*Nathalia Soares
O Regulamento Geral Sobre a Proteção de Dados – RGPD (ou General Data Protection Regulation – GDPR) é um dispositivo do Direito Europeu que versa sobre a proteção dos dados pessoais dos cidadãos e moradores da União Europeia e Espaço Econômico Europeu. Foi aprovado em 15 de abril de 2016 e, após período de transição de dois anos, entrou em vigor em 25 de maio de 2018, substituindo a Diretiva de Proteção de Dados Pessoais de 1995 (95/46/CE). O RGPD objetiva dar aos cidadãos e residentes formas de controlar seus dados pessoais, além de unificar as regulamentações acerca deste tema.
Sabe-se que em 2012 a União Europeia foi o bloco que tomou a vanguarda e iniciou a discussão sobre a proteção de dados, que viria a ser o RGPD, e que este Regulamento se tornou referência para as demais leis de proteção de dados pessoais de outros países, inclusive a do Brasil.
No Brasil, a Lei Geral de Proteção aos Dados – LGPD (Lei nº 13.709/2018) foi promulgada em 14 de agosto de 2018. Seu advento é fruto de discussões internas acerca de incidentes ocorridos que envolvem proteção de dados, como, por exemplo, a Lei Carolina Dieckmann (Lei nº 12.737/2012), que criminaliza a obtenção e uso indevido de dados pessoais obtidos por meio de aparelhos eletrônicos.
Em 2013, aconteceu o que ficou conhecido como “escândalo Edward Snowden” sobre exposição de dados pessoais. Snowden era técnico da National Security Agency (NSA) e da CIA, agências de segurança e de espionagem americanas, respectivamente, e revelou esquemas de espionagens e roubo de dados por parte dos norte-americanos contra os próprios americanos, países como o Brasil e sua presidente à época, e representações da União Europeia. Este fato acelerou a discussão e implantação do Marco Civil da Internet no Brasil (Lei n° 12.965/2014), que traz princípios, garantias, direitos e deveres para o uso da internet no Brasil, assegurando aos usuários, por exemplo, a inviolabilidade e sigilo do fluxo de suas comunicações pela internet e comunicações privadas armazenadas, salvo por ordem judicial.
Em 2015 foi noticiado que a Cambridge Analytica recolhia, por meio do Facebook, dados pessoalmente identificáveis desde 2014. Estes dados foram utilizados para influenciar opiniões de eleitores em vários países. O caso ganhou maior notoriedade em 2018 e aqueceu ainda mais as discussões a respeito da necessidade da proteção e privacidade dos dados.
No Brasil, em 2019, a Lei 13.853/2019 prorrogou a entrada em vigor da LGPD por mais seis meses, ou seja, em 14 de agosto de 2018. Porém, foi aprovada a Lei 14.010/2020 definindo em seu artigo 20 que as sanções administrativas previstas na LGPD entrariam em vigor apenas em agosto de 2021.
RGPD X LGPD
Ambas se aplicam a qualquer empresa ou pessoa que trate dados pessoais dentro de suas jurisdições, sendo a RGPD dentro da União Europeia e a LGPD no território brasileiro.
A definição de dado pessoal – constante no artigo 4º da RGPD e no artigo 5º da LGPD – é semelhante e se refere às informações relacionadas ou referentes a uma pessoa física identificada ou identificável.
Os princípios de Tratamento e privacidade da RGDP são nove, a saber: Licitude, Lealdade, Transparência, Limitação das finalidades, Minimização dos dados, Exatidão, Limitação da conservação, Integridade e confiabilidade, e Responsabilidade. Já na LGPD são dez, sendo eles: Finalidade, Adequação, Necessidade, Livre acesso, Qualidade dos dados, Transparência, Segurança, Prevenção, Não discriminação e Responsabilização. Ademais, as Bases Legais para Tratamento na RGPD são seis e na LGPD são dez.
