COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD - Em três partes

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD - Em três partes

sexta-feira, 2 de julho de 2021

Atualizado às 07:35

Quando falamos em Proteção de Dados impossível não pensar na disrupção que está tomando conta do mercado mundial, no que diz respeito à Digital Transformation.  É um tópico que permeia todos os aspectos da vida humana hoje e, por incrível que pareça, a pandemia da Covid veio para deixar isso ainda mais evidente, com a maior utilização das plataformas de comunicação, o teletrabalho (sem falar da máquina substituindo o homem no trabalho), mercado e marketing online, consultas e até cirurgias e exames médicos à distância, sistema bancário online e "paralelo", sistemas de reconhecimento facial, guerras via equipamentos automatizados ou controlados à distância etc... enfim, com o controle e a troca de informações, virtualmente.  E o mercado ainda precisa evoluir quanto à responsabilidade e governança em matéria de proteção de dados pessoais.  Aliás, hoje há uma grande discussão sobre a base da questão... os gestores acham que isso é um problema não técnico, mas negocial e os cientistas da computação dizem: "não, não é um problema de gestão, mas sim um problema de tecnologia".  Já a área do Direito e a perspectiva que aplicamos compreende que é um problema do negócio mas reconhece que tem um fundo tecnológico intrínseco, aproximando as duas visões anteriores.

Vivemos tempos interessantes.

Lembro-me que, em 2008, Nokia era a companhia de telefone dominante no mundo. Hoje praticamente desapareceu.  BlackBerry, a mesma coisa. No passado, companhias de US$ 150 milhões não desapareciam em 5 anos... ou 10.  Isso nos faz entender que a transformação digital e a disrupção que traz são radicais vez que os negócios que não se adaptam ou que falham nas suas estratégias acabam por ficar "fora do futuro".  E o passo das mudanças não esperam o arranjo do desacerto.  A propagação dessas mudanças é excitante e, ao mesmo tempo, preocupante.  Se por um lado, pode-se lançar uma nova moeda em 5 minutos (literalmente), por outro lado temos, com a Internet das Coisas ("IoT") uma infinidade de equipamentos, como nossos telefones, que estão conectados e interconectados, gerando uma incrível  quantidade de dados como nunca se viu antes, dados estes que trazem enormes oportunidades mas que, as empresas precisam controlar, cujos processos são flexíveis, que são dinâmicos per si e que podem ser objeto de mudanças pelo próprio usuário de forma rápida, o que torna o gerenciamento deles incrivelmente difícil, fazendo com que a segurança cibernética ("Cybersecurity") passe a ser ao mesmo tempo, um desafio enorme e uma interessante oportunidade.

E quando pensamos em inteligência artificial ("AI ou Artificial Intelligence") ou Machine Learning ("ML") certamente a velocidade é algo que sobrepassa nossa capacidade humana de lidar com muitos aspectos do mercado sendo um deles, certamente, o controle da legalidade e retidão dessas mudanças tecnológicas e dos dados que são, através delas, manipulados. A Cybersecurity, portanto, passa a ser um componente quase existencial e certamente essencial das empresas nos dias de hoje; e o "quase" só está aqui porque no Brasil, ainda é possível se criar um CNPJ sem a utilização dos sistemas eletrônicos, o que em muitos países já não é possível vez que todo o processo é informatizado.

Enquanto o custo para os ataques cibernéticos caiu para quase zero, o custo com a segurança continua crescendo dada vez mais. Assim, o preço dos serviços que ameaçam a segurança é bem baixo, o que pode estimular os incidentes de segurança com os dados pessoais.1 Os hackers hoje podem estar em qualquer lugar, são organizados em "empresas" muito bem remuneradas, operam em escala global, com produtos em vários mercados e só visam lucro, sem se importar com qualquer outro aspecto da vida humana.

Existem fontes não tradicionais de se encontrar talentos, inclusive para serviços de contra segurança cibernética. E "dados" de pessoas, empresas e governos têm se tornado cada vez mais um asset com valor financeiro imensurável e fungível.

