Em 10 de fevereiro, a Comissão de Ciência e Tecnologia da Assembleia Legislativa da Costa Rica pronunciou-se sobre a Lei de Proteção de Dados Pessoais (LPDP), derivada da Lei nº 8.968 sobre a Proteção das Pessoas no Tratamento de seus Dados Pessoais, aprovada em julho de 2011, e com base nos artigos 23, 24 e 28 da Constituição do país, que concebem os dados dos cidadãos como parte de seu direito à privacidade.
Conforme explicado no Arquivo 23.097, ou seja, o projeto de lei apresentado em maio de 2022 para atualizar o regulamento, essa nova lei surge da necessidade de reformar o marco regulatório por quatro motivos:
- A LPDP foi inspirada na Lei Orgânica de Proteção de Dados Pessoais nº 15/1999 da Espanha.
- A Costa Rica quer aderir à Convenção 108, um tratado de alcance global sobre a proteção de dados pessoais, adequado ao proposto pelo Conselho da Europa para transferências internacionais de dados pessoais.
- O país iniciou seu processo de adesão à Organização para Cooperação e Desenvolvimento Econômico (OCDE), que tem normas fechadas sobre proteção de dados durante transferências internacionais desses dados.
- A regra a ser substituída tinha pouca aplicação no setor público.
Estrutura de base
A LPDP se assemelha a outras leis sobre o mesmo assunto em outros países ao proibir a divulgação, compartilhamento ou uso insensível de dados pessoais como religião, etnia, sexualidade, histórico médico e afiliações políticas, religiosas ou filosóficas. Também estabelece sanções econômicas e outras sanções para os entes (principalmente alguns públicos) que compartilham dados e fixa a figura do consentimento de uso de dados e as regras para sua transferência entre instituições públicas, que agora dependem da Agência de Proteção de Dados dos Habitantes.
A preocupação em melhorar a proteção dos dados dos cidadãos não é nova nem existente em alguns países. Ao contrário, nos últimos anos, impulsionados sobretudo pela economia digital, muitos países estão revisando e melhorando os seus protocolos e regulamentos de proteção de dados pessoais. Trata-se de tornar atraente o investimento digital da Europa, o que também facilitará a exportação de serviços digitais de países estrangeiros para o mercado europeu, conforme indicado no Arquivo 23.097.
Veja também: Como o ChatGPT afeta a propriedade intelectual no Brasil?
Proteção de dados da União Europeia
A União Europeia (UE) tem desempenhado um papel crucial na introdução de leis de proteção de dados desde 1995, quando emitiu, em uma diretiva, a primeira regulamentação de proteção de dados para pessoas físicas, que mais tarde se tornou o Regulamento Geral de Proteção de Dados (RGPD), em abrill de 2016, que rege a União Europeia e os países que compõem o Espaço Económico Europeu (EEE). O RGPD é então a referência global neste assunto e o exemplo que a Costa Rica deve seguir para a renovação de seus regulamentos.
Por enquanto, a Costa Rica é considerada pela UE como um país com “autoridade e lei independente”, mas não como um país “adequado” ou “parcialmente adequado”, como indicou María Lucía Alvarado, gerente sênior de Direito da EY.
Os únicos países latino-americanos que cumprem todas as normas europeias nesta matéria são a Argentina e a Guiana Francesa (por ser território francês), enquanto "os demaispaíses da região não têm nenhum tipo de regulamentação em matéria de proteção de dados, apesar do fato de que este é um dos aspectos mais relevantes que devem ser tratados no âmbito do país para proporcionar maior proteção aos seus cidadãos”, aponta a advogada.
A proteção de dados está se tornando uma necessidade global
É lógico pensar que a adaptação das regulamentações em vários países ou o aumento das discussões sobre o assunto são um efeito dominó causado pelas exigências europeias e pela necessidade de criar ecossistemas seguros para clientes e empreendedores digitais. Também é lógico pensar que esta é uma tendência inevitável.
É o que considera Alvarado, que garante que os legisladores “não podem continuar adiando a criação dessas leis em países onde não há, nem as reformas em países onde há, mas precisam de ajustes; e como um efeito dominó, deveriam ser incluídos em todos os países latino-americanos.” É obrigatório que as nações atualizem seus sistemas de proteção de dados, para “ter uma visão mais ampla sobre o assunto, proteger as informações de cada cidadão e contribuir globalmente com o uso responsável da tecnologia”.
A adequação das leis em nosso continente é regida pelos padrões mínimos de proteção, “portanto, tudo parece indicar que existe a intenção de desenvolver e atualizar a legislação existente sobre proteção de dados pessoais pelos países da América Latina”, afirma Diego Fernández, sócio da área de PI, Tecnologia da Informação e Privacidade da Marval, O'Farrell & Mairal.
Mas quais são esses padrões mínimos de proteção? Na Argentina, são os estabelecidos pela Lei de Proteção de Dados Pessoais (LPDP), que obriga os responsáveis pelo tratamento de dados a ter o consentimento dos titulares dos dados pessoais, explicar aos titulares dos dados como e para que serve a coleta de seus dados, registrar qualquer banco de dados que contenha dados pessoais perante o Cadastro Nacional de Bancos de Dados, garantir a confidencialidade dos dados pessoais para evitar a sua adulteração, perda, consulta ou tratamento não autorizado e garantir aos titulares o direito de rever, retificar, atualizar ou eliminar os seus dados.
Leia também: Tatuagens de autor: é direito do tatuador ou do tatuado?
Da mesma forma, a LPDP prevê que todo o tratamento de dados pessoais deve obedecer aos princípios da minimização, legalidade, lealdade e transparência, limitação da finalidade, exatidão e limitação do prazo de conservação.
