A Lei Geral de Proteção de Dados (LGPD) entra em vigor em agosto de 2020; enquanto isso, na União Europeia, a General Data Protection Regulation (GDPR), que passou a valer há pouco mais de um ano, já vem mostrando efeitos práticos no que tange à forma com que as empresas coletam e utilizam as informações dos usuários.
Mas essas duas leis são apenas duas das diversas regulamentações existentes pelo mundo que visam o fortalecimento das práticas de segurança e privacidade de dados. Trata-se, afinal, de uma preocupação crescente tanto por parte dos órgãos reguladores quanto por parte das empresas e dos próprios cidadãos. Sendo assim, implementar regras fortes e específicas sobre o tema torna-se uma questão urgente e fundamental.
Para construir suas diretrizes de proteção de dados, cada país se inspira nos que fizeram isso antes — seja nas medidas que se provaram eficazes, seja naquelas que se mostraram infrutíferas. A GDPR se tornou a principal referência nesse sentido, motivando muitas nações a reformularem ou trabalharem em regras similares às da lei europeia.
Pensando nisso, conheça as principais leis de proteção de dados pelo mundo e como elas contribuem para o cenário de privacidade e segurança de informações pessoais.
O que você vai conferir:
Alemanha
Em muitos aspectos, a Alemanha é um dos países líderes na regulamentação sobre privacidade e proteção de dados. A Lei Federal de Proteção de Dados de 2017 (Bundesdatenschutzgesetz – BDSG) segue os preceitos da GDPR e veio para substituir a lei de mesmo nome que havia sido instituída em 2001.
A BDSG trata dos direitos e deveres de órgãos públicos e privados para as atividades de coleta e processamento de dados, que têm o dever de contratar um profissional responsável por privacidade de dados e de determinar regras claras para avaliações de score de crédito, por exemplo. Além disso, há diretrizes específicas para como as empresas devem e podem fazer tratamentos de dados de seus funcionários.
Argentina
A Lei de Proteção de Dados da Argentina (Lei nº 25.326) estabelece que a coleta de dados só pode ser feita mediante o consentimento do usuário. A lei, que se aplica a qualquer pessoa ou entidade que lida com dados pessoais no país, diz ainda que o titular dos dados (o indivíduo a quem as informações se referem) tem o direito de acessar, corrigir, deletar e solicitar a exclusão de seus dados.
Porém, para deixar as regras de proteção de dados do país mais alinhadas às tendências mundiais estabelecidas pela GDPR, a Argentina vem trabalhando em uma nova lei sobre o tema, que terá a legislação atual como base e ainda irá mais além — determinando, por exemplo, uma abordagem mais completa e obrigações mais rígidas.
Austrália
Na Austrália, a lei máxima sobre segurança e proteção de dados é a Lei de Privacidade de 1988, que governa tanto as instituições do setor público quanto as do setor privado. A lei foi construída com base nos 13 Princípios Australianos de Privacidade (APPs, ou Australian Privacy Principles), que discorrem sobre temas como uso e divulgação de dados; direitos do titular dos dados; manutenção da qualidade dos dados; e transparência e anonimidade.
A lei é complementada pelas regulamentações estaduais de privacidade e pelas leis de proteção de dados voltadas para setores específicos — estabelecidas de acordo com o uso que cada mercado faz de dados pessoais.
Brasil
No Brasil, é claro, temos a Lei Geral de Proteção de Dados — que, apesar de entrar em vigor apenas em agosto de 2020, já vem influenciando mudanças significativas na forma com que as empresas coletam e tratam dados. O direito à privacidade também já havia sido estabelecido pelo Artigo 5 da Constituição Federal brasileira e pelo Código de Proteção ao Consumidor, instituído em 1990.
Outra importante legislação sobre o tema no país é o Marco Civil da Internet (Lei n° 12.965), sancionado em 2014. Voltada inteiramente para o uso da internet no país, o Marco Civil traz princípios, garantias, direitos e deveres dos usuários da rede, além de diretrizes sobre como o Estado deve atuar. Ao lado da privacidade, alguns dos outros principais temas abordados são neutralidade da rede, retenção de dados e funções sociais da internet, como liberdade de expressão, transmissão de conhecimento e responsabilidade civil.
