Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos acima, passemos à análise de cada um deles, lembrando que esta é a segunda parte do texto integral e trata da GDPR.
A lei hoje vigente na União Europeia e que trata da proteção de dados pessoais é a General Data Protection Regulation – GDPR, que obriga os países membros a se adaptarem a ela.
A GDPR aplica-se a toda e qualquer companhia, pública ou privada, que vise ou não lucro independentemente de onde a empresa esteja estabelecida ou tenha sua sede, desde que o dado violado seja relativos a cidadãos ou residentes da Comunidade Europeia, ainda que tais pessoas tenham mais de uma cidadania.
Segundo a General Data Protection Regulation "dado pessoal" significa qualquer dado relacionado a, que identifique ou descreva ou ainda possa ser associado com uma pessoa (sujeito dos dados, na letra da lei). Assim, dado pessoal do indivíduo é não só seu nome, números de documentos e endereços, mas também suas respectivas identificações criadas nos próprios sites das companhias, informações online como endereços de IP, cookies, dados de GPS ou de suas localizações, informações biográficas como crença ou credo, raça, cor, sexualidade ou gênero, situação econômica presente ou pretérita, marcas pessoais físicas inatas ou não (como tatoos, p. ex.) etc.
Para a General Data Protection Regulation qualquer coleta, venda, cessão ou uso dos dados pessoais constitui "processamento" de dados e as organizações devem ter expressa autorização para fazê-lo o que geralmente ocorre através de "termos de consentimento" online e/ou pop ups a serem respondidos ou preenchidos antes de acessar o conteúdo das organizações.
A legislação em tela ainda visa impedir que as organizações mantenham dados pessoais desnecessários em seus bancos de dados, estabelecendo que elas somente podem processar dados estritamente necessários a objetivos bem definidos do negócio. Inclusive, se os dados pessoais são coletados para um propósito específico, a mesma organização não poderá usá-los para outro fim, sem o consentimento do sujeito dos dados. Do mesmo modo, a mesma organização não pode transferir dados colhidos na área da União Europeia a suas coligadas, subsidiárias ou afiliadas, estabelecidas fora daquela área, exceto sob circunstâncias específicas que envolvem defesa de estado, defesa da organização ou contratos que contenham autorizações e clausulas expressas nesse sentido. Nem mesmo o e-mail da pessoa coletado para um fim pode ser objeto de campanhas de marketing sem expresso consentimento do sujeito dos dados.
Esta legislação, assim como as demais não especifica as medidas de segurança de dados a ser implantada pelas empresas, apenas exigindo que as organizações tenham implementadas as medidas e precauções necessárias para a segurança dos dados, sob as penas que especifica no caso de não conformidade. É sabido, todavia, que as medidas de segurança mais amplas e profundas não têm sido capazes de assegurar completamente a não invasão ou quebra dos sistemas de dados, mesmo na EU. A despeito disso, a General Data Protection Regulation exige que as políticas se segurança de dados das empresas sejam claras e de fácil acesso e compreensão pelos cidadãos que protege.
- Os principais direitos e obrigações que a General Data Protection Regulation defende são:
Políticas de privacidade e proteção de dados que deixam claro:
Que dados pessoais são coletados;
Por que e como tais dados estão sendo processados;
Qual a base legal para uso desses dados;
Se os dados serão compartilhados e com quem;
Que o sujeito dos dados a opção de não concordar com o processamento de seus dados.
- Principais obrigações das organizações:
Mediante simples requerimento do sujeito dos dados:
Criar e fornecer relatórios de todos os dados captados;
Deletar todos os dados captados e armazenados;
Fornecer os dados captados e/ou processados em linguagem computacional;
Usar dados acurados – corretos e atualizados.
Informar os sujeitos dos dados, em 72 horas se houve quebra do sigilo dos dados ou se seus dados foram expostos sem a devida autorização.
Dar ao sujeito dos dados a opção de "sair com seus dados" de serviços específicos;
Uma outra especificidade que a General Data Protection Regulation trouxe foi a necessidade de se ter na organização, não só um Data Protection Officer ("DPO"), mas também um Chief Privacy Officer ("CPO"), fazendo com que as organizações tenham que criar tais posições dentro de seus organogramas.
Quanto às penalidades, a General Data Protection Regulation distingue entre (i) non compliance com seus termos e (ii) quebra da proteção de dados. O primeiro pode ter penas de € 10 milhões ou 2% do faturamento bruto global da organização, e o segundo caso pode ter penas de € 20 milhões ou 4% do faturamento bruto global da organização, sempre valendo o que for maior.
O California Consumer Privacy Act CCPA, por sua vez foi modelado à imagem e semelhança da General Data Protection Regulation pelo maior estado dos Estados Unidos da América, todavia com algumas diferenças relevantes.
