Encontre aqui informações sobre privacidade e segurança. Caso você tenha alguma dúvida, não hesite em nos contatar em [email protected]

Hub de conhecimento de privacidade

Estruturamos tópicos relacionados à privacidade e segurança em diferentes seções para facilitar a busca das informações que você deseja. Se você precisar de algo específico que lhe esteja faltando, por favor, deixe-nos uma linha em  [email protected].

Geral

Privacidade

O que é Privacidade?

Leis por país

Pilares de Privacidade

Registro de Atividades de Processamento

ROPA UE

ROPA Suíça

ROPA Brasil

Gerenciamento da privacidade

O que é um Sistema de Gestão?

O que é ISO27701?

O que é SDM?

Segurança Cibernética & TOM

ISO27001

BDSG

TISAX

NIST

Tudo sobre proteção de dados

O que significa proteção de dados?

No mundo globalizado e digitalizado de hoje, os dados desempenham um papel proeminente. É por isso que os dados são em parte entendidos como o recurso mais valioso do século 21. Os dados pessoais estão no centro disto e são utilizados hoje de muitas maneiras diferentes. Por exemplo, em termos econômicos, os dados pessoais têm um valor material; eles são usados para analisar o comportamento do consumidor e adaptar estratégias publicitárias. Para este fim, são criados perfis de personalidade inteiros, que contêm amplas informações e podem incluir todos os detalhes de uma pessoa.1

Da mesma forma, os dados pessoais também podem ser utilizados pelos empregadores para determinar o comportamento no trabalho de seus empregados, por exemplo, para aumentar a eficiência. Portanto, os benefícios de tais dados são enormes, e seu valor é muitas vezes subestimado.
Isto torna a proteção de dados ainda mais importante. Mas o que realmente significa proteção de dados, e existe uma definição?

Antes de tudo, a proteção de dados significa o direito de uma pessoa de ter seus dados pessoais protegidos. A proteção de dados pode ser vista de diferentes perspectivas e contém vários sub-conteúdos. Uma parte da lei de proteção de dados é a chamada autodeterminação informativa. Neste contexto, uma pessoa tem o direito de determinar o que acontece com seus dados, ou seja, de decidir quem pode coletá-los, armazená-los, acessá-los ou processá-los de outra forma. Assim, a proteção de dados também inclui a proteção contra o uso indevido no processamento de dados, através da qual uma pessoa é protegida contra o processamento injustificado de seus dados. A proteção de dados é, portanto, parte do direito à privacidade e do direito à proteção da personalidade.

Assim, há sempre dois interesses em jogo. Por um lado, um controlador de dados, ou seja, alguém responsável pelo processamento de dados, está interessado neste processamento (por exemplo, interesse econômico ou por razões de expressar uma opinião). Por outro lado, o envolvido cujos dados são processados está interessado em protegê-los.

É útil olhar mais de perto a história de seu desenvolvimento para obter um quadro abrangente da proteção de dados em geral. Particularmente com a abundância de fundamentos legais, muitas vezes é difícil encontrar uma introdução ao tema, e é por isso que uma seção transversal da história deve ajudar aqui.

Antecedentes históricos e desenvolvimento da proteção de dados na Europa 2

Com o fim da Segunda Guerra Mundial e as atrocidades ocorridas durante ela, surgiu a necessidade, particularmente na Europa, de consagrar os direitos fundamentais do indivíduo. A Declaração Universal dos Direitos Humanos (DUDH), adotada pela Assembléia Geral das Nações Unidas em 10 de dezembro de 1948, expressa essa necessidade. Como declaração, a DUDH não é juridicamente vinculante, mas sua criação foi um marco no desenvolvimento dos direitos humanos em todo o mundo. Na Europa, para implementar os ideais da DUDH, a Convenção Européia sobre Direitos Humanos (CEDH) foi assinada em 4 de novembro de 1950. Como um tratado de direito internacional, a CEDH vincula os 46 membros do Conselho da Europa. Ela inclui todos os estados membros da UE e quase todos os países europeus (exceto Belarus e Rússia).

A DUDH e a CEDH, firmemente baseadas na primeira, cobrem o direito a uma vida privada (Art. 12 da DUDH e Art. 8 da CEDH). A proteção de dados pessoais também deriva deste direito à vida privada e à privacidade (ver acima). Esta proteção se baseia no fato de que os dados pessoais, em particular, também foram utilizados para perpetrar os crimes da Segunda Guerra Mundial.