Com tanta facilidade "para o crime" cibernético, as legislações mundiais evoluíram numa tentativa, ainda que não bem-sucedida (ainda), de impedir tais ataques ou usos indevidos de dados e tecnologias.

Do ponto de vista de dados pessoais de pessoas físicas, a Comunidade Europeia saiu na frente, ao editar o General Data Protection Regulation que protege os dados privados de cidadãos e residentes da European Union, independentemente de qual empresa esteja utilizando tais dados, ou onde tais dados estejam sendo tratados.

Os Estados Unidos têm centenas de leis de proteção de dados e/ou segurança de dados que protegem a captação, manutenção ou guarda segura, o descarte e o uso de dados pessoais coletados de seus residentes, principalmente no que diz respeito à segurança dos números de identidade dos americanos (Social Security Numbers), sendo que algumas dessas leis aplicam apenas aos órgãos públicos, outras apenas aos privados e outras ainda, a ambos. Claro que todos prefeririam lidar com uma legislação nacional e única, ainda por vir. Com isso em mente e avaliando os regramentos existentes, os cientistas e legal players viram a California criar a primeira lei geral de proteção de dados mais ampla que todas as demais e que, hoje serve de referência a Democratas e Republicanos que tentam elaborar e fazer passar uma lei nacional geral. 

O California Consumer Privacy Act foi instituído em junho de 2018 e passou a viger em 1º de janeiro de 2020.

Outra legislação de escopo e abrangência geral é a Protection Of Personal Information Act ("POPIA") da África do Sul.

E por fim, temos aqui no Brasil a Lei Geral de Proteção de Dados.

A intenção neste artigo é fazer uma brevíssima comparação entre esses quatro regramentos e seu compliance nos países ou regiões que abrangem. 

Num quadro comparativo simples, temos o seguinte:

 

GDPR

CCPA

POPIA

LGPD

ABRANGÊNCIA

Global

No estado e globalmente para os residentes do estado

Restrito a organizações que são baseadas ou que processam dados na África do Sul

Geral

TEMPO MÁXIMO PARA RESPOSTA AO INTERESSADO  (Data Subject Access Request)

Dentro de um mês

45 dias, podendo ser estendido a, no máximo, 90 dias

Em prazo razoável

Max. 15 dias

DATA PROTECTION OFICER

Obrigatório para órgãos governamentais e/ou públicos e companhias que processam dados pessoais em larga escala

Não é exigido

Obrigatório sem exigência de alguém dedicado integralmente a essa função

Obrigatório pessoa dedicada e indicada especificamente para isso

PRAZO PARA COMUNICAR VIOLAÇÃO

Dentro de 72 horas

Não há um prazo geral, mas o Estado da Califórnia exige respostas a demandas de consumidores em prazo máximo de 72 horas

Assim que possível

Em um prazo razoável (tendo sido regulado pela ANPD o prazo de até 2 dias úteis do conhecimento do incidente)

VALOR DE PENALIDADE EM CASO DE VIOLAÇÃO

Max de 4% do faturamento anual global ou ?20 milhões, o que for maior

US$ 7500 por cada violação individual, para demandas pessoais US$750 por incidente

R10 milhões de multa ou/e 10 anos de prisão a depender do caso

2% do faturamento anual da empresa, limitado a R$ 50 milhões

Continuaremos, no próximo periódico, abordando legislação europeia, na Parte II deste artigo e, na sequência, trataremos da legislação da África do Sul e do Brasil, na Parte III e última. 

Renata Marcheti é professora doutora da USP. Advogada e membro fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.

__________

*GDPR - General Data Protection Regulation - A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 paçou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021.

**CCPA - California Consumer Privacy Act - CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021.

***POPIA - Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020. 

 

****LGPD - Lei Geral de Proteção de Dados - LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil.

1 MIT Digital Transformation Course - Professional Education - M6.