1. Contexto internacional das leis de proteção de dados
A proteção de dados é um tema muito discutido atualmente, sendo que desde 1948, com a Declaração Universal dos Direitos Humanos, a ONU reconhece a importância do direito à privacidade. Contudo, historicamente, tal temática demorou a ser abordada em normas estatais, de modo que a primeira legislação de proteção de dados foi aprovada apenas em 1970, na Alemanha, sendo conhecida como Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse).
Com a criação do bloco da União Europeia, viu-se a necessidade de estabelecer regras direcionadas aos Estados-membros, resultando no surgimento da Diretiva 95/46/CE em 1995. Sobre o assunto, Patrícia Peck Pinheiro explica em sua obra “Proteção de Dados Pessoais: Comentários à Lei n° 13.709/2018”:
O motivo que inspirou o surgimento de regulamentações de proteção de dados pessoais de forma mais consistente e consolidada a partir dos anos 1990 está diretamente relacionado ao próprio desenvolvimento do modelo de negócios da economia digital, que passou a ter uma dependência muito maior dos fluxos internacionais de bases de dados, especialmente os relacionados às pessoas, viabilizados pelos avanços tecnológicos e pela globalização.
A diretiva focava na uniformização das leis, trazendo definições importantes de termos como “dados pessoais”, “controlador”, “destinatário” etc; e apresentando os direitos básicos do titular dos dados. Além disso, a principal regra trazida baseava-se na proibição de fornecimento de informações a países que não se adequassem à diretiva.
Entretanto, com os sucessivos avanços tecnológicos e o aumento de vazamento de dados, especialmente em relação à privacidade digital, tornou-se essencial a criação de um novo projeto da União Europeia que se adequasse à atualidade. Assim, em 2016, tem-se a aprovação da GDPR, isto é, General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados).
2. A GDPR e as mudanças mundiais na proteção de dados
Inicialmente, é importante entender a principal diferença entre a Diretiva de 1995 e a GDPR. Basicamente, uma diretiva apresenta objetivos gerais, podendo ser alterada e revisada pelos Estados-membros em forma de leis nacionais. Por outro lado, a GDPR é considerada um regulamento, tendo um caráter vinculativo e não permitindo alterações.
A GDPR começou a ser desenvolvida em 2012, foi aprovada em 2016 e entrou em vigor a partir de 2018, reconhecendo a proteção de dados como direito fundamental do titular. Os principais direitos apresentados incluem o de retificação, portabilidade, oposição, transparência e acesso aos dados. Quanto às obrigações dos responsáveis, estes devem processar apenas os dados necessários e conter um registro com as finalidades e métodos da coleta.
Sobre a transferência de dados para fora da União Europeia, o regulamento afirma que a Comissão Europeia decide quais Estados possuem proteção e segurança suficientes, de acordo com a análise das legislações nacionais e internacionais aplicadas no país. Assim, caso o país apresente falhas e inadequações às regras da GDPR, a transferência de dados será proibida.
3. Alguns casos de descumprimento da GDPR
Para compreender a gravidade do descumprimento da GDPR, ressalta-se algumas multas aplicadas pela União Europeia contra grandes empresas que cometeram violação de dados. Em 2019, o Google foi multado pela França no valor de 50 milhões de euros, devido à falta de transparência. Recentemente, em julho de 2021, a Amazon recebeu uma multa recorde, equivalente a 746 milhões de euros. Em seguida, a segunda maior multa (no valor de 225 milhões de euros) pertence ao Whatsapp, o qual teve que ajustar a sua política de privacidade.
Lembre-se: o vazamento e a violação de dados são infrações sérias que podem levar a condenações pecuniárias.
Por fim, deve-se lembrar que o tema da proteção de dados e a importância da GDPR ganharam destaque pouco antes da sua entrada em vigor, com o caso da Cambridge Analytica. Resumidamente, em 2018 foi divulgada a notícia de que milhões de dados de usuários do Facebook foram vendidos à empresa Cambridge Analytica. Tal empresa tinha o objetivo de influenciar os votos nas eleições dos Estados Unidos e no plebiscito do Brexit. Posteriormente, diversos países, inclusive o Brasil, começaram a criar suas próprias leis internas de proteção de dados, se adequando à GDPR para evitar multas e escândalos.
Para conhecer mais casos de vazamento de dados, acesse aqui.
4. A proteção de dados no cenário brasileiro
Embora internacionalmente as leis de proteção de dados tenham iniciado-se na década de 70, o Brasil apresentou uma resposta tardia à temática. Em 1990, com o Código de Defesa do Consumidor, o país começou a se preocupar com a privacidade dos consumidores, determinando o sigilo dos dados dos titulares.
Já a partir de 2011, tem-se o surgimento de leis como a Lei do Cadastro Positivo (Lei nº 12.414/2011), que regula os bancos de dados para histórico de crédito e estabelece os direitos dos titulares. Também tem-se a Lei de Acesso à Informação (Lei nº 12.527/2011), a qual reforça a importância do tratamento devido às informações pessoais. Por último, destaca-se a Lei Carolina Dieckmann (Lei nº 12.737/2012), que tipifica delitos virtuais, inclusive a divulgação de dados.
Posteriormente, em 2013, surge o Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014), tendo um papel importante na história da proteção de dados do Brasil. Tal lei apresenta expressamente o direito dos usuários de terem suas informações pessoais mantidas em sigilo, exceto em caso de anuência do titular. Contudo, suas disposições ainda configuravam-se insuficientes quando comparadas com as legislações internacionais.
5. A origem da LGPD
Como visto anteriormente, a criação da GDPR e o caso Cambridge Analytica fizeram com que muitos países desenvolvessem suas próprias legislações para assegurar a proteção de dados. E devido às lacunas presentes no Marco Civil da Internet, tornou-se necessária a formulação de uma lei atualizada e completa: a Lei Geral de Proteção de Dados (LGPD).
Influenciada pela GDPR, a LGPD apresenta direitos semelhantes aos presentes na legislação europeia, reconhecendo os de portabilidade, transparência/informação e revogação da anuência, dentre outros.
Embora a lei tenha entrado em vigor em 2020, as penalidades só começaram a ser aplicadas a partir de agosto de 2021, podendo ser desde advertências até eliminação dos dados pessoais. A fiscalização e aplicação de penalidades são de responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), criada em 2019 pela Lei nº 13.853/19. Ou seja, assim como a GDPR, a LGPD pode aplicar sanções em caso de descumprimento das disposições na lei.
Para compreender melhor a LGPD, leia o artigo: “Lei de Proteção de Dados (LGPD): saiba suas principais disposições”.
Segundo relatório elaborado pelo escritório Opice Blum, Bruno e Vainzof Advogados Associados, em 2021, a Justiça brasileira chegou a condenar empresas no valor de 600 a 100.000 reais, sendo que as infrações em relação a dados sensíveis são as que apresentam os valores mais altos.
Leia o relatório na íntegra aqui.
Assim, diante dos riscos advindos do descumprimento da LGPD, e considerando que as penalidades já estão sendo aplicadas atualmente, é fundamental que sua empresa se adeque devidamente.
Além disso, quando as atividades da empresa envolvem questões internacionais, a importância da proteção de dados aumenta, assim como a gravidade das sanções em caso de inadequação. Nesse contexto, percebe-se a importância de uma assessoria jurídica que forneça serviços de qualidade, garantindo uma maior segurança e proteção de dados a sua empresa.
Ficou com dúvidas sobre a proteção de dados e a adequação da sua empresa à LGPD?