Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD

Migalhas de Proteção de Dados

Quando falamos em Proteção de Dados impossível não pensar na disrupção que está tomando conta do mercado mundial, no que diz respeito à Digital Transformation. É um tópico que permeia todos os aspectos da vida humana hoje e, por incrível que pareça, a pandemia da Covid veio para deixar isso ainda mais evidente, com a maior utilização das plataformas de comunicação, o teletrabalho (sem falar da máquina substituindo o homem no trabalho), mercado e marketing online, consultas e até cirurgias e exames médicos à distância, sistema bancário online e "paralelo", sistemas de reconhecimento facial, guerras via equipamentos automatizados ou controlados à distância etc... enfim, com o controle e a troca de informações, virtualmente. E o mercado ainda precisa evoluir quanto à responsabilidade e governança em matéria de proteção de dados pessoais. Aliás, hoje há uma grande discussão sobre a base da questão... os gestores acham que isso é um problema não técnico, mas negocial e os cientistas da computação dizem: "não, não é um problema de gestão, mas sim um problema de tecnologia". Já a área do Direito e a perspectiva que aplicamos compreende que é um problema do negócio mas reconhece que tem um fundo tecnológico intrínseco, aproximando as duas visões anteriores.

Vivemos tempos interessantes.

Lembro-me que, em 2008, Nokia era a companhia de telefone dominante no mundo. Hoje praticamente desapareceu. BlackBerry, a mesma coisa. No passado, companhias de US$ 150 milhões não desapareciam em 5 anos... ou 10. Isso nos faz entender que a transformação digital e a disrupção que traz são radicais vez que os negócios que não se adaptam ou que falham nas suas estratégias acabam por ficar "fora do futuro". E o passo das mudanças não esperam o arranjo do desacerto. A propagação dessas mudanças é excitante e, ao mesmo tempo, preocupante. Se por um lado, pode-se lançar uma nova moeda em 5 minutos (literalmente), por outro lado temos, com a Internet das Coisas ("IoT") uma infinidade de equipamentos, como nossos telefones, que estão conectados e interconectados, gerando uma incrível quantidade de dados como nunca se viu antes, dados estes que trazem enormes oportunidades mas que, as empresas precisam controlar, cujos processos são flexíveis, que são dinâmicos per si e que podem ser objeto de mudanças pelo próprio usuário de forma rápida, o que torna o gerenciamento deles incrivelmente difícil, fazendo com que a segurança cibernética ("Cybersecurity") passe a ser ao mesmo tempo, um desafio enorme e uma interessante oportunidade.

E quando pensamos em inteligência artificial ("AI ou Artificial Intelligence") ou Machine Learning ("ML") certamente a velocidade é algo que sobrepassa nossa capacidade humana de lidar com muitos aspectos do mercado sendo um deles, certamente, o controle da legalidade e retidão dessas mudanças tecnológicas e dos dados que são, através delas, manipulados. A Cybersecurity, portanto, passa a ser um componente quase existencial e certamente essencial das empresas nos dias de hoje; e o "quase" só está aqui porque no Brasil, ainda é possível se criar um CNPJ sem a utilização dos sistemas eletrônicos, o que em muitos países já não é possível vez que todo o processo é informatizado.

Enquanto o custo para os ataques cibernéticos caiu para quase zero, o custo com a segurança continua crescendo dada vez mais. Assim, o preço dos serviços que ameaçam a segurança é bem baixo, o que pode estimular os incidentes de segurança com os dados pessoais.¹ Os hackers hoje podem estar em qualquer lugar, são organizados em "empresas" muito bem remuneradas, operam em escala global, com produtos em vários mercados e só visam lucro, sem se importar com qualquer outro aspecto da vida humana.

Existem fontes não tradicionais de se encontrar talentos, inclusive para serviços de contra segurança cibernética. E "dados" de pessoas, empresas e governos têm se tornado cada vez mais um asset com valor financeiro imensurável e fungível.

