Como está regulada a proteção de dados na América Latina e qual a influência do RGPD?
O regulamento geral de proteção de dados (RGPD) que a partir de hoje, é de cumprimento obrigatório, é uma norma complexa que transcende o âmbito europeu. A nova norma afetará todas as empresas, independentemente de sua origem, sempre que gerenciem dados de cidadãos que se encontrem na União Europeia, mesmo que a empresa em questão não tenha presença física ou legal em território europeu.
Na América Latina, onde também existe uma ampla presença de empresas europeias, é previsível que as mudanças no regulamento tragam consigo novas medidas na legislação relacionada com a proteção de dados. No artigo seguinte, resumimos a atual regulamentação no Brasil, Chile, Colômbia, México e Peru, e como o RGPD pode influenciar o desenvolvimento legislativo desses países.
- Como a proteção de dados está regulada?
- Qual a influência do RGPD?
Brasil
1. Não há, no Brasil, um regulamento efetivo e detalhado sobre a proteção de dados pessoais, mas tão somente princípios gerais de inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, bem como sigilo das comunicações, previstos tanto na Constituição Federal como no Código Civil Brasileiro, além de normas esparsas que regulam de forma muito ampla a matéria.
Esse é o caso da Lei nº 12.965/2014, conhecida como “Marco Civil da Internet”, a qual estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e inclui normas gerais para autorização para coleta, uso, armazenamento e tratamento de dados pessoais, bem como do Código de Defesa do Consumidor (Lei nº 8.078/1990), que contém disposições escassas sobre o direito de acesso do consumidor às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados.
2. Além da necessária adequação às novas regras do RGPD por empresas brasileiras que tenham acesso a dados pessoais de pessoas que se encontrem na União Europeia, uma das influências diretas da entrada em vigor do RGPD é que um dos três projetos de lei para tratar especificamente da proteção de dados pessoais (PLS 330/2013), que há anos tramitavam no Congresso Nacional sem qualquer avanços significativo, teve sua tramitação em regime de urgência aprovada na última quarta-feira (23/05/2017), de forma que será votado na próxima sessão deliberativa.
Caso aprovado, o projeto, que estabelece regras específicas para o tratamento de dados pessoais e que pretende ser aplicado inclusive para atividades realizadas por estrangeiros que tenham acesso a dados pessoais de pessoas brasileiras, poderá alterar significativamente e no curto prazo o atual cenário de ausência de regulação específica no país.
Chile
1. No Chile, a proteção de dados pessoais está regulada legalmente desde o ano 1999, por intermédio da lei 19.628 sobre proteção de dados de caráter pessoal. Esta lei regula, em termos gerais, a informação de caráter pessoal por parte de terceiros. A principal obrigação que afeta esses terceiros é que devem contar com uma autorização por escrito de seu titular, mediante prévia comunicação do propósito do armazenamento desses dados, sem serem estabelecidas maiores formalidades ou requisitos. Entretanto, a lei vigente não estabelecia mecanismos adequados de fiscalização nem abrangia o tratamento de informação através de meios digitais, além de outras deficiências. Em atenção a essas limitações, já faz alguns anos que se encontra em avançado trâmite legislativo uma reforma que propõe como elemento central uma Agência de Proteção de Dados Pessoais para velar pelo cumprimento das obrigações legais e sancionar as infrações.
2. O projeto da nova Agência chilena de Proteção de Dados Pessoais, incorporado no atual projeto de lei em tramitação, considerou de maneira explícita a experiência da mesma agência na Espanha. Inspirou-se nessa instituição e nas normas europeias para fixar os elementos centrais do novo marco jurídico com o qual a proteção de dados irá operar no Chile. Por essa razão, a opinião majoritária do mercado é que o Ministério de Economia, órgão responsável pela tramitação do projeto, considerará o RGPD e incluirá modificações ao projeto de lei para estar em sintonia com suas disposições.
Colômbia
1. Na Colômbia, a lei 1581 de 2012 e o decreto 1377 de 2013 regulam a forma pela qual os direitos dos titulares dos dados pessoais devem ser protegidos, bem como as obrigações que nascem para aqueles que coletam e administram os dados. Também, com anterioridade a essas normas, no ano de 2008 foi expedida a lei 1266, mediante a qual regulou-se especialmente a proteção de dados pessoais relacionados com informação creditícia e financeira. Além das normas mencionadas, foi expedido o decreto 886 de 2014, que regulamentou o Registro Nacional de Bancos de Dados, definido como um diretório público de informação que deve ser alimentado pelos sujeitos que coletam os dados pessoais.
2. No âmbito normativo, foram apresentados projetos de lei que pretendem que as normas colombianas tenham o mesmo alcance internacional que o RGPD (Projeto de Lei 89 de 2017 do Senado). O RGPD inclui obrigações que não se encontram reguladas pelo direito colombiano, entre as quais se encontram o direito ao esquecimento, a elaboração de perfis, e a designação de delegados de proteção de dados.
México
1. Com o surgimento das novas tecnologias e da web 3.0, a proteção de dados pessoais desempenha um papel fundamental que é regulado por diferentes sistemas legais no mundo. No México, a lei federal de proteção de dados pessoais em posse dos particulares (vigente desde 6 de julho de 2010) e seu regulamento (em vigor desde 22 de dezembro de 2011) são as principais fontes de direito que, de maneira conjunta, têm como finalidade regular o tratamento legítimo, controlado e informado dos dados pessoais, para garantir a privacidade e o direito da autodeterminação informativa das pessoas.
2. Até o ano de 2016, segundo números oficiais do governo mexicano, a Espanha representava 13,2% do investimento estrangeiro direto, o que equivale a 5.800 empresas aproximadamente. Adicionalmente, o investimento de empresas pertencentes à União Europeia alcançou 33,5% do investimento estrangeiro direto. Muitas dessas empresas estão participadas em mais de 50% ou controladas por empresas europeias que estão obrigadas ao cumprimento da nova regulamentação. Nesse contexto, embora a legislação mexicana não tenha tomado medidas particulares para validar a norma local com relação ao RGPD, será de vital importância a difusão do conteúdo do novo regulamento para garantir sua correta aplicação de forma harmônica com o sistema legal mexicano.
Peru
1. Desde o ano de 2011, o Peru conta com uma regulação específica em matéria de proteção de dados pessoais. A lei 29733 e suas normas regulamentares aprovadas por decreto supremo (003-2013-JUS), proporcionam o marco normativo que regula os direitos e as obrigações aplicáveis ao tratamento de dados pessoais através de dois eixos principais: a proteção e garantia de um adequado exercício dos direitos do titular dos dados pessoais e o cumprimento de obrigações que deverão ser observadas pelas entidades que realizam tratamentos de dados pessoais. Em setembro de 2017, foi aprovada uma reforma que inclui uma nova classificação de descumprimentos e infrações em matéria de proteção de dados pessoais.
2. Atualmente, o grau de cumprimento da legislação em matéria de proteção de dados pessoais é bastante embrionário (a partir disso, é possível explicar-se uma reforma local orientada ao aspecto exclusivamente sancionador). Os novos direitos e obrigações do RGPD exigirão medidas e garantias específicas que, em muitos casos, serão inovadoras para a legislação local.