Migalhas de IA e Proteção de Dados

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD – Parte II

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD – Parte II.

30/7/2021

Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos acima, passemos à análise de cada um deles, lembrando que esta é a segunda parte do texto integral e trata da GDPR.

A lei hoje vigente na União Europeia e que trata da proteção de dados pessoais é a General Data Protection Regulation – GDPR, que obriga os países membros a se adaptarem a ela.

A GDPR aplica-se a toda e qualquer companhia, pública ou privada, que vise ou não lucro independentemente de onde a empresa esteja estabelecida ou tenha sua sede, desde que o dado violado seja relativos a cidadãos ou residentes da Comunidade Europeia, ainda que tais pessoas tenham mais de uma cidadania.

Segundo a General Data Protection Regulation "dado pessoal" significa qualquer dado relacionado a, que identifique ou descreva ou ainda possa ser associado com uma pessoa (sujeito dos dados, na letra da lei).  Assim, dado pessoal do indivíduo é não só seu nome, números de documentos e endereços, mas também suas respectivas identificações criadas nos próprios sites das companhias, informações online como endereços de IP, cookies, dados de GPS ou de suas localizações, informações biográficas como crença ou credo, raça, cor, sexualidade ou gênero, situação econômica presente ou pretérita, marcas pessoais físicas inatas ou não (como tatoos, p. ex.) etc. 

Para a General Data Protection Regulation qualquer coleta, venda, cessão ou uso dos dados pessoais constitui "processamento" de dados e as organizações devem ter expressa autorização para fazê-lo o que geralmente ocorre através de "termos de consentimento" online e/ou pop ups a serem respondidos ou preenchidos antes de acessar o conteúdo das organizações.

A legislação em tela ainda visa impedir que as organizações mantenham dados pessoais desnecessários em seus bancos de dados, estabelecendo que elas somente podem processar dados estritamente necessários a objetivos bem definidos do negócio. Inclusive, se os dados pessoais são coletados para um propósito específico, a mesma organização não poderá usá-los para outro fim, sem o consentimento do sujeito dos dados. Do mesmo modo, a mesma organização não pode transferir dados colhidos na área da União Europeia a suas coligadas, subsidiárias ou afiliadas, estabelecidas fora daquela área, exceto sob circunstâncias específicas que envolvem defesa de estado, defesa da organização ou contratos que contenham autorizações e clausulas expressas nesse sentido. Nem mesmo o e-mail da pessoa coletado para um fim pode ser objeto de campanhas de marketing sem expresso consentimento do sujeito dos dados.

Esta legislação, assim como as demais não especifica as medidas de segurança de dados a ser implantada pelas empresas, apenas exigindo que as organizações tenham implementadas as medidas e precauções necessárias para a segurança dos dados, sob as penas que especifica no caso de não conformidade.  É sabido, todavia, que as medidas de segurança mais amplas e profundas não têm sido capazes de assegurar completamente a não invasão ou quebra dos sistemas de dados, mesmo na EU.  A despeito disso, a General Data Protection Regulation exige que as políticas se segurança de dados das empresas sejam claras e de fácil acesso e compreensão pelos cidadãos que protege.

Políticas de privacidade e proteção de dados que deixam claro:

Que dados pessoais são coletados;

Por que e como tais dados estão sendo processados;

Qual a base legal para uso desses dados;

Se os dados serão compartilhados e com quem;

Que o sujeito dos dados a opção de não concordar com o processamento de seus dados.

Mediante simples requerimento do sujeito dos dados:

Criar e fornecer relatórios de todos os dados captados;

Deletar todos os dados captados e armazenados;

Fornecer os dados captados e/ou processados em linguagem computacional;

Usar dados acurados – corretos e atualizados.

Informar os sujeitos dos dados, em 72 horas se houve quebra do sigilo dos dados ou se seus dados foram expostos sem a devida autorização.

Dar ao sujeito dos dados a opção de "sair com seus dados" de serviços específicos;

Uma outra especificidade que a General Data Protection Regulation trouxe foi a necessidade de se ter na organização, não só um Data Protection Officer ("DPO"), mas também um Chief Privacy Officer ("CPO"), fazendo com que as organizações tenham que criar tais posições dentro de seus organogramas.