Com tanta facilidade "para o crime" cibernético, as legislações mundiais evoluíram numa tentativa, ainda que não bem-sucedida (ainda), de impedir tais ataques ou usos indevidos de dados e tecnologias.

Do ponto de vista de dados pessoais de pessoas físicas, a Comunidade Europeia saiu na frente, ao editar o General Data Protection Regulation que protege os dados privados de cidadãos e residentes da European Union, independentemente de qual empresa esteja utilizando tais dados, ou onde tais dados estejam sendo tratados.

Os Estados Unidos têm centenas de leis de proteção de dados e/ou segurança de dados que protegem a captação, manutenção ou guarda segura, o descarte e o uso de dados pessoais coletados de seus residentes, principalmente no que diz respeito à segurança dos números de identidade dos americanos (Social Security Numbers), sendo que algumas dessas leis aplicam apenas aos órgãos públicos, outras apenas aos privados e outras ainda, a ambos. Claro que todos prefeririam lidar com uma legislação nacional e única, ainda por vir. Com isso em mente e avaliando os regramentos existentes, os cientistas e legal players viram a California criar a primeira lei geral de proteção de dados mais ampla que todas as demais e que, hoje serve de referência a Democratas e Republicanos que tentam elaborar e fazer passar uma lei nacional geral.

O California Consumer Privacy Act foi instituído em junho de 2018 e passou a viger em 1º de janeiro de 2020.

Outra legislação de escopo e abrangência geral é a Protection Of Personal Information Act ("POPIA") da África do Sul.

E por fim, temos aqui no Brasil a Lei Geral de Proteção de Dados.

A intenção neste artigo é fazer uma brevíssima comparação entre esses quatro regramentos e seu compliance nos países ou regiões que abrangem.

Num quadro comparativo simples, temos o seguinte:

	GDPR	CCPA	POPIA	LGPD
ABRANGÊNCIA	Global	No estado e globalmente para os residentes do estado	Restrito a organizações que são baseadas ou que processam dados na África do Sul	Geral
TEMPO MÁXIMO PARA RESPOSTA AO INTERESSADO (Data Subject Access Request)	Dentro de um mês	45 dias, podendo ser estendido a, no máximo, 90 dias	Em prazo razoável	Max. 15 dias
DATA PROTECTION OFICER	Obrigatório para órgãos governamentais e/ou públicos e companhias que processam dados pessoais em larga escala	Não é exigido	Obrigatório sem exigência de alguém dedicado integralmente a essa função	Obrigatório pessoa dedicada e indicada especificamente para isso
PRAZO PARA COMUNICAR VIOLAÇÃO	Dentro de 72 horas	Não há um prazo geral, mas o Estado da Califórnia exige respostas a demandas de consumidores em prazo máximo de 72 horas	Assim que possível	Em um prazo razoável (tendo sido regulado pela ANPD o prazo de até 2 dias úteis do conhecimento do incidente)
VALOR DE PENALIDADE EM CASO DE VIOLAÇÃO	Max de 4% do faturamento anual global ou ?20 milhões, o que for maior	US$ 7500 por cada violação individual, para demandas pessoais US$750 por incidente	R10 milhões de multa ou/e 10 anos de prisão a depender do caso	2% do faturamento anual da empresa, limitado a R$ 50 milhões

Continuaremos, no próximo periódico, abordando legislação europeia, na Parte II deste artigo e, na sequência, trataremos da legislação da África do Sul e do Brasil, na Parte III e última.

Renata Marcheti é professora doutora da USP. Advogada e membro fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.

__________

*GDPR - General Data Protection Regulation - A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 paçou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021.

**CCPA - California Consumer Privacy Act - CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021.

***POPIA - Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020.

****LGPD - Lei Geral de Proteção de Dados - LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil.

1 MIT Digital Transformation Course - Professional Education - M6.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de Proteção de Dados

Uma brevíssima comparação entre GDPR, CCPA, POPIA e LGPD - Em três partes