Leis Internacionais de Privacidade de Dados: Um Guia

A pressão pela privacidade de dados explodiu nos últimos anos, com regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA) liderando a iniciativa. Isso significa que consumidores ao redor do mundo estão ganhando direitos sobre como seus dados são coletados, armazenados, processados e vendidos, assim como mais maneiras de responsabilizar empresas quando práticas ruins de segurança de dados levam a violações de segurança de dados envolvendo informações pessoais identificáveis (PII).

Com o GDPR cobrindo a UE e o CCPA cobrindo a Califórnia, aqueles que não são residentes dessas regiões podem se perguntar se existem regulamentações de data privacy que os protejam. A resposta é: “Depende.” Nem todo estado dos EUA ou país possui regulamentações de privacidade de dados.

No entanto, há muitos motivos para otimismo. Gartner prevê que até 2024, a moderna regulamentação de privacidade abrangerá a maioria dos dados dos consumidores. No entanto, o mesmo relatório prevê que menos de 10% das empresas terão aproveitado com sucesso a privacidade como uma vantagem competitiva. Ao contrário do que muitas empresas assumem, novas regulamentações de privacidade são facilitadores de negócios, e não inimigos. Isso ocorre porque elas podem ajudar a otimizar processos de negócios, melhorar a gestão de dados e alcançar eficiências de custo.

À medida que os fluxos de dados se tornam cada vez mais globalizados, as empresas devem obter um forte entendimento das leis internacionais de data privacy laws. Caso contrário, podem ser penalizadas com multas elevadas e outras sanções. Também falharão em fornecer aos consumidores a proteção de dados que merecem, prejudicando a capacidade de atrair e reter clientes.

Leia este guia para saber mais sobre as leis de privacidade de dados ao redor do mundo — e como atender aos seus requisitos para garantir conformidade.

Leis e Regulamentos de Privacidade de Dados

Agora que você tem uma compreensão clara de como as leis de privacidade de dados geralmente funcionam, aqui estão resumos das leis de privacidade de dados mais importantes ao redor do mundo.

União Europeia (UE): Regulamento Geral sobre a Proteção de Dados (GDPR)

O GDPR é a lei de segurança mais rigorosa do mundo. Entrou em vigor em 25 de maio de 2018 e impõe obrigações a qualquer empresa no mundo que colete ou processe dados relacionados a residentes da UE.

Os principais princípios, obrigações e direitos sob o GDPR são os seguintes:

• Minimização de dados — As empresas não devem coletar mais dados pessoais do que o necessário de seus usuários.
• Integridade e confidencialidade (segurança) — As empresas devem proteger os dados pessoais contra processamento ilegal ou não autorizado, bem como contra danos acidentais, perda ou destruição.
• Responsabilidade — As empresas devem documentar como os dados pessoais são tratados e limitar o acesso aos dados apenas às pessoas que realmente precisam dessa informação.
• Acesso aos dados — As empresas devem responder aos pedidos dos titulares dos dados por cópias de seus dados pessoais dentro de um mês.
• Direito de editar informações — Os titulares dos dados têm o direito de solicitar que uma empresa edite seus dados pessoais caso estejam incorretos.
• Direito ao esquecimento — Os titulares dos dados também têm o poder de solicitar a exclusão de seus dados pessoais.
• Limitações no processamento automatizado —O GDPR concede aos titulares dos dados o direito de não serem sujeitos a decisões automáticas que possam produzir um efeito significativo sobre eles.
• Portabilidade de dados — Os titulares dos dados têm o direito de mudar facilmente para outros prestadores de serviços.

As multas por violar o GDPR são muito altas. Infrações menos graves podem resultar em uma multa de até 10 milhões de euros ou 2% da receita anual mundial da empresa do ano financeiro anterior, prevalecendo o valor mais alto. Infrações mais graves podem resultar em uma multa de até 20 milhões de euros ou 4% da receita anual mundial da empresa do ano financeiro anterior, prevalecendo o valor mais alto.