Canadá
O país conta com um total de 28 regulamentações — entre leis provinciais e federais — que tratam das questões de privacidade e proteção de dados. A legislação nacional referente a isso é a PIPEDA (Personal Information Protection and Electronic Documents Act, ou “Lei de Proteção de Informações Pessoais e Documentos Eletrônicos”).
Válida para todas as províncias do Canadá, a PIPEDA apresenta diretrizes referentes à coleta, tratamento e divulgação de dados pessoais coletados por empresas durante o exercício de suas atividades comerciais, assim como para transferências internacionais e interregionais de dados pessoais. Como complemento a ela, há legislações similares aplicáveis em Alberta, Colúmbia Britânica e Quebec.
Estabelecida no ano 2000, a PIPEDA opera sobre dez princípios de boas práticas a serem seguidos pelas empresas (bastante similares às bases da LGPD brasileira):
- as empresas são responsáveis pelos dados pessoais que coletaram e que usam;
- é preciso identificar claramente os propósitos por trás de uma coleta de dados;
- é preciso ter o consentimento do titular para coleta, uso e compartilhamento de seus dados, salvo exceções previstas por lei;
- podem ser coletados somente os dados necessários dentro do propósito informado;
- os dados solicitados podem ser usados, divulgados e mantidos pela empresa apenas da maneira informada e enquanto cumprirem os propósitos;
- as informações pessoais devem ser verídicas e mantidas atualizadas;
- os dados devem ser protegidos sob medidas adequadas de acordo com a sensibilidade das informações;
- a organização precisa fornecer amplamente informações claras e detalhadas sobre suas políticas e práticas de segurança e proteção de dados;
- o titular dos dados tem o direito de receber informações sobre a existência de tratamentos de suas informações, assim como questionar se seus dados são verídicos e estão completos;
- o titular dos dados tem o direito de questionar as organizações que tratam e coletam suas informações pessoais, dentro dos nove princípios anteriores.
China
A mais recente regulamentação chinesa sobre privacidade é a lei Tecnologia da Informação: Especificação Sobre Segurança de Informações Pessoais (GB/T 35273-2017). Conhecida também apenas como “O Padrão”, a regulamentação traz diretrizes sobre transparência, direitos do titular e consentimento.
Antes da entrada em vigência dessa lei, em 2017, o conjunto de regras chinesas sobre o tema era formado por diferentes regulamentações, como a Lei Civil da República Popular da China (de 2017), a Lei de Cibersegurança (2017), a Lei Criminal (2015), a Decisão de Fortalecer a Proteção das Redes de Informações (2012), o Padrão Nacional de Segurança da Tecnologia da Informação (2013) e a Lei de Proteção ao Consumidor (2014).
Colômbia
Na Colômbia, a questão da privacidade e proteção de dados é regida por quatro regulamentações: o Decreto 1.377/13, a Lei 1.581/12, a Lei 1.273/09 e a Lei 1.266/08.
O Decreto 1.377 fala sobre consentimento do titular, transferências internacionais de dados e políticas de processamento de dados pessoais. Enquanto isso, a Lei 1.581 estabelece o direito de cada indivíduo de determinar como seus dados serão coletados, armazenados, usados, processados e transferidos — além de regulamentar os direitos à privacidade na coleta e processamento de dados pessoais.
A Lei 1.273, por sua vez, traz diretrizes sobre crimes cibernéticos e estabelece que roubar, vender ou comprar dados pessoais é uma atividade criminosa. Finalmente, a Lei 1.266 fala sobre a privacidade de dados no que tange a dados comerciais e financeiros.
Dinamarca
Na Dinamarca, as principais regras sobre o tema estão na Lei Dinamarquesa de Proteção de Dados, de 2018. Anteriormente, a questão era regida pela Lei Dinamarquesa de Processamento de Dados Pessoais, estabelecido em 2000.
A lei mais recente serve como complemento e reforço da GDPR — a regulação europeia exige que os países da União Europeia atualizem ou reinforcem suas próprias leis para que estejam alinhadas às regras da GDPR. Dessa forma, a lei dinamarquesa trata de processamento de dados, divulgação de informações pessoais, consentimento, transferência de dados etc., além de estabelecer multas para casos de violação.
