Geekly articles weekly

Proteção de dados pessoais de 3 bilhões de pessoas - semelhanças e diferenças na legislação nos países do BRICS



Em sua reunião de 26 de outubro de 2017, o Conselho de Segurança da Rússia instruiu o Ministério das Telecomunicações e Comunicações com o Ministério das Relações Exteriores da Rússia a iniciar, no âmbito do BRICS (Brasil, Rússia, Índia, China e África do Sul), a discussão sobre a criação de seu próprio “sistema de raiz duplicada”. "servidores de nomes de domínio (DNS), independentes do controle de [organizações internacionais] ICANN, IANA e VeriSign, e capazes de atender às solicitações dos usuários desses países em caso de falhas ou impactos direcionados".

À luz desses eventos, gostaríamos de considerar a questão da consistência das leis dos países do BRICS em questões de proteção de dados. Além disso, focaremos na proteção de dados pessoais: com base em quais leis são baseadas em proteção e quais são as principais desvantagens.

Uma pequena digressão para o básico.

O BRICS é um grupo de cinco países: Brasil, Rússia, Índia, China e República da África do Sul.

Em 9 de julho de 2015, na VII Cúpula do BRICS, realizada em Ufa, foi adotada a Declaração de Ufa. A declaração é volumosa, aborda muitas questões tópicas em todo o mundo, mas abordaremos apenas um ponto em que as relações com as tecnologias da informação e comunicação são declaradas. Assim, o parágrafo 33 da Declaração de Ufa observa:

  • a necessidade de fortalecer a cooperação no campo das TIC, incluindo a Internet
  • a decisão de criar dentro do grupo de trabalho do BRICS sobre cooperação no campo das TIC
  • a necessidade de formar um sistema
  • garantir a confidencialidade e a proteção das informações pessoais do usuário

"Reiteramos a inadmissibilidade do uso das TICs e da Internet para violar direitos humanos e liberdades fundamentais, incluindo o direito à privacidade, e reafirmamos que os direitos que uma pessoa tem fora da Internet também devem ser protegidos nela".

O texto completo da declaração pode ser encontrado aqui .



Destaques da proteção de dados pessoais nos países do BRICS


Proteção contra DP na Federação Russa


Até a presente data, a Federação Russa entre os países do BRIC avançou mais a esse respeito, observamos os principais pontos que foram feitos no âmbito da questão da defesa da DP.

A legislação foi formada no campo da proteção contra DP, que inclui:

  • normas da Constituição (artigos 23, 24);
  • lei especial - Lei Federal da Federação da Rússia, de 27 de julho de 2006, nº 152- “Sobre Dados Pessoais”;
  • normas de leis da indústria;
  • estatutos.

Além disso, foi criado um organismo autorizado especial, cuja atividade garante:

  • o funcionamento efetivo de um sistema centralizado de controle e supervisão sobre a implementação de requisitos legais;
  • consideração de apelações de sujeitos de dados pessoais;
  • manter um registro dos operadores de DP;
  • informações funcionam com cidadãos e operadores de DP.

Deve-se notar também que uma prática uniforme de aplicação da lei está sendo gradualmente formada. No momento, existe um sistema de proteção contra DP que atende aos padrões internacionais na Rússia e está operacional.

Se você não tiver clareza suficiente em relação ao processamento de dados pessoais de acordo com os atos legais regulamentares da Federação Russa e gostaria de ter um entendimento mais completo da lei, recomendamos que você se familiarize com nosso Livro Branco sobre a Lei Federal No. 152 .

Proteção contra DP na China


Tudo é complicado aqui. Não existe uma lei geral especial sobre a proteção da DP. No entanto, vejamos os pontos principais.

A Constituição da RPC garante a proteção da dignidade do indivíduo e o sigilo da correspondência. As provisões para a proteção da DP estão contidas em atos jurídicos separados, agora iremos analisá-los brevemente.

Em 05 de novembro de 2012, foram adotadas as “Diretrizes para a Proteção de Informações Pessoais no Sistema de Informações para Prestação de Serviços Públicos e Comerciais”, nas quais foi dada a seguinte definição:

Dados pessoais - qualquer informação sobre um indivíduo específico que, por si só ou em combinação com outras informações, permita que seja identificada

A gerência estabelece o dever do operador de DP de obter o consentimento do sujeito da DP para processamento e informá-lo sobre a finalidade do processamento, o prazo de validade, as medidas para proteger a DP e assim por diante.

Quanto à localização da DP, somos informados sobre isso no artigo 5.4.5:

Na ausência de um consentimento claro do sujeito da DP, permissão regulatória ou consentimento dos órgãos autorizados, o operador da DP não deve transferir a DP para qualquer pessoa localizada no exterior, incluindo indivíduos residentes no exterior, ou quaisquer organizações e empresas registradas no exterior.

