O que são as Leis Internacionais de Privacidade e como cumpri-las?

Na era da economia digital, questões envolvendo privacidade de dados preocupa muitas organizações atualmente. Não é possível viver no século 21 sem ter ouvido falar em privacidade e proteção de dados pessoais. Na verdade, a privacidade se tornou tão valiosa que os países estão promulgando leis de privacidade de dados para lidar com a crescente preocupação com a privacidade dos indivíduos.

Por que a privacidade é importante?

A privacidade tornou-se inevitavelmente importante desde o aumento do uso e da confiança na Internet e no comércio eletrônico. Dados pessoais frequentemente são referidos como o “novo petróleo” na era digital. Para regular como as empresas devem coletar, usar e armazenar dados pessoais de indivíduos, os países promulgaram leis de privacidade de dados. A natureza da Internet e tudo a acompnha é conhecida por não ter limites definidos e, por isso, ela afeta o modo como as leis de privacidade são elaboradas e transformadas em leis. Mesmo que não haja uma lei internacional de privacidade que se aplique independentemente do território ou região, existem leis que têm características de lei internacional de privacidade que podem ser aplicadas extraterritorialmente.

Quais são as leis internacionais de privacidade?

Não existe um instrumento legal que trate da privacidade das pessoas em escala internacional. Em vez disso, existem leis de privacidade territorial que são aplicáveis ​​em determinados países ou regiões. Essas leis fornecem uma estrutura legal sobre como coletar, usar e armazenar dados pessoais de pessoas físicas.

Os exemplos mais proeminentes de leis de privacidade incluem a Lei Geral de Proteção de Dados Pessoais (LGPD), o Regulamento Geral de Proteção de Dados da UE (GDPR), a Diretiva de Privacidade Eletrônica da UE (EU ePrivacy Directive), a Lei de Privacidade do Consumidor da Califórnia (CCPA), a Lei de Proteção de Privacidade Online da Califórnia (CalOPPA) e a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA).

Essas leis, como regra geral, são aplicáveis ​​dentro dos limites onde são adotadas. No entanto, algumas leis de privacidade de dados também incluem disposições especiais que tornam possível aplicar as leis internacionalmente (“extraterritorialidade”). Por exemplo, para que o GDPR seja aplicado, um controlador ou processador de dados não precisa apenas residir na UE. Se esse controlador ou processador oferecer bens ou serviços ou monitorar o comportamento online de indivíduos na UE, essa organização deve cumprir o GDPR, apesar de estar estabelecida fora da UE.

Como cumprir as leis internacionais de privacidade?

Conforme mencionado acima, não existe um único instrumento jurídico aplicável internacionalmente. No entanto, uma empresa que opera internacionalmente ficar sujeita a mais de uma lei de privacidade. Por exemplo, uma loja de comércio eletrônico com sede no Canadá, que vende bens ou serviços para consumidores na UE e no Brasil, terá que cumprir o GDPR e LGPD, uma vez que essas leis estabelecem disposições de aplicabilidade extraterritorial. Como a organização está sediada no Canadá, ela também será vinculada pelo PIPEDA. Além disso, se a mesma empresa de comércio eletrônico oferece serviços para residentes da Califórnia e, por exemplo, lida com dados pessoais de mais de 50.000 residentes da Califórnia, ela também terá que considerar a conformidade com a CCPA.

Como pode ser visto no exemplo acima, as empresas que fazem negócios internacionalmente provavelmente terão que cumprir diferentes leis de privacidade aplicáveis ​​nos territórios onde fazem negócios.

Quais são leis de privacidade de dados mais importantes?

Não existe a lei de privacidade de dados mais importante. No entanto, alguns fatores podem tornar certas leis de privacidade de dados mais importantes em comparação com outras. Esses fatores podem incluir o nível de avanço tecnológico, o número total de residentes, a popularidade do comércio eletrônico, o número total de usuários da Internet, etc. Todos contribuem para a importância de uma lei de privacidade sobre as outras.

Devido aos fatores mencionados, as leis de privacidade mundiais, como GDPR, ePrivacy, CCPA, PIPEDA, LGPD, tornaram-se relativamente mais importantes na era da economia digital. É provável que a lista se expanda à medida que outras economias importantes adotem leis abrangentes de privacidade de dados. Por exemplo, a lei de privacidade de dados da China está definida para entrar em vigor a partir de setembro de 2021, o que teria um grande impacto na maioria das organizações.

Quem faz cumprir as leis mundiais de privacidade?