Com eficácia sobre as empresas e os sujeitos dos dados estabelecidos na Califórnia, esta lei dá a tais sujeitos um maior controle e visibilidade sobre os seus dados pessoais coletados/processados, ao mesmo tempo que exige dos negócios uma maior transparência sobre a coleta e processamento de dados pessoais e dos dados dos householdings. Interessante a menção do sujeito dos dados protegidos: "household". Não existe no próprio Ato uma definição explicita da palavra household, mas é consenso que se refere a dados de família ou de um núcleo familiar.
É obrigatória sua observância em todos os ramos de atividades e vem sendo tida como a inspiração para uma legislação nacional americana unificada.
Importante dizer que, no estado da Califórnia, ainda existem o California Online Privacy Protection Act ("CalOPPA") e o California Consumer Privacy Act.
Uma importante diferença entre o California Consumer Privacy Act e a General Data Protection Regulation é que o primeiro se aplica apenas a quem faz negócios com fins lucrativos, na Califórnia, coletando dados de sujeitos residentes na Califórnia e, concomitantemente:
- Tem faturamento anual bruto de pelo menos US$ 25 milhões; e/ou,
- Armazena dados de 50 mil residentes, famílias ou equipamentos pessoais ao ano; e/ou,
- Gera mais de 50% de seu lucro com a venda de dados pessoais de residentes da Califórnia.
Empresas que fazem negócios na Califórnia, segundo a legislação civil do estado, é aquela que:
- Está baseada na Califórnia;
- Tem empregados na Califórnia; e/ou,
- Tem conexão com a Califórnia através de propriedades imobiliárias ou vendas recorrentes a consumidores daquele estado.
O California Consumer Privacy Act admite implicitamente a coleta de dados por ferramentas de tracking e/ou tecnologias relacionadas, tanto que suas disposições se aplicam "a dados pessoais coletados por ferramentas de tracking e tecnologias similares". E admite ainda o processamento e venda de dados de residentes da Califórnia, desde que a tais sujeitos dos dados tenha sido dada, de forma clara, a opção de se oporem ao fato. O mesmo ocorre com o uso de e-mails ou outros dados para fins de marketing, ou transferência de dados para fora da Califórnia ou dos EUA. Enquanto na Comunidade Europeia, o sujeito dos dados tem que autorizar expressamente tais usos de seus dados, nos EUA basta que a eles seja dada, de forma explicita, a opção de se negar ao uso de tais dados para determinados fins. A única exceção é em relação aos menores de 17 anos. Para estes:
- Se estiverem abaixo de 13 anos, precisarão que seus responsáveis legais autorizem a obtenção e/ou processamento de seus dados expressamente;
- Se estiverem entre 13 e 16 anos deverão autorizar pessoalmente a obtenção e/ou processamento de seus dados expressamente.
À semelhança da General Data Protection Regulation, o California Consumer Privacy Act não determina quais medidas de segurança são necessárias às empresas, mas, diferentemente daquele regramento, no caso de quebra de sigilo de dados, dá liberdade para a empresa agir na correção e a penalidade somente será aplicada se ficar comprovado que a empresa não tomou as "medidas possíveis" – termo bastante vago - para a proteção dos dados ou correção do problema havido.
Não há um prazo específico ou requisitos específicos para comunicação e atuação sobre a quebra de sigilo, no California Consumer Privacy Act, muito embora outras legislações (americanas e mesmo californianas) tratem da matéria. Da mesma forma, não exige a presença ou indicação de um CDO ou DPO nos negócios.
Os principais direitos tutelados pelo California Consumer Privacy Act são:
- Requer e receber informações sobre quais dados seus estão armazenados em prazo de 45 dias;
- Ter seus dados alterados ou deletados mediante requerimento e sem custo, com poucas exceções;
- Escolher se permitem ou não compartilhamento e/ou venda de seus dados com terceiros;
- Manutenção do preço dos serviços independentemente dos requerimentos dos consumidores ou das obrigações a serem cumpridas para o compliance com o California Consumer Privacy Act.
A California Privacy Protection Agency terá poderes para multar transgressores, realizar audiências e inquirições sobre violações de privacidade e/ou de dados pessoais, esclarecer dúvidas e criar diretrizes de privacidade para regulações posteriores. É um conselho de cinco membros e começa a vigorar seis meses após a entrada em vigor em 1º de julho de 2023.
Atualmente, o estado da Califórnia, baseado no California Consumer Privacy Act, pode impor penalidade de até US$ 7.500 por violação, e somente se a organização não conseguir resolver o problema dentro de 30 dias. Em paralelo, o sujeito dos dados pode buscar reparação civil de até US$.750 por incidente, mais os custos do processo.
Continuaremos, no próximo periódico, abordando os dois últimos regramentos objeto deste artigo, que comporão a Parte III e última do texto: a recentíssima legislação Sul Africana – POPIA e a LGPD do Brasil.
*Renata Marcheti é professora Doutora da USP, Advogada e Membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.
__________
1 General Data Protection Regulation – A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 passou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021.
2 California Consumer Privacy Act – CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021.
3 Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020.
4 Lei Geral de Proteção de Dados – LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil.