Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos no título, já tendo avaliado o GDPR na Parte I deste artigo e, também, o CCPA na Parte II, passemos à análise dos dois últimos regramentos, em tela, para proteção de dados – o POPIA e a LGPD brasileira, lembrando que esta é a terceira e última parte do texto integral.
O Protection Of Personal Information Act, aprovado desde 1º de janeiro de 2020, na África do Sul, somente passou a ser de observância obrigatória a partir de 1º de julho de 2021 e, em relação a ele, importante notar que:
- Foi editada em novembro de 2013 – portanto, antes mesmo da entrada em vigor da General Data Protection Regulation da Comunidade Europeia, porém foi aprovada pelo Governo da África do Sul apenas em 2020, com eficácia suspensa até meados deste mesmo ano;
- Traz muitos aspectos similares ao General Data Protection Regulation e ao California Consumer Privacy Act, em especial os seus princípios;
- Muitas das suas disposições já foram convertidas em leis com observância obrigatória; mas,
- Sua eficácia ou exigência de compliance a todos os seus termos apenas ocorrerá após 1º de julho de 2021, quando o restante de seus dispositivos passa a valer como leis e a autoridade nacional de proteção de dados – o Information Regulator – terá seus poderes constituídos.
O POPIA da África do Sul é, até aqui, a lei de proteção de dados mais recente do mundo e:
- Propicia aos cidadãos a que se refere controlarem suas informações pessoais e exercerem direitos aplicáveis sobre elas;
- Estabeleceu oito requisitos mínimos para o processamento de dados:
- Responsabilidade - parte responsável deve assegurar que as condições, e todas as medidas previstas no POPIA que dão efeito a tais condições, sejam cumpridas no momento da determinação da finalidade e dos meios de processamento.
- Limitação de processamento - as informações pessoais só podem ser processadas de forma justa e legal e apenas com o consentimento do titular dos dados ou nas demais hipóteses previstas na lei.
- Finalidade específica - as informações pessoais só podem ser processadas por razões específicas, explicitamente definidas e legítimas.
- Limitação de processamento adicional - as informações pessoais não podem ser processadas para uma finalidade secundária;
- Qualidade da Informação - a parte responsável deve tomar medidas razoáveis (e não suficientes) para garantir que as informações pessoais coletadas sejam completas, precisas, não enganosas e atualizadas quando necessário.
- Salvaguardas de segurança - as informações pessoais devem ser mantidas em segurança contra o risco de perda, acesso ilegal, interferência, modificação, destruição não autorizada e divulgação.
- Transparência – a parte responsável deve manter a documentação de todas as operações de captação e processamento de dados feitos sob sua responsabilidade.
- Participação do Titular dos Dados - os titulares dos dados podem solicitar a manutenção, a correção e/ou exclusão de quaisquer informações pessoais deles.
O POPIA também define como informações sensíveis:
- informação informações relacionadas à raça, gênero, sexo, gravidez, estado civil, nacionalidade, origem étnica ou social, cor, orientação sexual, idade, saúde física ou mental, bem-estar, deficiência, religião, consciência, crença, cultura, idioma e nascimento da pessoa;
- informações relacionadas à educação ou histórico médico, financeiro, criminal ou de emprego da pessoa;
- qualquer número de identificação, símbolo, endereço de e-mail, endereço físico, número de telefone, informação de localização, identificador online ou outra atribuição específica para a pessoa;
- a informação biométrica da pessoa;
- as opiniões pessoais, pontos de vista ou preferências da pessoa;
- correspondência enviada pela pessoa de forma implícita ou explícita de natureza privada ou confidencial ou correspondência posterior que revele o conteúdo da correspondência original;
- as visões ou opiniões de outro indivíduo sobre a pessoa; e
- o nome da pessoa se aparecer com outras informações pessoais relacionadas à pessoa ou se a divulgação do próprio nome revelaria informações sobre a pessoa;
E assegura os seguintes Direitos aos sujeitos dos dados:
- ser notificado sobre a coleta e processamento de informações pessoais;
- de acessar informações pessoais;
- de solicitar correção de informações pessoais;
- de solicitar a exclusão de informações pessoais;
- de se opor ao processamento de informações pessoais;
- de não ter as informações pessoais processadas para fins de marketing direto por meio de comunicações eletrônicas não solicitadas;
- de não estar sujeito a uma decisão que resulte em circunstâncias legais baseadas exclusivamente no processamento automatizado;
- de reclamar ao Regulador (e ao Judiciário, por óbvio);
- de aplicar remédio judicial necessário.
