2023 será um grande ano para as leis de privacidade e proteção de dados. Além de países europeus com a GPDR e o Brasil com a LGPD, outras nações estão se mexendo para estabelecer uma estrutura federal de segurança dos dados. O tema foi destaque, inclusive, no Fórum Econômico Mundial, que aconteceu na semana passada em Davos, na Suíça. Os líderes globais pontuaram que as legislações de privacidade de dados e regulamentações cibernéticas são ferramentas eficazes para uma série de questões, especialmente na redução do risco cibernético.
Para entender como estão os planos dos países mais influentes na economia global, a Security Report ouviu a especialista em direito digital, Patrícia Peck, que é PhD no assunto e CEO & Sócia Fundadora da Peck Advogados.
Security Report: Em primeiro lugar, de que maneira essa ação globalizada de privacidade e proteção de dados pode auxiliar nas melhores práticas de Cyber Security?
Patrícia Peck: O principal benefício é a possibilidade da uniformização da matéria, o que facilita a adequação das empresas, uma vez que vivemos uma Economia Digital Internacional e precisamos ter um livre fluxo de dados entre os países (“free data flow”).
Muitas nações vivem contextos de legislações de proteção de dados pessoais ainda recentes e uma discussão, a nível global, bem como o desenvolvimento de políticas públicas permitem então que todos possam atingir um patamar mínimo de Segurança Cibernética. Isso estimula inovação e negócios, além de contribuir para que as melhores práticas se tornem padrão de indústria.
Estados Unidos
Security Report: Um dos principais parceiros comerciais do Brasil, os Estados Unidos, está diante de inúmeros desafios para formalizar uma lei federal. Até que ponto esse impasse prejudica a relação com empresas brasileiras?
Patrícia Peck: O maior desafio dos Estados Unidos está justamente em sua natureza federalista, de grande autonomia legislativa dos Estados. Quanto à pauta da proteção de dados, o impacto é justamente devido à questão transfronteiriça, pois a maioria das empresas possuem negócios em outros países e há muito uso de plataformas de cloud computing e outras soluções tecnológicas cuja matriz está no estado norte-americano.
Security Report: Mas o assunto está avançando por lá?
Patrícia Peck: Atualmente, estados como California, Maine, Nevada, Colorado, Utah, Rhode Island e Virginia possuem leis próprias que versam sobre privacidade e proteção de dados pessoais. Illinois tem a Lei de Privacidade de Informações Biométricas (BIPA), que concede às pessoas direitos de privacidade sobre seus dados biométricos, como impressões digitais ou varreduras de rosto. Outros estados têm projetos de leis em andamento.
Já o Senado discute desde 2021 o projeto de lei denominado Data Protection Act 2021, que objetiva proteger a privacidade dos cidadãos norte-americanos, além de tornar o tratamento de dados mais transparente. O projeto propõe a criação da Data Protection Agency (DPA), uma agência nacional com papel semelhante ao da nossa ANPD para a função de regular e fiscalizar as operações relativas à proteção de dados em todo o país.
Security Report: Mesmo com esse cenário, os Estados Unidos estão atrasados no tema em relação a outros países?
Patrícia Peck: Sim. A nova discussão trazida pela American Data Privacy and Protection Act (ADPPA), proposta como marco da legislação federal de privacidade dos Estados Unidos, mostra que eles poderão ter uma lei federal de privacidade de dados promulgada em breve. O Comitê de Energia e Comércio da Câmara aprovou o ADPPA em 20 de julho de 2022 e o projeto de lei deverá passar pelos passos legislativos de aprovação (Câmara dos Representantes dos EUA e Senado).
Security Report: Então o avanço deve acontecer ainda esse ano?
Patrícia Peck: Embora a ADPPA seja um esforço bipartidário, existe tensão entre os direitos de privacidade federais e estaduais e sua aplicação. Como há estados que promulgaram suas próprias leis, a ADPPA se anteciparia em grande parte às regulamentações estaduais de privacidade. A aplicação do ADPPA seria feita por reguladores federais e estaduais, como a Comissão Federal de Comércio (FTC) e os Procuradores-Gerais do Estado.
Security Report: Essa proposta poderá ser aplicada tanto para controladores quanto processadores de dados?
Patrícia Peck: Exatamente. A intenção legislativa é controlar os abusos das empresas Big Techs e restringir a coleta de dados do consumidor, além de uso e transferência dessas informações pessoais. Em última análise, torna-se uma “Declaração de Direitos” do consumidor, proporcionando maior transparência na coleta, uso e venda de dados com salvaguardas mínimas para proteção de dados pessoais e exigências de supervisão gerencial da privacidade e segurança dos dados.