Quanto às penalidades, a General Data Protection Regulation distingue entre (i) non compliance com seus termos e (ii) quebra da proteção de dados. O primeiro pode ter penas de € 10 milhões ou 2% do faturamento bruto global da organização, e o segundo caso pode ter penas de € 20 milhões ou 4% do faturamento bruto global da organização, sempre valendo o que for maior.

O California Consumer Privacy Act CCPA, por sua vez foi modelado à imagem e semelhança da General Data Protection Regulation pelo maior estado dos Estados Unidos da América, todavia com algumas diferenças relevantes.

Com eficácia sobre as empresas e os sujeitos dos dados estabelecidos na Califórnia, esta lei dá a tais sujeitos um maior controle e visibilidade sobre os seus dados pessoais coletados/processados, ao mesmo tempo que exige dos negócios uma maior transparência sobre a coleta e processamento de dados pessoais e dos dados dos householdings.  Interessante a menção do sujeito dos dados protegidos:  "household".  Não existe no próprio Ato uma definição explicita da palavra household, mas é consenso que se refere a dados de família ou de um núcleo familiar.

É obrigatória sua observância em todos os ramos de atividades e vem sendo tida como a inspiração para uma legislação nacional americana unificada. 

Importante dizer que, no estado da Califórnia, ainda existem o California Online Privacy Protection Act ("CalOPPA") e o California Consumer Privacy Act.

Uma importante diferença entre o California Consumer Privacy Act e a General Data Protection Regulation é que o primeiro se aplica apenas a quem faz negócios com fins lucrativos, na Califórnia, coletando dados de sujeitos residentes na Califórnia e, concomitantemente:

Empresas que fazem negócios na Califórnia, segundo a legislação civil do estado, é aquela que:

 O California Consumer Privacy Act admite implicitamente a coleta de dados por ferramentas de tracking e/ou tecnologias relacionadas, tanto que suas disposições se aplicam "a dados pessoais coletados por ferramentas de tracking e tecnologias similares".  E admite ainda o processamento e venda de dados de residentes da Califórnia, desde que a tais sujeitos dos dados tenha sido dada, de forma clara, a opção de se oporem ao fato.  O mesmo ocorre com o uso de e-mails ou outros dados para fins de marketing, ou transferência de dados para fora da Califórnia ou dos EUA. Enquanto na Comunidade Europeia, o sujeito dos dados tem que autorizar expressamente tais usos de seus dados, nos EUA basta que a eles seja dada, de forma explicita, a opção de se negar ao uso de tais dados para determinados fins. A única exceção é em relação aos menores de 17 anos. Para estes:

À semelhança da General Data Protection Regulation, o California Consumer Privacy Act não determina quais medidas de segurança são necessárias às empresas, mas, diferentemente daquele regramento, no caso de quebra de sigilo de dados, dá liberdade para a empresa agir na correção e a penalidade somente será aplicada se ficar comprovado que a empresa não tomou as "medidas possíveis" – termo bastante vago - para a proteção dos dados ou correção do problema havido. 

Não há um prazo específico ou requisitos específicos para comunicação e atuação sobre a quebra de sigilo, no California Consumer Privacy Act, muito embora outras legislações (americanas e mesmo californianas) tratem da matéria.  Da mesma forma, não exige a presença ou indicação de um CDO ou DPO nos negócios.

Os principais direitos tutelados pelo California Consumer Privacy Act são:

A California Privacy Protection Agency terá poderes para multar transgressores, realizar audiências e inquirições sobre violações de privacidade e/ou de dados pessoais, esclarecer dúvidas e criar diretrizes de privacidade para regulações posteriores. É um conselho de cinco membros e começa a vigorar seis meses após a entrada em vigor em 1º de julho de 2023.

Atualmente, o estado da Califórnia, baseado no California Consumer Privacy Act, pode impor penalidade de até US$ 7.500 por violação, e somente se a organização não conseguir resolver o problema dentro de 30 dias. Em paralelo, o sujeito dos dados pode buscar reparação civil de até US$.750 por incidente, mais os custos do processo.

Continuaremos, no próximo periódico, abordando os dois últimos regramentos objeto deste artigo, que comporão a Parte III e última do texto:  a recentíssima legislação Sul Africana – POPIA e a LGPD do Brasil.

*Renata Marcheti é professora Doutora da USP, Advogada e Membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.

__________

1 General Data Protection Regulation – A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 passou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021.

2 California Consumer Privacy Act – CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021.

3 Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020. 

4 Lei Geral de Proteção de Dados – LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.