Uma das principais diferenças entre a legislação Sul Africana e as demais é o aspecto de abrangência territorial. Pela regra, aplica-se aquela legislação aos negócios (i) estabelecidos na África do Sul (conceito fácil de ser compreendido) ou (ii) cujos dados pessoais são processados dentro do território Sul Africano (conceito um pouco mais delicado, considerando que hoje temos data centers virtuais e bases de dados em nuvem não exatamente divulgadas pelos provedores). Assim, se sua empresa, por exemplo, faz uso de qualquer cloud estabelecida sobre território da África do Sul, ela deve observar e seguir aquela legislação, a partir de 1º de julho deste ano. Esse é um aspecto relevante, vez que nem sempre sabemos onde estão os servidores ou satélites que usamos nas contratações de TI.
Por definição, dado protegido pela Protection Of Personal Information Act é tudo que se refere às pessoas físicas ou jurídicas de qualquer natureza, o que também traz dificuldade de entendimento e é um conceito mais abrangente que o estatuído na California e na EU. P. ex.: os sites das empresas devem ser protegidos, mesmo quando estão disponíveis na internet... Como fazer isso na África do Sul, apenas dada a abrangência transfronteiriça da web?
A contrassenso, os sujeitos dos dados não precisam dar permissão para a coleta de seus dados, a menos que:
- sejam classificados como special personal informartion, notadamente, crença, credo, ideologia, raça ou etnia, posição política, saúde, vida ou orientação sexual, dados biométricos; ou,
- se forem dados de menores de 17 anos, que precisam autorizar a coleta e processamento de seus dados por meio do seu responsável civil; ou,
- sejam coletados ou processados com fins de marketing direto por e-mail, telefone ou SMS.
Em qualquer caso, a opção de objeção à coleta ou processamento dos dados deve ser oferecida ao titular dos dados, inclusive com instrução de como retirar suas informações diretamente dos sistemas das organizações. E exceto em casos específicos os dados somente podem ser coletados do próprio sujeito dos dados, o que nos parece contraditório com a não proibição de transferência ou compartilhamento de dados. Sim, é permitida a transferência dos dados dentro do próprio país, ou se for transferida, internacionalmente, a terceiros que tenham políticas semelhantes de proteção de dados ou que atendam legislação adequada para a proteção dos dados. Notem quão ampla é a interpretação desse conceito.
As organizações sujeitas à Protection Of Personal Information Act podem cobrar taxas em troca do fornecimento dos dados que mantém sobre o titular dos dados, muito embora não possam cobrar para informar se tem ou não dados coletados e processados de um determinado indivíduo e nem para corrigir determinada informação equivocada a pedido.
A designação de um DPO é exigida, mas a legislação ressalva que, na ausência de pessoa dedicada à função, o CEO da empresa será o responsável pela área – e sofrerá as consequências do non compliance.
As notificações de infrações devem ser feitas em até 72 horas, para a autoridade supervisora e as penalidades são menores que as outras três legislações aqui tratadas, chegando ao máximo de R10 milhões, o que corresponde hoje a aproximadamente US$ 723.000. A pena privativa de liberdade para o DPO, ou o CEO no caso de não haver DPO designado pode chegar 10 anos.
Quanto à nossa recentíssima Lei Geral de Proteção de Dados, que demorou a ser editada e, por conta da pandemia do COVID, teve sua eficácia retardada mais ainda, podemos dizer que traz muitas semelhanças com a legislação Europeia, em especial os seus princípios, antes já referidos.
