O Brasil ainda discute propostas para uma legislação específica que discipline a proteção de dados pessoais. Mas o tema já foi reconhecido como relevante por diversos outros países, que estabeleceram leis ou normas voltadas a regular a coleta e o processamento de informações, tema que vem ganhando visibilidade em todo o mundo. No debate internacional sobre o tema, os olhos estão voltados à Europa. Neste mês, entra em vigência a Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês). A nova norma foi aprovada em 2016, atualizando uma diretiva sobre o assunto de 1995. A nova regulação terá impactos não apenas no continente, mas será usada como referência nas relações comerciais de países europeus com outras nações, inclusive com o Brasil.
A GDPR se aplica a qualquer tratamento de dados de pessoas residindo na União Europeia, mesmo no caso de empresas sediadas em outros países (como a americana Apple ou a sul-coreana Samsung, por exemplo). Isso inclui firmas que oferecem bens e serviços na região ou monitoram comportamento de seus cidadãos. Para o tratamento dos dados, é necessário obter consentimento do titular, em um pedido que deve ser apresentado de forma clara e acessível, garantindo também o direito ao usuário de revogá-lo. A norma estabelece uma série de direitos aos cidadãos: acessar as informações que uma empresa tenha, corrigi-las e negar que elas sejam objeto de tratamento.
A lei incluiu um item polêmico, denominado “direito ao esquecimento”: a possibilidade de o usuário solicitar a retirada de suas informações de uma plataforma (como o Google), devendo a empresa avaliar se o pleito não fere o interesse público. A norma também previu o direito de a pessoa não submeter suas informações a decisões automatizadas, como as linhas do tempo do Facebook ou a recomendação de vídeos do YouTube.
Exigências
As empresas são submetidas a diversas exigências. Precisam notificar usuários em caso de um vazamento que implique risco a eles. Devem informar se há dados sendo processados, como e para qual finalidade. E caso instadas ficam obrigadas a fornecer os dados do usuário em um formato que outras máquinas podem ler, instituindo uma espécie de “portabilidade de dados”. Também têm de adotar medidas tecnológicas para garantir a proteção dos dados dos usuários.
A regulação estabelece penalidades como multas de até 20 milhões de euros ou de 4% do faturamento anual da empresa punida (o que for maior). Os valores a serem pagos variam de acordo com a gravidade da infração. Isso vale tanto para quem processa os dados quanto para quem controla, incluindo armazenamentos feitos na “nuvem” (serviços que permitem acesso remoto a informações por meio da conexão à internet).
A nova regulação europeia pode influenciar a situação brasileira. Em sessão temática sobre o tema realizada em abril no Senado Federal, o representante da União Europeia no evento afirmou que as normas para proteção de dados serão consideradas pelo bloco para o estabelecimento de acordos comerciais e políticos.
Estados Unidos
Os Estados Unidos também são referência mundial. Não pela existência de uma lei geral, mas pela legislação fragmentada. A Lei de Privacidade de Comunicação Eletrônica (ECPA, na sigla em inglês), de 1986, proíbe a interceptação de mensagens telefônicas ou eletrônicas (como e-mails) e garante a segurança de informações tanto durante a transmissão quanto no armazenamento, inclusive em computadores. A norma estabelece também mecanismos distintos de acesso a determinadas informações, separando o que pode ser obtido pelos provedores e o que depende de ordem judicial ou de mandado de busca. Ao longo dos anos, ela foi sendo atualizada para abranger também comunicações digitais.
A Lei de Proteção da Privacidade de Crianças (COPPA, na sigla em inglês) institui regras para responsáveis por websites e serviços online visando a promoção da privacidade de crianças e adolescentes de até 13 anos na internet. Entre as obrigações estabelecidas pela norma está a de disponibilizar de forma clara sua política de privacidade para este público. A coleta de informações de meninos e meninas, salvo exceções, fica condicionada à obtenção de consentimento dos pais que também podem corrigir ou solicitar a exclusão dos registros. Pela regra, websites e serviços online ficam proibidos de repassar informações coletadas de crianças a terceiros, devendo mantê-las somente enquanto forem necessárias no processo de tratamento.
Há também normas setoriais, como a Lei de Portabilidade e Transparência de Seguros de Saúde (HIPAA, na sigla em inglês), de 1996. A regulação trouxe obrigações como notificar órgãos públicos (secretarias de saúde) e até veículos de imprensa em caso de vazamentos. Também estabelece padrões de segurança para os dados médicos, a proibição do uso ou repasse de dados a não ser se houver consentimento e salvo em exceções como nas atividades da operadora (como plano de saúde) ou em pesquisas médicas.
A Lei de Privacidade (Privacy Act) fixa as diretrizes para a coleta, armazenamento, uso e disseminação de dados por agências federais. Segundo a norma, esses órgãos precisam divulgar a existência de registros públicos de informações. A disponibilização de dados de indivíduos por essas instituições é condicionada ao consentimento por escrito, a não ser em 12 tipos de situações excepcionais, como a necessidade de uso por um servidor para o exercício de seu dever, para fins estatísticos sem a identificação da pessoa, em caso de solicitação do Congresso e por ordem judicial.
América Latina
Diversos países têm legislações de proteção de dados na América Latina, como Chile, Argentina, Uruguai e Colômbia. A lei chilena, de 1999, limita o uso dos dados ao propósito informado no ato da coleta, com a exceção de registros tornados públicos. Ela garante aos titulares o direito a acessar as informações de posse de alguma empresa, corrigi-la ou eliminá-la se o armazenamento não respeitar as exigências da Lei ou o tratamento for concluído.
A lei prevê a responsabilização de empresas controladoras de dados em caso de prejuízos aos titulares, com sanções definidas pela Justiça. O texto estabelece algumas diferenças para o Poder Público, limitando o tratamento de dados ao previsto na lei e impedindo divulgação de informações sobre condenações depois de prescreverem.
Na Argentina, a Lei de Proteção de Dados Pessoais foi aprovada em 2000. Ela regula bases de dados públicas e privadas, estabelecendo como princípio o uso limitado à finalidade para a qual foram obtidos. O tratamento está condicionado ao consentimento do titular, que deve ser livre, expresso e informado. Essa autorização não é exigida nos casos de bases públicas, no cumprimento de uma obrigação legal, no exercício de funções próprias do Estado e quando as informações se limitam a nome, identidade, profissão, data de nascimento e endereço.
As empresas são obrigadas a atualizar dados incompletos e errados. Não podem manter registros após o término da atividade para a qual foram coletados. Os entes responsáveis pelo tratamento também devem garantir o acesso dos titulares às suas informações. Mas é permitido o repasse de dados a terceiros desde que cumpram um “interesse legítimo” do ente que os estão cedendo. Já órgãos públicos têm regras especiais, como o direito de negar o acesso, a correção e a supressão das informações. Também há menos obrigações no caso de segurança nacional ou segurança pública.