Migalhas de IA e Proteção de Dados

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD - Parte III

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD - Parte III.

13/8/2021

Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos no título, já tendo avaliado o GDPR na Parte I deste artigo e, também, o CCPA na Parte II, passemos à análise dos dois últimos regramentos, em tela, para proteção de dados – o POPIA e a LGPD brasileira, lembrando que esta é a terceira e última parte do texto integral.

O Protection Of Personal Information Act, aprovado desde 1º de janeiro de 2020, na África do Sul, somente passou a ser de observância obrigatória a partir de 1º de julho de 2021 e, em relação a ele, importante notar que:

O POPIA da África do Sul é, até aqui, a lei de proteção de dados mais recente do mundo e:

O POPIA também define como informações sensíveis:

E assegura os seguintes Direitos aos sujeitos dos dados:

Uma das principais diferenças entre a legislação Sul Africana e as demais é o aspecto de abrangência territorial.  Pela regra, aplica-se aquela legislação aos negócios (i) estabelecidos na África do Sul (conceito fácil de ser compreendido) ou (ii) cujos dados pessoais são processados dentro do território Sul Africano (conceito um pouco mais delicado, considerando que hoje temos data centers virtuais e bases de dados em nuvem não exatamente divulgadas pelos provedores).  Assim, se sua empresa, por exemplo, faz uso de qualquer cloud estabelecida sobre território da África do Sul, ela deve observar e seguir aquela legislação, a partir de 1º de julho deste ano. Esse é um aspecto relevante, vez que nem sempre sabemos onde estão os servidores ou satélites que usamos nas contratações de TI.

Por definição, dado protegido pela Protection Of Personal Information Act é tudo que se refere às pessoas físicas ou jurídicas de qualquer natureza, o que também traz dificuldade de entendimento e é um conceito mais abrangente que o estatuído na California e na EU.  P. ex.: os sites das empresas devem ser protegidos, mesmo quando estão disponíveis na internet...  Como fazer isso na África do Sul, apenas dada a abrangência transfronteiriça da web?

A contrassenso, os sujeitos dos dados não precisam dar permissão para a coleta de seus dados, a menos que:

Em qualquer caso, a opção de objeção à coleta ou processamento dos dados deve ser oferecida ao titular dos dados, inclusive com instrução de como retirar suas informações diretamente dos sistemas das organizações. E exceto em casos específicos os dados somente podem ser coletados do próprio sujeito dos dados, o que nos parece contraditório com a não proibição de transferência ou compartilhamento de dados.  Sim, é permitida a transferência dos dados dentro do próprio país, ou se for transferida, internacionalmente, a terceiros que tenham políticas semelhantes de proteção de dados ou que atendam legislação adequada para a proteção dos dados. Notem quão ampla é a interpretação desse conceito.

As organizações sujeitas à Protection Of Personal Information Act podem cobrar taxas em troca do fornecimento dos dados que mantém sobre o titular dos dados, muito embora não possam cobrar para informar se tem ou não dados coletados e processados de um determinado indivíduo e nem para corrigir determinada informação equivocada a pedido.

A designação de um DPO é exigida, mas a legislação ressalva que, na ausência de pessoa dedicada à função, o CEO da empresa será o responsável pela área – e sofrerá as consequências do non compliance.

As notificações de infrações devem ser feitas em até 72 horas, para a autoridade supervisora e as penalidades são menores que as outras três legislações aqui tratadas, chegando ao máximo de R10 milhões, o que corresponde hoje a aproximadamente US$ 723.000. A pena privativa de liberdade para o DPO, ou o CEO no caso de não haver DPO designado pode chegar 10 anos.

Quanto à nossa recentíssima Lei Geral de Proteção de Dados, que demorou a ser editada e, por conta da pandemia do COVID, teve sua eficácia retardada mais ainda, podemos dizer que traz muitas semelhanças com a legislação Europeia, em especial os seus princípios, antes já referidos.

Aplica-se a todos que coletam ou processam dados de cidadãos brasileiros ou residentes em território com jurisdição brasileira, independentemente da localização da organização e são considerados dados protegidos toda a informação que identifique ou possa identificar o seu titular, sendo objeto de proteção mais específica os dados considerados sensíveis, à semelhança da General Data Protection Regulation.

A Lei Geral de Proteção de Dados tenta indicar as providências obrigatórias por parte das organizações, para o compliance à lei, exigindo informar a razão e demandando autorização expressa para coleta e tratamento de dados, do sujeito dos dados, ressalvadas as outras hipóteses que autorizam o tratamento de dados independentemente do consentimento nos termos do art. 7º (dados pessoais) e art. 11 (dados pessoais sensíveis).

O órgão responsável pelo controle do compliance à Lei Geral de Proteção de Dados é a ANPD ou Autoridade Nacional de Proteção de Dados que tem como órgão consultivo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), composto por membros da sociedade e do poder público.

As principais atribuições são do CNPD são (art. 58-B da LGPD): 

 A participação no CNPD é considerada prestação de serviço público relevante, não remunerada e constitui um diferencial em relação a outras legislações.

Na linha da EU, a legislação brasileira proíbe a transferência ou compartilhamento de dados, com raras exceções e o consentimento é elemento chave para a captação e processamento de dados pessoais, devendo tal consentimento ser dado de forma voluntária e mediante a informação clara de quais dados serão captados e/ou processados, por quem e com que finalidade. E o consentimento pode ser revogado a qualquer tempo, devendo a organização captora ou processadora manter o registro de tais consentimentos e/ou sua revogação.

O direito de acesso exercido pelo titular de dados deve ser respondido ao interessado em 15 dias, sem custo, como analisado nesta coluna.

A designação de um Encarregado pela Proteção de Dados, dedicado como tal, é obrigatória na Lei Geral de Proteção de Dados, muito embora ainda não haja uma certificação, para tal ocupação, no Brasil. Esta função pode ser exercida por um indivíduo com o auxílio de uma equipe ou grupo (denominado, muitas vezes, como “Comitê de Proteção de Dados”), interno ou ser terceirizado (externo). Indica-se, mas não se exige um CPO nas organizações.

No caso de quebra da segurança da proteção dos dados, a organização deve informar à ANPD e aos titulares, em um prazo não especificado na legislação, mas que a ANPD definiu em 2 dias úteis, contados do conhecimento do incidente de segurança com dados pessoais.

As penalidades financeiras são bem menores se comparadas a outras legislações, mas ainda assim bastante altas, podendo chegar a 2% do faturamento anual da organização com um teto de R$ 50 milhões, por ofensa.

Por fim, para sabermos se estamos em compliance com a regulação de dados que nos atinge, devemos nos perguntar o seguinte:

Feitas todas essas perguntas, se não houver resposta claríssima para qualquer delas, isso significa que seus sistemas de compliance não estão adequados à LGPD e sua organização precisa COM URGÊNCIA buscar uma assessoria nessa área, independentente do lugar no mundo onde ela atua. 

*Renata Marcheti é professora doutora da USP, advogada e membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.