Estados Unidos
Os Estados Unidos não têm uma única lei que governe a privacidade de dados, e sim diversas legislações específicas para diferentes setores ou vigentes em determinado estado. Há cerca de 20 leis voltadas para um único setor ou indústria em âmbito nacional, além de outras 100 legislações estaduais de privacidade — o estado da Califórnia é o “lar” de 25 delas.
A principal lei californiana de privacidade é a Lei da Califórnia de Privacidade do Consumidor (CCPA), que garante aos consumidores quatro direitos básicos sobre seus dados pessoais: o direito de serem notificados, de terem acesso, de poderem optar (ou não) por uma coleta de dados e de terem acesso igualitário a serviços. Todas as empresas que coletam e/ou tratam dados de cidadãos californianos precisam seguir a CCPA, e não apenas aquelas com sede no estado.
Nacionalmente falando, as mais importantes regulamentações são a Lei de Privacidade de 1974, a Lei de Proteção à Privacidade de 1980, a Lei Gramm-Leach-Bliley de 1999, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde de 1999 e a Lei de Relatório de Crédito Justo de 2018. Além disso, os Estados Unidos têm alguns acordos especiais de proteção à privacidade com a União Europeia e a Suíça.
Filipinas
Em 2016, o país implementou a Lei Nacional nº 10.173, também conhecida como Lei de Privacidade de Dados. Redigida quatro anos antes, em 2012, essa é a principal legislação sobre o tema nas Filipinas.
A lei determina que, para que possa ser feita a coleta dos dados de um indivíduo, ele tem o direito de saber quem você/sua empresa é, o propósito e finalidade da coleta, como e por quem os dados serão processados e quem terá acesso a eles.
Finlândia
A Finlândia recentemente substituiu sua Lei de Dados Pessoais de 1999 pela Lei de Proteção de DAdos de 2018 (HE 9/2018 VP), visando alcançar um maior alinhamento com a GDPR.
Contudo, o país ainda tem outras regulamentações sobre proteção de dados específicas para setores do mercado e da indústria, como a Lei de Proteção da Privacidade dos Trabalhadores (Lei 759 de 2004) e o Código de Sociedade da Informação (917/2014), voltado para a confidencialidade de mensagens, cookies e telecomunicações.
França
A França é outro exemplo de país da União Europeia que atualizou suas normas de proteção de dados para seguir mais explicitamente a GDPR: o país trocou sua Lei de Proteção de Dados (Lei 78-17) pela Lei 2 de Proteção de Dados (2016-1321).
A nova regulamentação estabelece as regras para os agentes de tratamento, determinando também que quaisquer tratamentos de dados devem ser feitos para fins de objetivos específicos e que apenas os dados fundamentais para tais propósitos podem ser coletados.
Além disso, a segunda versão da lei firma o direito do titular de saber quem é o agente de tratamento e qual é o propósito da coleta e do tratamento.
Grécia
A Grécia encontra-se atualmente em processo de elaboração de uma nova lei de proteção de dados, que já nascerá alinhada com a GDPR. Enquanto isso, a regulamentação vigente é a Lei 2.472 de 1997, que traz regras para controladores e operadores e visa garantir os princípios da transparência, do tratamento de dados com propósito e da responsabilização dos agentes.
O país conta também com duas regulamentações adicionais sobre o tema: o Diretivo de Privacidade Eletrônica (Lei 3.471 de 2006), com normas complementares à lei principal, e o Diretivo de Retenção de Dados (Lei 3.917 de 2011), que trata do armazenamento de dados.
Índia
A Índia ainda não tem uma única lei central sobre proteção e privacidade de dados, e sim diversas leis e normativas que se complementam entre si. Porém, o país publicou a Lei de Proteção de Dados Pessoais em dezembro de 2019, atualmente em análise por uma comissão parlamentar.
Enquanto isso, as mais importantes são a Lei de Tecnologia da Informação (Lei 21 de 2000) e a lista de Regras de Tecnologia da Informação de 2011. Ambas trazem regras específicas sobre como proteger dados pessoais e outros requerimentos para garantir a privacidade de dados. Há, ainda, conjuntos de regras voltados especificamente para a coleta e o tratamento de dados pessoais nos setores bancário e de saúde.