No México, esses níveis mínimos de proteção são resguardados pelos princípios de legalidade (os dados não devem ser coletados por meios enganosos ou fraudulentos), consentimento (a recolha de dados está sujeita ao consentimento do seu titular), informações (quem armazena os dados deve descrever o tratamento a que serão submetidos), qualidade (os dados devem ser precisos, completos, relevantes, corretos e atualizados), propósito (eles só podem ser usados para o que foi dito para serem usados), lealdade, proporcionalidade (os dados são utilizados apenas para os fins para os quais foram obtidos) e responsabilidade. Esses princípios são cobertos pela Lei Geral de Proteção de Dados Pessoais em Posse de Sujeitos Obrigados, de 2017.
Esta é a teoria, mas na prática “esses princípios teóricos de pouco servem quando os responsáveis pelo tratamento dos dados não os aplicam. Assim, enquanto não forem reforçados os mecanismos dos reguladores para verificar o cumprimento da normativa aplicável, existe o risco latente de que os dados pessoais recolhidos pelas pessoas singulares, na qualidade de responsáveis pelo tratamento, não sejam devidamente protegidos e possam ser violados por terceiros ou utilizados para fins para os quais não foram consentidos”, explica Elián Ávila, associada sênior da área de Proteção de Dados de Mijares, Angoitia, Cortés y Fuentes.
Tanto o México como a Argentina são signatários da Convenção 108, razão pela qual, assim como a Costa Rica, comprometeram-se a fazer as reformas necessárias em sua legislação para cumprir os requisitos da Convenção.
O caso da Argentina e os avanços continentais
O que torna a Argentina pioneira na proteção de dados pessoais na América Latina e, portanto, um exemplo a ser seguido pelos países vizinhos, é não só ter sido a primeira nação a estabelecer protocolos de proteção de dados pessoais, por meio do artigo 43 da Constituição Federal, a Lei nº 25.326 da LPDP, seu Decreto Normativo nº 1.558/2001 e as normas complementares emanadas da Agência de Acesso à Informação Pública, mas também por ter firmado e adequado suas práticas à Convenção 108 e depois ao Protocolo que modifica o Convênio 108, comumente conhecido como Convênio 108+, aprovado pela Lei nº 27.699.Isso permitiu à CE reconhecer o país austral como aquele que oferece proteção adequada para a transferência internacional de dados pessoais.
Sugestão: O que muda com o processo de registro autoral online?
Mas, embora as práticas argentinas tenham se mostrado corretas, Fernández lembra que, para o continente ajustar sua legislação, não deve levar em conta os modelos europeus como ideais, ou os seus em qualquer caso, mas, sem perder de vista a experiência e o desenvolvimento da UE na matéria, atender às necessidades e contextos específicos de cada país latino-americano.
De opinião semelhante é Iara Peixoto Melo, sócia de Proteção de Dados e Direito Digital do Chenut Oliveira Santiago Advogados, que afirma que, embora a Europa seja um dos continentes mais avançados em termos de proteção de dados e muitas legislações nacionais busquem se adequar às suas exigências, “copiar a legislação de um lugar e aplicá-la em outro não é o ideal. É preciso considerar as peculiaridades de cada país e sua legislação”, mas, como a UE lida com o tema da proteção de dados pessoais há muitos anos, “inspirar-se em sua experiência pode ser muito benéfico para a América Latina”.
Algumas nações estão avançando no caminho certo, como é o caso de Brasil, Equador e Uruguai, que possuem leis que refletem os princípios e garantias do Regulamento Europeu de Proteção de Dados Pessoais, enquanto Bolívia, Chile, Costa Rica e Paraguai discutem projetos de lei tanto para regulamentar a proteção de dados quanto para atualizar o quadro regulamentar existente.
A adoção de medidas de cibersegurança em muitos países da América Latina é outro avanço que o advogado argentino destaca. “O aumento dos ataques cibernéticos nos últimos tempos fez com que países como Peru e México priorizassem o desenvolvimento de um marco regulatório em cibersegurança robusta e atualizada”, aponta, lembrando que houve um fortalecimento das autoridades de controle de proteção de dados. Um caso é o da Colômbia, onde têm aumentado significativamente as sanções impostas por violações à Lei Orgânica de Proteção de Dados n.º 1581 e se espera que este ano a Superintendência da Indústria e Comércio nomeie o novo Superintendente Delegado para a Proteção de Dados Pessoais.
“Não podemos garantir que todos os dados pessoais estejam efetivamente seguros na América Latina, mas acho que podemos considerar que o cenário melhorou muito nos últimos anos”, acrescenta o advogado brasileiro, que destaca que, graças à adoção de melhores medidas de proteção, muitas empresas em todo o país atualizaram suas políticas de privacidade, implementaram compilação de consentimento e avisos de privacidade.
No caso do Brasil, houve "avanços significativos" com a criação da Autoridade Nacional de Proteção de Dados (ANPD), o Marco Civil da Internet (lei 12.965/2014), a Lei de Acesso à Informação (Lei 12.527/ 2011) e a entrada em vigor da Lei Geral de Proteção de Dados (LGPD, muito semelhante ao RGPD). Com isso, diz Peixoto Melo, "acredito que em breve o Brasil estará em condições de ser considerado um país seguro para a transferência internacional de dados pessoais aos olhos da União Europeia", até porque a ANPD tem sido muito atuante e tem publicado diversos materiais com o objetivo de orientar a população. “Acho que os próximos anos serão essenciais para a consolidação da LGPD e das práticas de proteção de dados pessoais no Brasil, mas considero que o cenário brasileiro é positivo”, prevê.
Add new comment