Além disso, os dados pessoais também são mencionados na lei de proteção ao consumidor, adotada em 25 de outubro de 2013:

Artigo 29. Ao coletar e utilizar dados pessoais de indivíduos, os empreendedores devem seguir os princípios de legalidade, validade e necessidade, informar explicitamente sobre a finalidade, métodos e limites da coleta e uso de informações e obter o consentimento do consumidor.

Os empresários são obrigados a tomar medidas técnicas e outras necessárias para garantir a segurança das informações e impedir a divulgação ou vazamento da DP do consumidor.

É aplicada uma multa administrativa grave por não conformidade com a lei.

Além disso, existem vários atos jurídicos que, de uma maneira ou de outra, afetam a proteção dos sujeitos da DP.

  • A Lei da RPC sobre responsabilidade por delitos em 2009, que protege o direito à privacidade e, em particular, prevê a responsabilidade de uma instituição médica pela distribuição da DP sem o consentimento do sujeito da DP.
  • "A decisão de fortalecer a proteção da informação na Internet", adotada pelo Parlamento da China em 28.12.2012
  • “Regulamento sobre telecomunicações e proteção de informações pessoais de usuários da Internet”, adotado em 19 de julho de 2013
  • Em 15 de março de 2015, entrou em vigor a “Responsabilidade pela Violação dos Direitos e Interesses dos Consumidores”, desenvolvida e adotada pela Administração Estatal da Indústria e Comércio da China (SAIC).

O último ato mencionado é de particular interesse no que diz respeito à definição de dados pessoais no contexto da proteção do consumidor. De acordo com as medidas, os seguintes dados estão relacionados à DP do consumidor:

  1. nome
  2. sexo
  3. profissão;
  4. data de nascimento;
  5. número do passaporte;
  6. Morada
  7. informações de contato;
  8. informações sobre renda e propriedade;
  9. informação em saúde;
  10. hábitos de consumo.

Em 1 de junho de 2017, a Lei de Cibersegurança entrou em vigor. A lei de segurança cibernética é a primeira lei consolidada que regula quase todos os problemas nessa área na China. Incluindo, é claro, isso se aplica ao PD.

O armazenamento de dados pessoais e outros dados importantes deve ser fornecido exclusivamente no território da RPC (artigo 37).

A Lei de segurança cibernética confirma as obrigações dos operadores de rede em relação à proteção de informações pessoais, determinadas pela legislação e requisitos regulamentares existentes, incluindo o direito de monitorar a conformidade com o princípio da legalidade, a necessidade e a relevância da coleta e uso de dados pessoais, bem como o direito de monitorar a implementação de “requisitos de informação e recebimento consentimento ”(artigo 41) sobre o uso de dados pessoais apenas para aqueles fins para os quais a pessoa relevante consentiu (artigo 41), o direito de adotar medidas para proteger a segurança dos dados pessoais (artigo 42) e proteger o direito individual de avaliar e corrigir informações pessoais (artigo 43).

Além disso, a Lei de segurança cibernética também inclui algumas novas regras relacionadas à proteção de dados pessoais, incluindo requisitos para notificação de violação de proteção de dados (artigo 42), anonimização de dados como uma exceção aos requisitos para informar e obter consentimento (artigo 42), bem como o direito do indivíduo de exigir dos operadores de rede que alterem ou excluam seus dados pessoais, caso as informações sobre ele sejam errôneas ou sejam usadas para fins inconsistentes com ele (artigo 43).

Os principais problemas de proteção contra DP na China incluem o seguinte:

  • falta de um organismo autorizado para a proteção da DP;
  • falta de uma única lei especial sobre DP;
  • falta de uma única estrutura conceitual (bem, isso também não está indo bem conosco);
  • as regras básicas para proteger a DP estão contidas em atos jurídicos de natureza consultiva (por exemplo, o Guia);
  • falta de aviso prévio sobre o processamento de PD e o registro de operadores envolvidos no processamento de PD.

Proteção contra DP no Brasil


A Constituição brasileira protege a dignidade humana, a privacidade e a privacidade da correspondência. Assim como na China, não há lei geral sobre a proteção da DP e disposições sobre a proteção da DP estão contidas em atos jurídicos separados.