Indonésia
O conjunto de regras sobre proteção de dados na Indonésia se constitui pela Lei de Informação e Transações Eletrônicas (Lei 11 de 2018) e sua respectiva emenda, a Lei 19 de 2016, e pelas Regulações nº 82 de 2012 e nº 20 de 2016 (Regulação MOCI).
Assim como a Índia, a Indonésia também vem trabalhando em uma lei que unifique suas regras sobre o tema: a Lei de Proteção à Privacidade de Dados Pessoais, baseada em grande parte na GDPR. O objetivo é que o texto da lei foque em consentimento, notificação de vazamentos de dados e exclusão de dados, entre outros pontos relacionados.
Islândia
Em 2018, a Islândia substituiu sua antiga Lei de Processamento de Dados Pessoais (Lei 77 de 2000) pela Lei de Proteção de Dados e Processamento de Dados Pessoais (Lei 90 de 2018) — também com o objetivo de adequar suas regras às da GDPR.
A lei de 2018 traz diretrizes sobre como obter consentimento do titular, quando e como informar o titular sobre tratamentos realizados com seus dados, como armazenar dados devidamente e como fazer transferências internacionais de dados.
Japão
Até 2003, a privacidade de dados era regida pela Lei de Proteção de Informações Pessoais (Lei 57 de 2003). Até que, em 2017, o Japão colocou em prática a chamada Emenda APPI de 2017, que traz preceitos básicos para a proteção de dados pessoais.
A Emenda APPI traz regras sobre compartilhamento de dados com terceiros, manutenção de informações em bancos de dados, anonimização de dados e vazamentos, estabelecendo diretrizes para proteger os titulares. Por causa da nova legislação, o Japão foi incluído na “lista branca” da União Europeia de países com leis adequadas de proteção de dados.
Malásia
A Malásia colocou sua primeira legislação sobre o tema, a Lei de Proteção de Dados Pessoais, em vigor no ano de 2010. Ela é construída sobre sete princípios: Generalidade; Notificação e Escolha; Divulgação; Segurança; Retenção; Integridade de Dados; e Acesso.
Essa Lei nº 709 estabelece que, para que um tratamento de dados seja legítimo e legal, o titular deve receber informações por escrito sobre o propósito da coleta e tratamento, sobre os seus direitos enquanto titular dos dados e sobre quem terá acesso a esses dados.
México
A questão da privacidade de dados no México é regida pela Lei Federal de Proteção de Dados Pessoais em Poder de Particulares — ou seja, coletados e tratados por empresas privadas. A lei foi estabelecida em 2010.
Essas organizações também são governadas pelas diretrizes da lista de Regulamentações da Lei Federal de Proteção de Dados Pessoais em Poder de Particulares, instituída em 2011, pelas Orientações de Notificações de Privacidade de 2013 e pelos Parâmetros de Auto-Regulamentação de 2014.
Para gerenciar todas essas regras, garantir a devida implementação e administrar penalidades, o México conta com o Instituto Federal de Acesso à Informação e Proteção de Dados (IFAI).
Nova Zelândia
A Nova Zelândia controla a privacidade de dados por meio dos 12 Princípios da Privacidade de Informação, estabelecidos em 1993 na Lei de Privacidade do país. Os princípios são focados principalmente em questões como propósito da coleta de dados, formas de armazenamento e acesso, limitações do tratamento e divulgação de dados pessoais.
O país também tem legislações de privacidade voltadas para setores específicos, incluindo crédito, saúde e telecomunicações. Atualmente, circula pelo governo neozelandês a Lei de Privacidade de 2018 — que, quando aprovada, substituirá a legislação de duas décadas atrás. As mudanças mais significativas incluem reporte mandatório sobre vazamentos, notificações de compliance e fortalecimento de transferências internacionais de dados.
Outra diretriz importante da nova legislação é o direito do titular de fazer uma reclamação sobre a legitimidade de uma coleta ou tratamento de dados, que subsequentemente será investigada.
Para deixar sua empresa pronta para as tendências na área de proteção de dados pessoais que estão por vir ou que já se mostram presentes na área, é fundamental contar com fornecedores capazes de atender a todas as regulamentações que atingem seu setor. A idwall acompanha as mudanças regulatórias do mercado e garante o compliance de acordo com as suas regras de negócio. Entre em contato pelo formulário abaixo para saber mais sobre nossas soluções de Background Check, biometria facial e leitura automatizada de documentos:
