Histórico da regulação de dados pessoais

Histórico da regulação de dados pessoais
Pedro Henrique Campagna Moura da Silva
Pedro Henrique Campagna Moura da Silva

Compartilhe

Nos últimos anos, diversos eventos destacaram-se pelo abuso no uso de dados pessoais, gerando preocupações e demandas por regulamentações mais rígidas.

Entre esses eventos, a influência da Cambridge Analytica nas eleições presidenciais dos Estados Unidos e no referendo do Brexit é especialmente notória.

A Cambridge Analytica utilizou dados pessoais coletados sem consentimento para direcionar campanhas políticas, o que levantou sérias questões sobre a privacidade e a integridade dos processos democráticos.

Esse cenário evidenciou a necessidade de uma regulação mais robusta sobre o uso de dados pessoais, principalmente aqueles coletados na internet.

A principal preocupação decorrente desses eventos é a falta de regulação adequada para o uso de dados pessoais, que permitiu influenciar de forma significativa os resultados de processos democráticos.

Essa influência não apenas questionou a integridade das eleições e referendos, mas também expôs a vulnerabilidade das informações pessoais dos cidadãos.

A ausência de regras claras e rígidas sobre como os dados podem ser coletados, armazenados e utilizados criou um ambiente propício para abusos e manipulações, afetando a confiança pública nas instituições democráticas.

Em resposta a essas preocupações, as estruturas de governança europeias começaram a se mobilizar para desenvolver uma resposta eficaz.

A pressão veio não só de movimentos populares, mas também de diversos setores da sociedade, exigindo uma regulamentação que pudesse proteger os dados pessoais dos cidadãos e garantir a integridade dos processos democráticos.

A saída do Reino Unido da União Europeia (Brexit) acelerou esse processo, destacando a necessidade de um marco regulatório claro e uniforme para todos os países do bloco.

Como resultado, foi desenvolvida a Regulamentação Geral sobre a Proteção de Dados (GDPR), que entrou em vigor em maio de 2018.

Histórico de Regulamentações

Mesmo antes da GDPR, o espaço digital já possuía algumas regulamentações que buscavam definir padrões de comportamento saudáveis na rede, ainda que de forma menos abrangente.

Exemplos disso são a Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos EUA (HIPAA), que regulamenta o uso de dados de saúde, e o Gramm-Leach-Bliley Act, que exige mais transparência das instituições financeiras sobre o uso de dados.

Na União Europeia, a Diretiva de Proteção de Dados (DPD) de 1995, já tentava controlar o uso de dados pessoais para evitar abusos.

E antes mesmo disso, um marco importante na história das regulamentações sobre dados pessoais é o documento de 1980 da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

Esse documento, intitulado "Recomendações sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais", trouxe definições essenciais e princípios orientadores sobre o tema no cenário internacional.

Banner da promoção da black friday, com os dizeres: A Black Friday Alura está chegando. Faça parte da Lista VIP, receba o maior desconto do ano em primeira mão e garanta bônus exclusivos. Quero ser VIP

Definições e Princípios da OCDE

O documento da OCDE definiu dados pessoais como "qualquer informação relacionada a uma pessoa identificável" e controlador de dados como "aquele que, de acordo com a lei doméstica, é responsável por decidir sobre o conteúdo e uso de dados pessoais".

Além disso, abordou o tráfico transfronteiriço de dados, referindo-se às "movimentações de dados pessoais além das fronteiras nacionais".

As definições de dados pessoais, controlador de dados e tráfico transfronteiriço são cruciais para qualquer discussão sobre governança de dados desde então.

Além das definições, o documento da OCDE estabeleceu princípios importantes para a aplicação nacional de regulamentações, tais como:

  • Princípio da Limitação da Coleta: A coleta de dados pessoais deve ser limitada, realizada de forma legal e justa, e, quando apropriado, com o consentimento do sujeito dos dados.
  • Princípio da Qualidade de Dados: Os dados pessoais devem ser relevantes, precisos, completos e atualizados para os propósitos específicos para os quais serão utilizados.
  • Princípio da Especificidade do Propósito: O propósito da coleta de dados deve ser definido antes da coleta e o uso subsequente deve ser limitado a esses propósitos.
  • Princípio da Limitação do Uso: Dados pessoais não devem ser divulgados ou utilizados para propósitos incompatíveis com os definidos inicialmente.
  • Princípio de Garantia de Segurança: Dados pessoais devem ser protegidos contra riscos como perda, uso não autorizado, destruição, modificação ou divulgação.
  • Princípio de Abertura: Deve haver uma política geral de abertura sobre o desenvolvimento, práticas e políticas a respeito de dados pessoais.
  • Princípio de Participação Individual: Os indivíduos têm direito a confirmar se um controlador possui dados sobre eles, a ter acesso a esses dados, e a contestar e corrigir dados incorretos.
  • Princípio da Responsabilidade: O controlador de dados é responsável pelo cumprimento dos princípios estabelecidos.

Esses princípios foram fundamentais para orientar a criação de legislações sobre o uso de dados pessoais e frear seu uso indiscriminado.