Estados Unidos: Lei de Privacidade do Consumidor da Califórnia (CCPA) e Lei de Direitos de Privacidade da Califórnia (CPRA)

Ao contrário da UE, os Estados Unidos não possuem uma lei de privacidade abrangente como o GDPR. No entanto, vários estados, incluindo a Califórnia, aprovaram leis e regulamentos de privacidade de dados para proteger as informações pessoais dos cidadãos. Estes incluem o CCPA e seu antecessor, o CPRA.

A CCPA foi aprovada em 2018 e oferece aos consumidores californianos mais controle sobre os dados pessoais que as empresas coletam a seu respeito. Desde 1º de janeiro de 2023, ela foi alterada pela CPRA.

A CPRA aplica-se a empresas que atendem aos seguintes requisitos:

• Ter uma receita bruta anual superior a 25 milhões de dólares
• Compartilhe, compre ou venda os dados pessoais de pelo menos 100.000 residentes da Califórnia
• Obtenha 50% ou mais da sua receita anual com a venda ou compartilhamento de dados pessoais

Assim como o GDPR, o CPRA confere aos consumidores o direito de:

• Saiba quem está coletando suas informações pessoais, como elas são usadas e para quem são divulgadas ou compartilhadas
• Limite o uso dos seus dados pessoais
• Excluir ou corrigir seus dados pessoais

Da mesma forma, exige que as empresas:

• Informe aos consumidores como seus dados pessoais são coletados e processados
• Coletar apenas dados pessoais para finalidades legítimas e divulgadas e na medida relevante
• Permita que os consumidores excluam, obtenham, corrijam e compartilhem suas informações pessoais

Empresas que não cumprirem os requisitos da CPRA podem ser multadas em até $7.500 por infração intencional e $2.500 por violação não intencional.

Canadá: Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA)

A lei federal de privacidade do Canadá, PIPEDA, foi promulgada em 2000. Aplica-se a organizações do setor privado no Canadá que usam, coletam ou divulgam dados pessoais durante atividades comerciais.

• A PIPEDA define uma atividade comercial como qualquer transação, conduta ou ato de caráter comercial, incluindo locação, troca ou venda de listas de membros, doadores ou de captação de recursos.
• Sob a PIPEDA, informações pessoais incluem qualquer informação subjetiva ou factual, registrada ou não, sobre uma pessoa identificável. Isso inclui idade, renda, nome, tipo sanguíneo, arquivos de funcionários, opiniões e ações disciplinares.

As empresas devem seguir os 10 princípios justos de informação para cumprir com a PIPEDA:

• Responsabilidade — As organizações devem cumprir todos os 10 princípios justos de informação, nomear alguém para a conformidade com a PIPEDA da sua empresa e desenvolver e implementar práticas e políticas de informação pessoal.
• Identificação de propósitos — As empresas devem identificar e documentar seus propósitos para coletar informações pessoais e informar aos clientes por que precisam de suas informações pessoais.
• Consentimento — As empresas devem obter o consentimento de cada pessoa antes de coletar suas informações.
• Limitações na coleta de dados — As organizações só podem coletar as informações necessárias para cumprir um propósito legítimo e identificado.
• Uso limitado, divulgação e retenção — As empresas podem usar ou divulgar dados pessoais somente para os fins identificados para os quais foram coletados.
• Precisão — As empresas devem minimizar a chance de usar dados incorretos ao tomar uma decisão sobre uma pessoa ou ao divulgar informações a terceiros.
• Salvaguardas — As organizações devem proteger os dados pessoais de acordo com a sua sensibilidade e proteger todos os dados pessoais contra roubo, perda e acesso não autorizado, cópia, divulgação, modificação ou uso.
• Transparência — As empresas devem ter práticas de gestão de informações pessoais detalhadas que sejam claras, fáceis de entender e prontamente disponíveis.
• Acesso individual — Os indivíduos têm o direito de acessar os dados pessoais que uma empresa possui sobre eles.
• Direito de contestar a conformidade — Os indivíduos têm o direito de contestar a conformidade de uma empresa com os princípios de informação justa.