Aplica-se a todos que coletam ou processam dados de cidadãos brasileiros ou residentes em território com jurisdição brasileira, independentemente da localização da organização e são considerados dados protegidos toda a informação que identifique ou possa identificar o seu titular, sendo objeto de proteção mais específica os dados considerados sensíveis, à semelhança da General Data Protection Regulation.
A Lei Geral de Proteção de Dados tenta indicar as providências obrigatórias por parte das organizações, para o compliance à lei, exigindo informar a razão e demandando autorização expressa para coleta e tratamento de dados, do sujeito dos dados, ressalvadas as outras hipóteses que autorizam o tratamento de dados independentemente do consentimento nos termos do art. 7º (dados pessoais) e art. 11 (dados pessoais sensíveis).
O órgão responsável pelo controle do compliance à Lei Geral de Proteção de Dados é a ANPD ou Autoridade Nacional de Proteção de Dados que tem como órgão consultivo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), composto por membros da sociedade e do poder público.
As principais atribuições são do CNPD são (art. 58-B da LGPD):
- Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
- Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e,
- Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
A participação no CNPD é considerada prestação de serviço público relevante, não remunerada e constitui um diferencial em relação a outras legislações.
Na linha da EU, a legislação brasileira proíbe a transferência ou compartilhamento de dados, com raras exceções e o consentimento é elemento chave para a captação e processamento de dados pessoais, devendo tal consentimento ser dado de forma voluntária e mediante a informação clara de quais dados serão captados e/ou processados, por quem e com que finalidade. E o consentimento pode ser revogado a qualquer tempo, devendo a organização captora ou processadora manter o registro de tais consentimentos e/ou sua revogação.
O direito de acesso exercido pelo titular de dados deve ser respondido ao interessado em 15 dias, sem custo, como analisado nesta coluna.
A designação de um Encarregado pela Proteção de Dados, dedicado como tal, é obrigatória na Lei Geral de Proteção de Dados, muito embora ainda não haja uma certificação, para tal ocupação, no Brasil. Esta função pode ser exercida por um indivíduo com o auxílio de uma equipe ou grupo (denominado, muitas vezes, como “Comitê de Proteção de Dados”), interno ou ser terceirizado (externo). Indica-se, mas não se exige um CPO nas organizações.
No caso de quebra da segurança da proteção dos dados, a organização deve informar à ANPD e aos titulares, em um prazo não especificado na legislação, mas que a ANPD definiu em 2 dias úteis, contados do conhecimento do incidente de segurança com dados pessoais.
As penalidades financeiras são bem menores se comparadas a outras legislações, mas ainda assim bastante altas, podendo chegar a 2% do faturamento anual da organização com um teto de R$ 50 milhões, por ofensa.
Por fim, para sabermos se estamos em compliance com a regulação de dados que nos atinge, devemos nos perguntar o seguinte:
- Quais são os direitos do titular dos dados em relação ao acesso às informações mantidas por você? Quais processos você possui para garantir que a solicitação de um titular de dasos seja cumprida?
- Quem será responsável pela conformidade em sua organização e que será responsabilizado peno caso de no comliance? E como esse indivíduo garantirá que a organização esteja compatível com as legislações que a atingem?
- As informações pessoais foram obtidas em acordo com as hipótese previstas em lei? Se as informações pessoais foram coletadas de terceiros, o titular dos dados consentiu que essas informações sejam compartilhadas e usadas por você, nos casos em que a legislação permite?
- Quais processos você possui para identificar a origem de uma violação de dados e o procedimento a seguir para neutralizar tal violação? Qual processo você possui para garantir que as salvaguardas sejam continuamente atualizadas em resposta a novos riscos ou deficiências nas salvaguardas previamente implementadas? Quais processos você possui para evitar a recorrência de uma violação de dados?
Feitas todas essas perguntas, se não houver resposta claríssima para qualquer delas, isso significa que seus sistemas de compliance não estão adequados à LGPD e sua organização precisa COM URGÊNCIA buscar uma assessoria nessa área, independentente do lugar no mundo onde ela atua.
*Renata Marcheti é professora doutora da USP, advogada e membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.