Além disso, o documento abordou a cooperação internacional necessária para garantir que o tráfico transfronteiriço de dados ocorra de maneira que respeite a privacidade e a segurança dos dados dos cidadãos.

Desenvolvimento na Europa

A preocupação com a proteção de dados pessoais na Europa não é recente. Em 1981, a Convenção para a Proteção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal estabeleceu um marco importante.

A convenção visava ampliar a proteção dos direitos humanos e das liberdades fundamentais, considerando o crescente fluxo de dados pessoais através das fronteiras.

A convenção introduziu definições importantes e estabeleceu princípios sobre o tratamento automatizado de dados pessoais.

Além disso, a Diretiva de Proteção de Dados (DPD) de 1995 buscava regular a transferência de dados entre os países membros da UE, alinhando-se aos princípios estabelecidos na Convenção de 1981 e nas recomendações da OCDE.

A DPD introduziu inovações significativas, como a ênfase no consentimento para a coleta de dados e a relação direta entre esse consentimento e a legitimidade do tratamento de dados.

Também ampliou a categoria de dados sensíveis, incluindo convicções filosóficas e introduziu questões sobre decisões automatizadas baseadas em dados pessoais.

Implementação da GDPR

Com base nas regulamentações e princípios anteriores, a GDPR foi criada para fornecer uma estrutura robusta e abrangente para a proteção de dados pessoais na União Europeia.

A GDPR é considerada uma das regulamentações mais rigorosas sobre proteção de dados no mundo, com o objetivo de harmonizar as leis de proteção de dados em todos os países membros da UE, reforçar os direitos dos indivíduos sobre seus dados pessoais e impor maiores responsabilidades e penalidades às organizações que não cumprirem os requisitos.

Estrutura e Princípios da GDPR

A GDPR é estruturada em torno de vários princípios-chave, muitos dos quais são derivados dos princípios estabelecidos pela OCDE e pelas regulamentações anteriores na Europa. Entre os princípios da GDPR estão:

  • Legalidade, Equidade e Transparência: O processamento de dados pessoais deve ser realizado de maneira legal, justa e transparente.
  • Limitação da Finalidade: Os dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não devem ser processados de maneira incompatível com essas finalidades.
  • Minimização de Dados: Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados.
  • Exatidão: Os dados pessoais devem ser precisos e, quando necessário, atualizados.
  • Limitação de Armazenamento: Os dados pessoais devem ser mantidos em uma forma que permita a identificação dos titulares dos dados por um período não superior ao necessário para as finalidades para as quais os dados pessoais são processados.
  • Integridade e Confidencialidade: Os dados pessoais devem ser processados de maneira a garantir sua segurança, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.
  • Responsabilidade: O controlador de dados é responsável pelo cumprimento dos princípios estabelecidos e deve ser capaz de demonstrar conformidade.

Essa forma da lei também é bastante inovadora. Muitas vezes, quando pensamos em legislações e regulamentações, pensamos em definições muito específicas do que é e não é permitido.

Entretanto, no ambiente digital, as técnicas e tecnologias evoluem rapidamente, de forma com que a GDPR foi elaborada de uma forma diferente: ela é uma regulamentação principiológica.

Ou seja, que estabelece os princípios para o tratamento de dados pessoais e dessa forma, continua sendo relevante mesmo com o desenvolvimento de novas técnicas de coleta e tratamento de dados pessoais.

A GDPR também introduziu o conceito de "Privacy by Design" e "Privacy by Default", que exige que as organizações integrem a proteção de dados desde a concepção dos sistemas e por padrão.

Direitos dos Titulares de Dados

Outro ponto muito importante que a legislação realizou foi o fortalecimento dos direitos dos indivíduos sobre seus dados pessoais, introduzindo vários direitos novos e reforçando os existentes:

  • Direito de Acesso: Os indivíduos têm o direito de acessar seus dados pessoais e obter informações sobre como esses dados são processados.
  • Direito de Retificação: Os indivíduos têm o direito de corrigir dados pessoais imprecisos ou incompletos.
  • Direito ao Apagamento (Direito ao Esquecimento): Os indivíduos podem solicitar que seus dados pessoais sejam apagados em determinadas circunstâncias.
  • Direito à Restrição de Processamento: Os indivíduos podem solicitar a limitação do processamento de seus dados pessoais em determinadas circunstâncias.
  • Direito à Portabilidade de Dados: Os indivíduos têm o direito de receber seus dados pessoais em um formato estruturado, de uso comum e legível por máquina e de transmitir esses dados a outro controlador.
  • Direito de Oposição: Os indivíduos têm o direito de se opor ao processamento de seus dados pessoais em determinadas circunstâncias.
  • Direitos Relacionados à Tomada de Decisão Automatizada e à Definição de Perfis: Os indivíduos têm o direito de não estar sujeitos a uma decisão baseada unicamente em processamento automatizado, incluindo definição de perfis, que produza efeitos legais ou afete significativamente o indivíduo.

Implementação e Penalidades

A GDPR impõe responsabilidades significativas às organizações que processam dados pessoais.

As organizações devem implementar medidas técnicas e organizacionais apropriadas para garantir a conformidade com a GDPR e proteger os dados pessoais.