As organizações podem ser multadas em até 100.000 dólares canadenses por cada violação.

Brasil: Lei Geral de Proteção de Dados (LGPD)

A LGPD do Brasil é fortemente inspirada no GDPR da UE e é a maior regulamentação de privacidade de dados do mundo depois do GDPR e do CCPA. Seu principal objetivo é unificar 40 diferentes regulamentações, muitas vezes específicas de cada setor, e resolver conflitos que ocorrem devido ao grande número de diferentes regulamentações de privacidade de dados no país.

A regulamentação se aplica a organizações que processam dados no Brasil, processam dados pessoais coletados no Brasil ou processam dados pessoais ao fornecer bens ou serviços no Brasil. Assim como o GDPR e o CCPA, uma empresa não precisa ter sede no Brasil para ser afetada pela LGPD.

Sob a LGPD, a pessoa à qual os dados pessoais se aplicam é considerada um titular, e os titulares adquirem muitos direitos em relação aos seus dados pessoais. Isso inclui, mas não se limita a:

• Acesso aos dados pessoais de alguém
• Correção de dados pessoais desatualizados ou de outra forma imprecisos
• Exclusão ou anonimização de dados pessoais não em conformidade com a LGPD ou processados sem o consentimento do titular
• A capacidade de revogar o consentimento prévio de alguém
• Informações sobre como os dados de alguém são utilizados e com quem esses dados são compartilhados

O Artigo 18 da LGPD abrange todos os direitos do titular dos dados sob a regulamentação, e artigos adicionais tratam de multas e outras penalidades para aqueles que forem encontrados em não conformidade.

Leis Emergentes de Privacidade de Dados e Impacto Global

Além das leis mencionadas acima, você também deve ficar atento às seguintes leis emergentes de privacidade de dados.

Índia: Projeto de Lei de Proteção de Dados Pessoais (PDPB)

Este projeto de lei ainda está em forma de rascunho, mas vale a pena discutir, pois também é baseado no GDPR, o padrão ouro atual para regulamentação de privacidade de dados. Se promulgado, o PDPB será aplicável a organizações que processam dados pessoais coletados, divulgados ou processados na Índia, então, como o GDPR, tem impacto internacional.

O que está coberto sob PDPB assemelha-se ao GDPR também. Os consumidores ganham direitos de acessar, corrigir e deletar seus dados, juntamente com o direito de ser esquecido e a portabilidade de dados entre organizações.

No entanto, só porque uma organização está preparada para o GDPR não significa necessariamente que esteja pronta para o PDPB. As duas regulamentações têm pequenas diferenças de escopo, e o PDPB ainda não foi finalizado. Os detalhes da regulamentação estão sujeitos a mudanças, e qualquer organização com laços com a Índia deve ficar de olho.

Outras Leis de Privacidade de Dados Notáveis

Outras leis de proteção de dados que vale mencionar incluem:

• Lei de Privacidade da Austrália de 1988
• Lei de Proteção de Informações Pessoais da China (PIPL)
• África do Sul Lei de Proteção de Informações Pessoais (POPIA)
• Leis específicas da indústria dos EUA, como:
• Health Insurance Portability and Accountability Act (HIPAA)
• Gramm–Leach–Bliley Act (GLBA)
• Lei Sarbanes–Oxley (SOX)
• Lei de Gestão de Segurança da Informação Federal de 2002 (FISMA)
• Children’s Online Privacy Protection Act (COPPA)

Frameworks

Também existem frameworks que podem ajudar organizações a alcançar conformidade com a legislação de privacidade de dados, incluindo:

• O National Institute of Standards and Technology’s (NIST) Privacy Framework é uma ferramenta voluntária para ajudar empresas a identificar e gerir riscos de privacidade.
• A Cooperação Econômica da Ásia-Pacífico (APEC) Cross-Border Privacy Rules (CBPR)cria uma estrutura para cooperação regional na aplicação das leis de privacidade.
• ISO/IEC 27001 é o padrão mais conhecido do mundo para um sistema de gestão de segurança da informação (ISMS).