No decorrer do século 20, a importância da proteção de dados cresceu de forma constante. À medida que o poder dos computadores melhorava, o volume de dados que podiam ser processados aumentava. Enquanto inicialmente havia apenas um punhado de computadores no mundo, os computadores também se espalharam rapidamente, de modo que logo todos possuíam um PC, e hoje todos carregam um smartphone. Com os serviços atuais, como a computação em nuvem e similares, o fluxo e o processamento de dados estão se tornando mais complexos, portanto, a privacidade e a proteção de dados também estão se tornando mais complexos e desafiadores de cumprir.

Para enfrentar esses desenvolvimentos, os primeiros esforços para garantir a proteção de dados surgiram nos anos 80. Além do formulado pela OCDE, não vinculativo Diretrizes sobre a proteção da privacidade e fluxos transfronteiriços de dados pessoais, o Conselho da Europa concordou com o Convenção Européia sobre Proteção de Dados (Convenção ETS 108). Com isso, os Estados signatários se comprometeram a implementar os princípios da Convenção em sua legislação nacional. O objetivo era criar um nível uniforme de proteção de dados e regular o tráfego transfronteiriço de dados. Entretanto, a ETS 108 foi ratificada apenas esporadicamente por alguns Estados, e muitas vezes foi adotada uma abordagem fragmentária. Diante disso, nos anos 90, a UE adotou Directiva 95/46/CE para proteger os indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados. Ao fazer isso, os Estados membros da UE se comprometeram a garantir os padrões mínimos descritos na legislação nacional.

Com o passar do tempo, a proteção de dados na Europa tem sido ampliada cada vez mais. Por exemplo, a proteção de dados pessoais foi consagrada no Artigo 8 da Carta dos Direitos Fundamentais da UE, que surgiu no final dos anos 90, recebeu a aprovação do Conselho Europeu e do Parlamento Europeu em 2000, e foi conferido efeito legal pelo Tratado de Lisboa em 2009. Outra base jurídica crucial é a Diretrizes de ePrivacidade, também conhecidas como as Diretrizes Cookie, que regulamentam o uso de cookies e estabelecem padrões mínimos de proteção de dados em telecomunicações.

O Regulamento Geral de Proteção de Dados (GDPR) está em vigor desde 25 de maio de 2018. A regulamentação da UE substitui a Diretiva 95/46/CE e padroniza a proteção de dados pessoais e o tráfego de dados no mercado interno europeu. Para também alinhar países não pertencentes à UE à nova norma legal e refletir os desenvolvimentos tecnológicos dos últimos anos e décadas, a ETS 108 foi revisada para se tornar a chamada ETS 108+. A adoção e ratificação estão abertas a cada país. Entretanto, como muito poucos países ratificaram a nova versão, ela adiará sua entrada em vigor até o outono de 2023. 3

Explicação dos termos

Como em tantas áreas do direito, uma definição tão consensual como a acima muitas vezes não aborda de forma conclusiva todas as questões que se podem ter a respeito do assunto. Em particular, surgem questões tais como: O que são dados pessoais? O que significa processamento de dados? E quem conta como uma pessoa protegida? Além disso, há sempre diferenças devido às diferentes opiniões legais e interpretações dos diversos países do mundo. O Regulamento Geral de Proteção de Dados da UE (GDPR) e a Lei Federal Suíça sobre Proteção de Dados (FADP) são particularmente relevantes aqui. Apesar de quaisquer diferenças, é essencial explicar alguns termos importantes para o entendimento básico necessário:

Dados pessoais

A proteção de dados é a proteção de dados pessoais. Mas o que são dados pessoais, e o que pode ser entendido pelo termo? A GDPR define dados pessoais na Arte. 4 como: "qualquer informação relativa a uma pessoa física identificada ou identificável". O DSG define dados pessoais como: "qualquer informação relativa a uma pessoa identificada ou identificável" (Art. 3 lit. um FADP ou Art. 5 lit. um revFADP). A partir disto, você pode ver rapidamente que o termo é enormemente amplo. O termo "qualquer informação" deve ser entendido literalmente. Assim, tudo, desde o nome de uma pessoa até seu paradeiro, até informações sobre seu último pedido on-line, está sob o termo "dados pessoais". O fator decisivo é que a informação esteja conectada a uma pessoa específica ou identificável para que os dados possam ser atribuídos a uma pessoa. Por exemplo, os dados sobre o tamanho médio de uma população ainda não são dados pessoais. Entretanto, suponha-se que seja possível deduzir quem é de que altura em um município porque os dados podem ser atribuídos a uma pessoa. Nesse caso, são considerados dados pessoais.

