apesar de ter entrado em vigor apenas no mês de agosto de 2020, já é pauta de discussões há pelo menos 10 anos. Não podemos falar em LGPD no Brasil sem observarmos o Marco Legal da Internet (Lei n 12.965 de 2014). Ambas andam em conjunto, uma vez que o Marco Legal da Internet traz princípios, garantias, direitos e deveres aos usuários da internet, além de sancionar a função regulatória do Estado da sociedade em rede.

A entrada em vigor da LGPD representa significativas mudanças no cenário econômico do país, uma vez que regula a forma com que as empresas coletam e tratam dados em território nacional. A existência de uma lei que regule o tratamento de dados confere ao Brasil maior potencial competitivo em uma economia globalizada. A legislação brasileira sobre a proteção de dados pessoais é aplicável a qualquer empresa pública ou privada que realiza o tratamento de dados pessoais no Brasil e estabelece obrigações e boas práticas no que se refere ao tratamento de dados em território nacional:

• Obriga empresas e agências governamentais que realizam o tratamento de dados pessoais a nomearem o encarregado pelo tratamento de dados, que será o responsável pelo contato entre a Agência Nacional Reguladora (ANPD) e o controlador dos dados;
• Prevê a necessidade de tratamento diferenciado quando a coleta se tratar de dados pessoais sensíveis ou dados de menores de idade;
• Cria uma Agência Nacional Reguladora, responsável pela fiscalização e imposição de sanções em caso de irregularidades ou incidentes;
• Estabelece a possibilidade de aplicação de sanções de até 2% sobre o faturamento bruto do controlador dos dados, limitados à 50 milhões de reais, por irregularidade, sendo a previsão para o início da aplicação das sanções no mês de Agosto de 2021;
• Prevê direitos e garantias aos titulares dos dados pessoais e garante maior clareza nas informações sobre o tratamento dos dados;
• Consolida a necessidade de adequação das empresas, públicas ou privadas, que desejam tratar dados no Brasil, independentemente da localização do responsável pela coleta – conceito de extraterritorialidade.

Privacidade de dados é um item relevante para empresas que atuam em variados segmentos de mercado, sendo ainda mais importante para aquelas que operam em mercados internacionais. Nestes casos, é primordial que a empresa avalie a existência de leis e regulamentações locais, antes de iniciar qualquer tipo de atividade. Adaptar produtos e processos pode ser necessário, para evitar multas, sanções e outros impactos negativos à marca.