Como a Netwrix pode ajudá-lo a cumprir as leis de privacidade de dados

A conformidade com as leis globais aplicáveis de privacidade de dados é vital para evitar multas caras, danos à reputação, processos judiciais e outros custos. Uma das maneiras mais custo-efetivas de alcançar, manter e comprovar a conformidade é adotar a Netwrix Compliance Audit Solution. Esta solução confiável, poderosa e intuitiva minimiza o estresse e o tempo de preparação para auditorias e capacita você a responder perguntas durante auditorias de conformidade rapidamente. Você pode:

• Descubra onde estão seus dados regulamentados e restrinja o acesso a eles.
• Imponha políticas de password policies fortes.
• Detecte ameaças em seus estágios iniciais.
• Estabeleça e mantenha configurações seguras de sistema.
• Produza evidências de fácil leitura para auditores.

Interessado em aprender mais sobre como a Compliance Audit Solution da Netwrix pode ajudar a sua organização? Solicite a sua one-to-one demo hoje.

Perguntas Frequentes

Quantos países possuem leis de privacidade?

De acordo com a Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD), 137 dos 194 países implementaram legislação de proteção de dados. No total, 71% dos países possuem regulamentações de privacidade, 9% dos países têm legislação em fase de projeto e 15% dos países não possuem legislação.

Porque a maioria dos países possui leis de privacidade e o fluxo de informações está se tornando cada vez mais globalizado, as empresas devem estabelecer políticas para garantir a conformidade com essas leis. Caso contrário, elas podem ser penalizadas com multas caras e sofrer perda de reputação.

Existe uma lei internacional sobre privacidade de dados?

Sim. O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia é uma lei internacional de privacidade que afeta qualquer organização que processe ou armazene informações de qualquer residente da UE.

Outras leis de privacidade de dados estaduais, federais e regionais com aplicações internacionais incluem a California Consumer Privacy Act (CPRA), a Personal Information Protection Law (PIPL) da China e a Privacy Act 1988 da Austrália.

Quais são as principais leis globais de privacidade de dados?

As principais leis de privacidade mundiais incluem:

• O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia
• Lei Geral de Proteção de Dados do Brasil
• Lei de Proteção de Informações Pessoais da China (PIPL)
• California Consumer Privacy Act (CPRA)
• Lei de Privacidade da Austrália de 1988

Quantas leis globais de privacidade de dados existem?

Pelo menos 17 países e regiões possuem ou estão prestes a ter leis de privacidade de dados globais semelhantes ao GDPR. Como tal, você deve começar a preparar sua empresa para a conformidade com o GDPR, PIPL e outras regulamentações globais de privacidade de dados.

Quais são os princípios das leis de privacidade?

Apesar de suas diferenças superficiais, toda lei de privacidade é baseada nos mesmos princípios. Estes incluem:

• Consentimento — As empresas devem obter consentimento informado dos indivíduos antes de armazenar ou compartilhar suas informações. O consentimento dá aos indivíduos controle sobre seus dados pessoais.
• Limitação de finalidade — As organizações devem limitar o uso de dados pessoais para finalidades específicas e legítimas. Isso garante que o que você faz com os dados dos titulares corresponda ao que você lhes informou.
• Minimização de dados — As empresas podem coletar e reter apenas os dados pessoais necessários. Isso reduz o impacto de uma violação.
• Direitos individuais — As organizações devem conceder aos titulares dos dados direitos sobre seus dados pessoais, incluindo o direito de acesso, retificação e exclusão.