GDPR e mais
Security Report: Na Europa já temos em ação a GDPR, mas existem outros países que estão discutindo internamente suas próprias legislações?
Patrícia Peck: Em agosto de 2022, o governo da Índia anulou um projeto de lei que gerou muita polêmica no país. A chamada Lei de privacidade de 2019 foi projetada para proteger dados pessoais tanto de autoridades quanto de cidadãos indianos. Foi proposto regulamentos sobre fluxos de dados transfronteiriços, que propunha dar ao governo indiano poderes para buscar dados de usuários de empresas, vistos como parte da regulamentação mais rígida para gigantes da tecnologia.
Porém a proposta levantou preocupações entre as Big Techs, pois exigia que as companhias mudassem sua conduta de armazenamento dos dados no país. A decisão de retirar a lei agradou algumas empresas e por outro lado, desagradou parte dos legisladores que recentemente votaram a favor do projeto. De acordo com governo indiano, o projeto de Lei seria reformulado levando em consideração os padrões globais do ecossistema de armazenamento de dados.
Security Report: Então o país está desamparado em leis de privacidade?
Patrícia Peck: Eles criaram o Digital Personal Data Protection Act 2022, um novo projeto de lei que visa permitir o processamento de dados pessoais, reconhecendo os direitos dos indivíduos e “a necessidade de processar dados pessoais para fins legais”.
Esse projeto permite transferências de dados transfronteiriças com “certos países e territórios notificados” e estabelece um Conselho de Proteção de Dados para supervisionar a conformidade e impor penalidades, declaradas em não exceder 5 bilhões de rúpias.
O governo pretende que a nova legislação seja aprovada e entre em vigor até o início de 2023 na sessão de orçamento do parlamento, que normalmente vai de janeiro a fevereiro.
Security Report: Outros países estão seguindo esse caminho?
Patrícia Peck: Além da Índia, Israel tem pendente a aprovação de uma emenda à sua Lei de Privacidade desde 2018. Em 2020 a Nova Zelândia substitui a lei de privacidade de 1993 por uma nova legislação. A Suíça revisou a sua Lei de Proteção de Dados “Datenschutzgesetz” em novembro de 2020 para incluir disposições mais rígidas e, depois de muitas idas e vindas, em setembro de 2022 foi anunciado que o novo regulamento entrará em vigor em setembro de 2023.
Há alguns outros países se movimentando para criar ou melhorar as leis de proteção de dados pessoais.
LATAM
Security Report: A América Latina está mais avançada nesse tema certo?
Patrícia Peck: A maioria dos países já possuem, alguns com leis mais antigas como a Argentina, outros com leis mais recentes como o próprio Brasil. Podemos citar que Venezuela, Guatemala, Belize, Haiti e Cuba como países que ainda não possuem lei específica de proteção de dados pessoais.
Security Report: Felizmente, o Brasil está na jornada de consolidação não é mesmo?
Patrícia Peck: Ter uma legislação específica foi essencial para garantirmos o relacionamento comercial com a União Europeia, bem como para evoluirmos na agenda positiva com a OCDE. Isso é importante para o Brasil nas questões econômicas e até diplomáticas. Devemos lembrar que toda e qualquer legislação de proteção de dados pessoais, apesar de ter um pano de fundo de direitos humanos, tem impacto direto econômico, ou seja, gera barreira comercial.
Security Report: Para esse ano, o Brasil tem ainda lacunas abertas. O que podemos esperar?
Patrícia Peck: 2023 será um ano de aumento no número de ataques cibernéticos, o que nos leva à necessidade de investimentos em medidas preventivas e atualização dos protocolos de resposta a incidentes. Será um ano também de início da aplicação das multas pela ANPD e de maior responsabilização sobre danos aos dados pessoais.
Security Report: Esse tema já está inserido na agenda dos CISOs como um item fundamental para a resiliência cibernética?
Patrícia Peck: Por ser uma nova regulamentação, é preciso atender o que está na lei sob pena fiscalização e responsabilização. Deve-se também exigir medidas técnicas com soluções que permitam controle e monitoramento. Além disso, tem que manter a atualização do ambiente e tratar da mudança da cultura, ou seja, é um assunto que está em construção e exige manutenção periódica.
Por último, é um tema multidisciplinar, demandando do CISO a interlocução com outras áreas, principalmente por trazer a exigência da função do DPO e do relacionamento com uma autoridade nova que é a ANPD. Logo, há necessidade de garantir estrutura tecnológica que vai desde aumentar nível de cibersegurança (proteção de dados), governança de logs de consentimento, ambiente para tratamento de solicitações de titulares, gestão de risco de terceirizados, até realizar campanhas de conscientização.