Pessoas Protegidas

Igualmente importante é a questão de quem está protegido pela proteção de dados. Aqui existem as primeiras diferenças entre as leis suíças e européias de proteção de dados. Enquanto a GDPR fala sobre pessoas físicas, ou seja, todos os indivíduos, a DPA atualmente também protege pessoas jurídicas, ou seja, empresas e corporações. Em qualquer caso, as pessoas físicas são protegidas sob ambas as leis. Com a revisão da DPA, no entanto, isto mudará. No futuro, somente pessoas físicas serão protegidas na Suíça (Art. 5 lit. b revDSG). Independentemente do sistema legal, no entanto, o seguinte se aplica em princípio: todo indivíduo é protegido.

Processamento de dados

Assim, a proteção de dados protege as pessoas físicas e seus dados pessoais. Portanto, o que ainda precisa ser explicado é do que elas estão sendo protegidas. Novamente, as definições do GDPR e do DPA são muito semelhantes. Enquanto a GDPR define processamento como "qualquer operação [...] ou conjunto de operações envolvendo dados pessoais [...], a DPA define processamento como "qualquer tratamento de dados pessoais [...]". De acordo com estas definições amplas, o processamento de dados deve ser entendido. Assim, se os dados forem processados, armazenados ou apagados de qualquer forma, o processamento de dados ocorre. 

Escopo da proteção de dados 4

Neste contexto, surge agora a questão de quando os dados pessoais podem ser processados e quando não podem. Os dados nunca ou sempre podem ser processados, ou há justificativas ou limites? É possível processar dados além da vontade do envolvido, e como isso pode ser conciliado com o direito do indivíduo à proteção pessoal? Neste ponto, o mais tardar, os diversos sistemas legais devem ser considerados separadamente no que diz respeito à lei de proteção de dados.

Proteção de dados nos diversos sistemas jurídicos

Proteção de dados no direito europeu

A característica decisiva da GDPR é que qualquer processamento de dados pessoais deve atender a uma das seis condições para que seja lícito. Assim, o ponto de partida é que o processamento de dados não é, em princípio, permitido, a menos que possa ser justificado. As condições justificativas são:

  1. Consentimento do titular dos dados

O envolvido cujos dados pessoais são processados para um fim específico deu seu consentimento para isso. A permissão deve ser dada voluntariamente, ser distinguível de outros assuntos, ser inteligível e ter sido mostrada em linguagem clara e clara.

  1. Execução de um contrato do qual a pessoa em questão é parte.

O processamento de dados pode ser necessário para o cumprimento de um contrato. Por exemplo, uma empresa deve processar os dados de um cliente para fornecer um serviço. 

  1. Cumprimento de uma obrigação legal

Deve ser uma obrigação legal imposta pela lei da UE ou pela lei de um Estado membro da UE. Invocar um dever contratual ou uma obrigação estabelecida pela lei de um terceiro país não é suficiente. 

  1. Proteção dos interesses vitais do envolvido ou de outra pessoa física.

O processamento de dados é necessário para garantir a sobrevivência do indivíduo. Esta condição só deve ser uma base legítima em emergências absolutas. Um exemplo disto é obter informações sobre o tipo de sangue de uma pessoa que não responde para realizar uma transfusão de sangue que salve vidas. 

  1. Desempenho de uma tarefa de interesse público ou exercício da autoridade oficial.

Um interesse público, que o legislador também poderia definir, requer processamento de dados.

  1. Proteção dos interesses legítimos do responsável pelo tratamento dos dados ou de terceiros

Um interesse legítimo só pode justificar o processamento de dados se os interesses ou direitos e liberdades fundamentais da pessoa em questão na proteção de seus dados não prevalecerem. Um equilíbrio de interesses deve ser realizado entre os interesses da pessoa em questão em matéria de proteção e os interesses do responsável pelo tratamento de dados. Uma vez que os interesses do envolvido são geralmente mais pesados, esta condição é considerada como uma justificativa de peso se nenhuma outra se aplicar.

Sem uma das condições acima, o processamento de dados nunca é legal sob o GDPR e pode ser punido com pesadas multas.

Proteção de dados sob a lei suíça

A lei de proteção de dados na Suíça está atualmente mudando. A DPA atualmente aplicável foi completamente revisada e a nova versão deverá entrar em vigor em 1º de setembro de 2023. A revisão tem vários objetivos. Antes de tudo, as mudanças tecnológicas e societais devem ser enfrentadas. Em particular, a autodeterminação e a transparência no processamento de dados devem ser reforçadas. A revisão também é uma resposta ao desenvolvimento legal da proteção de dados na UE e na Europa. Assim, a ratificação da Convenção 108+ (ver acima) deve ser viabilizada, a Diretiva relevante para Schengen (UE) 2016/680 sobre a proteção de dados em matéria penal deve ser implementado, e deve haver um ajuste em direção ao GDPR. Sem esta mudança, a UE não reconheceria mais a Suíça como um terceiro país com um nível suficiente de proteção de dados no futuro. 5

Como parte do Conselho da Europa, a Suíça também ratificou a CEDH e está vinculada aos direitos fundamentais nela consagrados. Paralelamente, a Constituição Federal Suíça também protege a liberdade pessoal e a privacidade e contra o uso indevido de dados pessoais em seu catálogo de direitos fundamentais. Assim, a FADP é uma expressão e implementação desses direitos fundamentais e humanos.

