Por Alvaro de Carvalho Pinto Pupo
Mestrando em Direito Civil na Pontifícia Universidade Católica de São Paulo, com ênfase em Privacidade e Proteção de Dados. Associado Sênior na BSH Law
De 2013 a 2016, a humanidade produziu mais dados do que em toda a nossa história até 2013[1]. Ainda assim, a geração anual de dados em termos globais aumentará dez vezes mais nos próximos quatro anos[2]. Big data e analytics representam uma oportunidade para aproveitar esta mudança. As empresas já estão entendendo isso: o investimento nesses campos pode quase duplicar no mesmo período[3] e a computação em nuvem estará sempre presente[4]. Com base em projeções, é possível dizer que até 2020 a maioria das empresas usará analytics e nuvem. Você e sua empresa devem considerar como melhor usar essas opções e se preparar para esse momento, para não serem responsabilizados por violações da privacidade ou uso indevido de dados pessoais
Quem são os interessados: controlador e processador
Mesmo se você estiver contratando alguém para processar dados em seu nome, a maioria dos regulamentos, como o GDPR europeu[5], indicam que o controlador é responsável por qualquer violação cometida pelo processador. O controlador é a pessoa responsável pela determinação do propósito e dos meios de processamento de dados. Em outras palavras, se uma empresa solicita que outro forneça dados sobre potenciais consumidores, a empresa solicitante é o controlador e é responsável pelas violações incorridas pelo processador. Assim, é muito importante que o controlador tenha certeza de que o processador está respeitando todos os regulamentos aplicáveis. Mas determinar quais são esses regulamentos nem sempre é fácil.
O controlador (aquele que solicita o processamento de dados) pode ser considerado responsável pelos atos do processador (a empresa que efetivamente processa os dados e apresenta os resultados
Como os dados em si não são um objeto físico, nem exigem um suporte físico para existir, pode estar em muitos lugares ao mesmo tempo; pode ser movido facilmente e não pode ser protegido da mesma forma que você protege um prédio, por exemplo. Como resultado, leis e regulamentos de mais de uma jurisdição podem ser aplicados na mesma operação de processamento de dados. Para determinar a legislação aplicável, você deve determinar:
(i) onde o titular dos dados – pessoa a quem se refere a informação – está localizada;
(ii) onde os dados estão sendo processados; e
(iii) onde os dados estão sendo armazenados.
Tendo todas essas informações à mão, você deve revisar cuidadosamente a legislação aplicável nesses locais. Por exemplo, a Argentina, o Uruguai e o Chile consideram o armazenamento de dados uma atividade de processamento e, por esse motivo, suas leis possuem uma aplicação muito mais ampla que abrange não apenas o processamento em si (como a mineração de dados e analytics), mas também o simples armazenamento de dados. Enquanto isso, cada legislação de proteção de dados pessoais do México, Peru e Colômbia aplica-se a qualquer processamento de dados que ocorra nesses países, mas não se aplica aos dados que são meramente armazenados lá.
Como um vislumbre das diferentes leis e regulamentos que podem se aplicar à atividade de processamento de dados da sua empresa, abaixo você pode encontrar uma tabela de comparação que resume as principais diferenças entre certas legislações[6].
Uma vez que as leis aplicáveis estejam mapeadas, é essencial que sua empresa verifique se o processador está em conformidade com todas as obrigações e requisitos com base nesse mapeamento. Sua empresa também deve determinar se os requisitos legais são suficientes para proteger os dados com base nas melhores práticas do mercado e na evolução da tecnologia. Em alguns casos, a legislação local não especifica os requisitos técnicos para proteção de dados pessoais. No Brasil, por exemplo, não existe essa especificação. No entanto, os tribunais podem impor sanções às empresas que não fornecem a proteção adequada aos dados pessoais ou não comprovem a origem dos dados processados[8].
No cenário atual em que diferentes leis e regulamentos ainda estão em consolidação em todo o mundo, o melhor curso de ação para qualquer pessoa que esteja lidando com dados pessoais é realizar uma due diligence para garantir que você ou sua empresa estejam em conformidade com todos os requisitos legais existentes no processamento de dados, além da identificação e uso das melhores práticas de mercado e tecnologia disponível para proteção de dados pessoais.
Artigo publicado originalmente em julho de 2017
[1] Como foi apresentado pela Forbes em 2015
[2] De acordo com o relatório da EMC que pode ser encontrado aqui.
[3] International Data Corporation (IDC) um fornecedor global de inteligência de mercado, serviços de assessoria e eventos para mercados de tecnologia de informação, telecomunicações e tecnologia de consumo.
[4] Como observado no relatório da Gartner que pode ser encontrado aqui, mais de cinquenta por cento das ofertas da ITO até 2020 envolverão a computação em nuvem.
[5] Tanto a diretiva 95/46/EC e a nova regulação (EU) 2016/679.
[6] A comparação destina-se apenas a informar algumas das diferenças que podem ocorrer dependendo da legislação aplicável e da atividade de processamento de dados. A legislação analisada foi escolhida de acordo com os próprios critérios de relevância e similaridade do autor do texto. Mesmo nos locais selecionados, existem outras leis específicas para certos tipos de dados não sujeitos a esta análise, em particular nos EUA. Você deve confirmar com um especialista local se a referida legislação é aplicável à sua empresa e se existe outra legislação aplicável.
[7] Levando em consideração o projeto de lei 5,275/2016, que foi discutido mais amplamente no Brasil.
[8] Conforme observado no Brasil, no processo 0805175-58.2015.4.05.8400, perante a 1º Vara Federal do Rio Grande do Norte. Embora o Brasil não tenha nenhuma legislação específica sobre proteção de dados pessoais, a empresa Top Documents LLC foi processada por apresentar dados pessoais em seu site sem demonstrar que os dados foram obtidos com o consentimento do titular das informações. Como resultado, o acesso ao site da empresa foi suspenso. O processo ainda está pendente de decisão final. Mas o site é inacessível.
BSH Blawg 