Além disso, devem realizar avaliações de impacto sobre a proteção de dados para identificar e mitigar riscos associados ao processamento de dados pessoais.

As penalidades por não conformidade com a GDPR são severas. As multas podem chegar a 20 milhões de euros ou 4% do faturamento anual global da organização, o que for maior.

Isso destaca a importância da conformidade e o compromisso da UE com a proteção dos dados pessoais.

A criação e implementação da GDPR representam um marco significativo na proteção de dados pessoais, respondendo às preocupações crescentes sobre a privacidade e a integridade dos processos democráticos.

Ao harmonizar as leis de proteção de dados na UE e impor responsabilidades rigorosas às organizações, a GDPR visa garantir que os dados pessoais dos cidadãos sejam protegidos e utilizados de maneira justa e transparente.

A evolução da regulamentação de dados, desde as recomendações da OCDE até a GDPR, reflete um esforço contínuo para equilibrar a inovação tecnológica com a necessidade de proteger os direitos e liberdades fundamentais dos indivíduos.

Essa evolução nas regulações de dados podem ser vistas de forma visual na linha do tempo abaixo:

Linha do tempo que destaca os principais documentos e regulamentações sobre a coleta e uso de dados pessoais. A linha do tempo está disposta horizontalmente, com cinco marcos principais ao longo dos anos 1980 a 2016. O primeiro marco, em 1980: Recomendações Sobre Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais da OCDE; O segundo em 1981: Convenção para a Proteção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal; O Terceiro em 1995: Diretiva de Proteção de Dados (DPD); e o quarto em 2016: Regulamento Geral de Proteção de Dados (GDPR).Cada marco é representado por um círculo azul com uma linha que aponta para a descrição do documento ou regulamentação correspondente. A linha do tempo tem o título "Principais documentos e regulações sobre coleta e uso de dados pessoais" no topo.

E esses impactos não se limitaram à União Europeia, visto que diversos países começaram a criar regulações de dados, inclusive baseados na GDPR, como é o caso da Lei Geral de Proteção de Dados brasileira.

A imagem é um mapa mundial que ilustra o estado das legislações de proteção de dados e privacidade em diferentes países. O mapa é intitulado "Data Protection and Privacy Legislation Worldwide" e utiliza uma legenda colorida para diferenciar os países de acordo com o status de suas legislações de proteção de dados.As cores na legenda representam o seguinte: Verde escuro: Países que possuem legislação em vigor; Laranja: Países que têm legislação em desenvolvimento/discussão; Vermelho: Países que não possuem nenhuma legislação sobre proteção de dados; e Cinza: Países para os quais não há dados disponíveis. A maioria dos países da América do Norte, Europa, América do Sul, e partes da África, Ásia e Oceania são mostrados em verde escuro, indicando que possuem legislação sobre proteção de dados em vigor. Alguns países na África, Oriente Médio e partes da América Central estão em laranja, indicando que têm legislação em rascunho. Vários países na África e alguns na Ásia e América Central estão em vermelho, representando a ausência de legislação sobre proteção de dados. Existem alguns países, especialmente na África, que estão em cinza, indicando a falta de dados sobre a situação de suas legislações. No canto inferior direito da imagem, está a fonte dos dados: "UNCTAD, 23/04/2024".

Hoje, boa parte dos países possuem alguma forma de regulação de dados pessoais ou estão em discussão para aprovar esse tipo de legislação, como pode ser visto (nesse site)[Data Protection and Privacy Legislation Worldwide | UNCTAD] da ONU que acompanha o número de países com regulações similares.

O mais importante, quando estudamos o histórico das regulamentações em dados, não é decorar quando determinado documento foi instaurado, mas sim entender que a consolidação do direito à privacidade no contexto de dados pessoais vem de um processo extenso e complexo, que envolve discussões que evoluíram com a tecnologia e com o uso de dados.

Esses direitos são conquistas importantes do ponto de vista dos usuários, que hoje já podem negar o uso de dados pessoais, exigir das organizações quais os dados pessoais que elas possuem e quais os tratamentos realizados e até mesmo decidir sobre quais dados podem ou não ser usados.

E, como podemos ver, a partir do mapa que traz os países que possuem legislações específicas sobre dados pessoais, é um processo que continua acontecendo em diversos lugares do mundo: há países que não implementaram regulação sobre dados pessoais e mesmo aqueles que implementaram continuam as discussões de como atualizar e se manter relevantes.

Isso significa que para os profissionais de tecnologia e especialmente aqueles que trabalham com dados pessoais, o cuidado sobre a questão da privacidade e proteção de dados pessoais deve ser presente e contínuo para que os sistemas construídos respeitem as regulações e os direitos dos titulares.

Pedro Henrique Campagna Moura da Silva
Pedro Henrique Campagna Moura da Silva

Técnico em Informática e Analista de Relações Internacionais, trabalhou com desenvolvimento de software e ciência de dados voltados para pesquisa. Atualmente estuda governança de dados e tenta sempre construir pontes entre a tecnologia e o internacional.

Veja outros artigos sobre Data Science