Não existe uma autoridade única que aplique as leis de privacidade em todo o mundo. Normalmente a autoridade encarregada de fazer cumprir certas leis de privacidade de dados em um determinado território é, também, a principal autoridade de fiscalização. Basicamente, isso significa que uma autoridade supervisora ​​em um determinado território só poderá fazer cumprir a lei de privacidade aplicável apenas nesse território, sujeita a certas limitações, como a aplicação extraterritorial de leis de privacidade de dados.

A autoridade supervisora ​​que aplica a lei de privacidade de dados em uma jurisdição específica terá ferramentas como a realização de inspeções e o poder de exigir que as organizações demonstrem sua conformidade com uma lei de privacidade específica, impondo multas administrativas e outras penalidades.

Pode haver cooperação mútua entre as autoridades de supervisão de difrentes países, a fim de tornar a proteção da privacidade dos indivíduos mais eficiente. Este tipo de cooperação mútua permitiria levar à justiça as violações de privacidade que ocorrem internacionalmente (ou seja, quando o titular dos dados está em um país e a organização que detém seus dados que foi hackeada como resultado ou medidas de segurança insuficientes está em outro país) .

O que é GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei de privacidade de dados em toda a UE que visa fortalecer os direitos fundamentais dos indivíduos na era digital em relação à proteção de suas informações pessoais e privacidade.

Embora o GDPR já tenha sido aprovado e esteja em vigor na Europa, ele tem implicações mais amplas. O seu alcance vai além da UE e as empresas que oferecem bens ou serviços aos residentes da UE para monitorizar o seu comportamento online também devem cumpri-lo, independentemente do local de estabelecimento.

O GDPR concede aos titulares de dados certos direitos, como direito de acesso aos dados, direito de apagamento (também conhecido como direito de ser esquecido), direito de retificação de dados, direito de não estar sujeito à tomada de decisão automatizada, etc. Esses direitos garantem que os titulares dos dados têm mais controle sobre seus dados pessoais e como eles são usados ​​pelas organizações.

O GDPR estabelece penalidades pesadas para o não cumprimento. Existe um sistema de penalidade de 2 níveis estabelecido com o regulamento. Assim, para violações menos graves a multa administrativa é igual a 2% da receita anual global ou 10 milhões de euros, o que for maior, ou para violações mais graves, 4% da receita anual global ou 20 milhões de euros, o que for maior.

Para obter uma visão mais detalhada do GDPR, consulte nosso artigo sobre o GDPR aqui.

O que é CCPA?

O California Consumer Privacy Act, ou CCPA, é um ato legislativo estadual nos EUA que visa regular como as empresas em todo o mundo têm permissão para lidar com as informações pessoais dos residentes da Califórnia.

Ao contrário do GDPR, o CCPA se aplica apenas a organizações com fins lucrativos. Se uma empresa faz negócios na Califórnia e coleta informações pessoais de pelo menos um residente da Califórnia, desde que os seguintes limites sejam atendidos:

A empresa deve ter (i) receita bruta anual de mais de US $ 25 milhões, (ii) lidar anualmente com informações pessoais de pelo menos 50.000 consumidores, residências ou dispositivos da Califórnia, ou (iii) obter mais de 50% de sua receita anual com vendas pessoais em formação.

Para obter uma visão mais detalhada do CCPA, você pode consultar nosso artigo sobre o CCPA aqui.

O que é LGPD?

LGPD é a lei geral de proteção de dados do Brasil. É a lei de privacidade de dados mais abrangente da história do Brasil e foi promulgada em resposta ao GDPR. A LGPD impõe várias obrigações às empresas, além de conceder direitos aos usuários da Internet.

LGPD se aplica a empresas e indivíduos que processam dados pessoais, onde: (i) o processamento de dados pessoais foi realizado no Brasil, (ii) a atividade de processamento é realizada em qualquer lugar do mundo com a finalidade de oferecer ou fornecer bens ou serviços ou o tratamento de dados de pessoas físicas localizadas no Brasil, ou (iii) os dados pessoais tenham sido coletados no Brasil.

A legislação brasileira também prevê graves penalidades administrativas para o descumprimento. Dessa forma, as empresas podem receber multa administrativa de até 2% do faturamento anual, limitada a 50 milhões de reais.

Para saber mais sobre o LGPD, você pode consultar nosso artigo escrito sobre o assunto aqui.

Soluções de Conformidade com a Secure Privacy

Na Secure Privacy, desenvolvemos ferramentas para que você cumpra as leis de proteção de dados, como GDPR, CCPA e LGPD. Entre em contato conosco se quiser saber mais sobre como cumprir as leis internacionais de privacidade de dados e se proteger ao fazer negócios online. Teremos o prazer de indicar o caminho certo com nossa ampla gama de soluções.