Marco Civil da Internet, de 23.4.2014.:

  • Estabelece os princípios gerais do uso da Internet, os direitos e garantias dos usuários, as obrigações dos provedores e as regras para a prestação de serviços na Internet.
  • A lei contém um grande número de regras relacionadas à proteção de privacidade e dados pessoais.
  • Para processar APs na Internet, você deve obter o consentimento voluntário e informado do usuário.
  • O processamento de PD é permitido apenas para uma finalidade específica, indicada no contrato do usuário ou nas regras de uso dos serviços da Internet

Quanto à localização da DP. Inicialmente, o projeto de lei continha requisitos para o armazenamento de DP de cidadãos brasileiros no estado. Nas edições subsequentes, a disposição foi excluída, mas foi introduzido o direito do Presidente de emitir decretos sobre esse assunto. Na versão final adotada da lei, a questão da localização de dados não é levantada. A exclusão deste requisito da lei foi resultado de lobby de empresas internacionais e dos Estados Unidos.

De particular interesse é a decisão da lei sobre a questão da jurisdição (artigo 11). A regra geral é a seguinte:

É necessário que os provedores de Internet e os provedores de aplicativos da Internet cumpram as leis brasileiras, incluindo a proteção do PD, se pelo menos uma parte da coleta, armazenamento ou processamento do PD ocorrer no território estadual.

Mas existem condições adicionais:

  1. A regra geral se aplica ao PD coletado no Brasil e ao conteúdo das comunicações se pelo menos um dos terminais estiver localizado no Brasil
  2. A regra geral se aplica mesmo quando essas atividades são realizadas por uma entidade legal estrangeira, desde que:
a) uma entidade legal estrangeira presta serviços a um número ilimitado de pessoas no Brasil;
ou
b) pelo menos uma das pessoas pertencentes ao grupo de empresas estrangeiras esteja estabelecida no Brasil.

Proteção de DP no Brasil, os principais problemas:

  • falta de um organismo autorizado para a proteção da DP;
  • falta de uma única lei especial sobre DP;
  • falta de uma definição unificada de dados pessoais;
  • falta de definição de categorias especiais de DP (dados pessoais sensíveis);
  • falta de proteção da DP em certas indústrias e campos, com exceção da Internet;
  • falta de aviso prévio sobre o processamento de PD e o Registro de operadores envolvidos no processamento de PD.

Proteção contra DP na Índia


A seção 21 da Constituição indiana garante a todos o direito à vida e à liberdade pessoal.

Não existe uma lei geral especial sobre a proteção da DP na Índia.

A Lei de Tecnologia da Informação de 2000 contém um artigo especial sobre a proteção de categorias especiais de dados pessoais (artigo 43A). O operador do PD é obrigado a aplicar as medidas necessárias para protegê-lo e é responsável pelos danos causados ​​devido ao vazamento de dados.

Existem “Regras sobre a prática e o procedimento para garantir a segurança de categorias especiais de dados e informações pessoais” adotadas em 2011. De acordo com eles:

Dados pessoais - qualquer informação relacionada a um indivíduo e que, em combinação com outras informações mantidas pelo operador de dados pessoais, possa identificá-lo.

As categorias especiais de DP incluem (parágrafo 3 do Regulamento):

  • senhas
  • informações financeiras (incluindo detalhes da conta bancária e do cartão de crédito);
  • dados de saúde;
  • orientação sexual;
  • dados biométricos.

Localização de categorias especiais de DP. De acordo com a regra 7, a transferência transfronteiriça de DP de cidadãos indianos só pode ser permitida quando for necessário cumprir o contrato entre a entidade legal e o sujeito de PD ou quando o sujeito tiver dado seu consentimento à transferência de dados.

As regras para proteger a confidencialidade e os dados pessoais estão contidas em várias leis do setor na Índia, incluindo as leis de seguros e bancos.

Os principais problemas de proteção contra DP na Índia:

  • falta de um organismo autorizado para a proteção da DP;
  • falta de uma única lei especial sobre DP;
  • falta de aviso prévio sobre o processamento de PD e o Registro de operadores envolvidos no processamento de PD.

Conclusões


Ao contrário da Federação Russa, tanto a legislação quanto a prática de proteger a DP de outros países do BRICS estão atrasadas. Ao mesmo tempo, nos últimos anos em todos os países do BRICS, observou-se:

  • interesse no desenvolvimento do sistema de proteção contra DP em conexão com novas ameaças à informação da era digital
  • adoção de novos regulamentos
  • introdução ou plano para estabelecer um organismo autorizado especial para a proteção de indivíduos com DP
  • esforçando-se para implementar as melhores práticas e princípios e normas internacionais

Esperamos que a Rússia continue melhorando o sistema legislativo, introduzindo as melhores práticas e evitando medidas proibitivas desnecessárias.

Source: https://habr.com/ru/post/pt412737/

More articles:


All Articles