Em comparação com o GDPR, o atual FADP da Suíça adota uma abordagem um pouco oposta à de quando o processamento de dados é permitido e quando não é. Em vez de proibir o processamento de dados em princípio e permitir o uso de fundamentos justificativos, o FADP prevê que o processamento de dados seja permitido desde que não infrinja ilegalmente a personalidade da pessoa em questão. Entretanto, o FADP também exige um motivo justificativo na forma de consentimento de um interesse superior privado ou público ou uma lei, para que o processamento de dados não constitua uma violação ilegal da personalidade. Entretanto, a diferença crucial entre a GDPR e a FADP é o ponto de partida e a presunção inicial.

Proteção de dados na Alemanha

Na Alemanha, a proteção de dados tem sido considerada um direito fundamental em nível nacional desde a decisão do censo de 1983, como parte da autodeterminação informativa. Isto é derivado do direito geral de personalidade e dignidade humana. Como Estado membro da UE, a Alemanha está, naturalmente, sujeita ao GDPR. Ela é complementada pela Lei Federal de Proteção de Dados (BDSG) e pelas leis estaduais de proteção de dados. 6

Proteção de dados nos EUA

Como um tópico intimamente ligado ao nosso mundo globalizado e digitalizado, dificilmente é possível considerar a proteção de dados isoladamente em uma base específica do país. Grandes empresas operam internacionalmente e devem cumprir as respectivas leis dos países em que operam. Como resultado, o tráfego internacional de dados e as regulamentações relevantes também desempenham um papel proeminente. Muitas empresas de tecnologia global que processam dados em larga escala vêm dos EUA. Uma olhada na proteção de dados lá é, portanto, inevitável.

A proteção de dados nos EUA é fundamentalmente diferente da proteção de dados na Europa. Enquanto a proteção de dados é aqui consagrada como um direito fundamental em várias ocasiões, e existe uma padronização a nível europeu através do GDPR, fala-se muito bem de uma manta de retalhos de leis de proteção de dados nos EUA. 7 Uma origem é a decisão Griswold vs. Connecticut de 1965, na qual o direito à privacidade foi declarado constitucionalmente protegido. 8 No entanto, este direito relativo aos dados pessoais tem sido coberto apenas de forma fragmentada e implementado apenas de forma deficiente na lei.

Dependendo de quem processa os dados, outras leis federais são relevantes. Com relação ao processamento de dados pelas autoridades públicas, os cidadãos têm certos direitos sob a Lei de Privacidade de 1974, por exemplo, o direito de inspecionar os dados armazenados. Além disso, o USA PATRIOT Act está em vigor desde 2001, permitindo ao governo dos EUA e suas autoridades processar dados pessoais no caso de suspeita, mesmo vaga, de terrorismo. É particularmente problemático que, além das empresas americanas, suas subsidiárias no exterior também sejam obrigadas a entregar os dados. Esta circunstância está levando a enormes conflitos, já que a liberação destes dados pode ser proibida nos respectivos países. 9

Entretanto, se partes privadas processarem dados, outras bases legais podem ser relevantes para a proteção de dados. Em particular, a Lei da Comissão Federal de Comércio (FTC) é digno de menção. Como autoridade de concorrência, a FTC tem a tarefa de proteger um mercado justo e equitativo, por um lado. Por outro lado, ela também é responsável pela proteção ao consumidor. 10 Se uma empresa se desviar de seus avisos e políticas de privacidade, a FTC pode tomar medidas, já que tal desvio pode ser visto como uma concorrência enganosa e desleal. Assim, as empresas serão responsabilizadas por violações de seus regulamentos.

Alguns regulamentos específicos, tais como o Lei de Proteção de Privacidade Online para Crianças (COPPA) ou o Lei de Portabilidade e Responsabilização de Seguros de Saúde (HIPAA), foram criadas para regulamentos de privacidade de subsetores específicos.

No nível estadual, somente a Califórnia tem uma lei de privacidade abrangente (Lei de Privacidade do Consumidor da Califórnia; CCPA). Ele garante aos consumidores certos direitos, por exemplo, de inspecionar e excluir seus dados, e obriga as empresas a tomar certas precauções de segurança ao lidar com dados pessoais. Com o CCPA e o GDPR como modelo, outros estados estão começando a seguir o exemplo na proteção de dados. No entanto, a proteção adequada ainda permanece baixa. 11