No que tange a relação entre o Controlador de Dados e o Operador de Dados, a RGDP estabelece a exigência de um contrato entre Controlador e o Operador de Dados que explicite o tratamento dos dados, ao passo que a LGPD requer somente que o Operador execute o tratamento dos dados conforme orientação do Controlador, sem a exigência do referido contrato.
Nas Transferências Internacionais de Dados Pessoais, a RGPD impõe restrições à transferência de dados pessoais para países terceiros, de modo que se fazem necessários acordos e ajustes específicos para tal compartilhamento. Já na LGPD também há a imposição de restrições, mas a Autoridade Nacional de Dados (ANPD) ainda fica responsável por estabelecer regras de transferências.
Sobre o Registro de Tratamentos de Dados, a RGDP exige o registro de tratamento de dados pessoais e ainda especifica as informações sujeitas à manutenção de registros, ao passo que a LGPD apenas exige registro de tratamento dos dados pessoais.
No que tange a Avaliação de Impacto sobre a Proteção de Dados, a RGPD exige que o Controlador de Dados realize uma Avaliação de Impacto para mensurar os riscos, além de detalhar quando requer esta avaliação e o que exatamente ela deve cobrir. A LGPD exige que o Controlador de Dados realize uma Avaliação de Impacto para estimar os riscos de certas atividades de tratamento. Contudo, deixou a cargo da ANPD determinar quando essa avaliação é necessária.
Quanto ao Cargo de DPO ou Data Protection Officer, a RGPD exige que o Controlador e o Operador de dados pessoais nomeiem um Encarregado de Dados (DPO). A RGPD explicita quando os DPOs não são necessários. A LGPD exige que o Controlador de Dados pessoais nomeie um Encarregado de Dados (DPO).
No que concerne à Segurança e Violações de Dados, a RGPD exige que o Controlador de Dados implemente medidas de segurança de dados. A RGPD normatiza as medidas e determina que a comunicação com a autoridade de dados ocorra em até 72 horas em caso de evento, dispensando essa comunicação de acordo com a severidade do evento. Igualmente, a LGPD exige que o Controlador de Dados implemente medidas de segurança de dados. Contudo, a LGPD determina que a ANPD emitirá orientações e deverá ser informada, bem como o titular do dado, em caso de ocorrência de evento.
Em relação às Penalidades e Sanções, ambas estabelecem multas, sanções e processos civis a controladores e operadores, de acordo com o tipo de evento e severidade.
CONCLUSÃO
É notável que a RGPD é um dispositivo mais restritivo e com mais detalhes, visto que possui maiores especificações e exigências, destacando-se, ainda, pelas responsabilidades desempenhadas pelo Data Protection Officer, que nessa possui seu papel mais bem definido. Cabe ressaltar que é razoável esta ser mais avançada, uma vez que se trata de um regulamento mais amadurecido e com maior tempo de discussão que a LGPD.
Outro ponto relevante é a necessidade ou não da confecção da Avaliação de Riscos – também conhecida como Relatório de Impacto de Proteção de Dados – que nada mais é que uma análise de riscos de segurança de dados pessoais, ou seja, analisa-se a atividade de uma determinada empresa ou pessoa e os riscos de exposições de dados inerentes a essa atividade. Posteriormente, avalia-se o sistema de proteção existente para verificar se há ou não vulnerabilidades que propiciem que os eventos de riscos identificados venham a se concretizar.
Contudo, a avaliação de riscos vem gerando preocupação e confusão no âmbito da LGPD, principalmente para micro e pequenas empresas, devido aos custos envolvidos em tal tipo de trabalho técnico. Nesse ponto, o GDPR define de maneira muito mais clara quando esta avaliação deve ser realizada.
Ademais, a LGPD deixou muitos espaços para a ANPD monitorar, o que acaba demonstrando que o referido instrumento não possui autossuficiência, necessitando de um órgão de fiscalização para verificação do cumprimento da lei.
Por fim, evidencia-se que o debate é muito recente e com certeza necessitará de maior amadurecimento e adaptação, que só virão com o tempo e muita dedicação ao tema.
— Nathalia Soares é Cyber Security Consultant Trainee na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
