O Regulamento Geral Sobre a Proteção de Dados – RGPD (ou General Data Protection Regulation – GDPR) é um dispositivo do Direito Europeu que versa sobre a proteção dos dados pessoais dos cidadãos e moradores da União Europeia e Espaço Econômico Europeu. Foi aprovado em 15 de abril de 2016 e, após período de transição de dois anos, entrou em vigor em 25 de maio de 2018, substituindo a Diretiva de Proteção de Dados Pessoais de 1995 (95/46/CE). O RGPD objetiva dar aos cidadãos e residentes formas de controlar seus dados pessoais, além de unificar as regulamentações acerca deste tema.
Sabe-se que em 2012 a União Europeia foi o bloco que tomou a vanguarda e iniciou a discussão sobre a proteção de dados, que viria a ser o RGPD, e que este Regulamento se tornou referência para as demais leis de proteção de dados pessoais de outros países, inclusive a do Brasil.
No Brasil, a Lei Geral de Proteção aos Dados – LGPD (Lei nº 13.709/2018) foi promulgada em 14 de agosto de 2018. Seu advento é fruto de discussões internas acerca de incidentes ocorridos que envolvem proteção de dados, como, por exemplo, a Lei Carolina Dieckmann (Lei nº 12.737/2012), que criminaliza a obtenção e uso indevido de dados pessoais obtidos por meio de aparelhos eletrônicos.
Em 2013, aconteceu o que ficou conhecido como “escândalo Edward Snowden” sobre exposição de dados pessoais. Snowden era técnico da National Security Agency (NSA) e da CIA, agências de segurança e de espionagem americanas, respectivamente, e revelou esquemas de espionagens e roubo de dados por parte dos norte-americanos contra os próprios americanos, países como o Brasil e sua presidente à época, e representações da União Europeia. Este fato acelerou a discussão e implantação do Marco Civil da Internet no Brasil (Lei n° 12.965/2014), que traz princípios, garantias, direitos e deveres para o uso da internet no Brasil, assegurando aos usuários, por exemplo, a inviolabilidade e sigilo do fluxo de suas comunicações pela internet e comunicações privadas armazenadas, salvo por ordem judicial.
Em 2015 foi noticiado que a Cambridge Analytica recolhia, por meio do Facebook, dados pessoalmente identificáveis desde 2014. Estes dados foram utilizados para influenciar opiniões de eleitores em vários países. O caso ganhou maior notoriedade em 2018 e aqueceu ainda mais as discussões a respeito da necessidade da proteção e privacidade dos dados.
No Brasil, em 2019, a Lei 13.853/2019 prorrogou a entrada em vigor da LGPD por mais seis meses, ou seja, em 14 de agosto de 2018. Porém, foi aprovada a Lei 14.010/2020 definindo em seu artigo 20 que as sanções administrativas previstas na LGPD entrariam em vigor apenas em agosto de 2021.
RGPD X LGPD
Ambas se aplicam a qualquer empresa ou pessoa que trate dados pessoais dentro de suas jurisdições, sendo a RGPD dentro da União Europeia e a LGPD no território brasileiro.
A definição de dado pessoal – constante no artigo 4º da RGPD e no artigo 5º da LGPD – é semelhante e se refere às informações relacionadas ou referentes a uma pessoa física identificada ou identificável.
Os princípios de Tratamento e privacidade da RGDP são nove, a saber: Licitude, Lealdade, Transparência, Limitação das finalidades, Minimização dos dados, Exatidão, Limitação da conservação, Integridade e confiabilidade, e Responsabilidade. Já na LGPD são dez, sendo eles: Finalidade, Adequação, Necessidade, Livre acesso, Qualidade dos dados, Transparência, Segurança, Prevenção, Não discriminação e Responsabilização. Ademais, as Bases Legais para Tratamento na RGPD são seis e na LGPD são dez.
No que tange a relação entre o Controlador de Dados e o Operador de Dados, a RGDP estabelece a exigência de um contrato entre Controlador e o Operador de Dados que explicite o tratamento dos dados, ao passo que a LGPD requer somente que o Operador execute o tratamento dos dados conforme orientação do Controlador, sem a exigência do referido contrato.
Nas Transferências Internacionais de Dados Pessoais, a RGPD impõe restrições à transferência de dados pessoais para países terceiros, de modo que se fazem necessários acordos e ajustes específicos para tal compartilhamento. Já na LGPD também há a imposição de restrições, mas a Autoridade Nacional de Dados (ANPD) ainda fica responsável por estabelecer regras de transferências.
Sobre o Registro de Tratamentos de Dados, a RGDP exige o registro de tratamento de dados pessoais e ainda especifica as informações sujeitas à manutenção de registros, ao passo que a LGPD apenas exige registro de tratamento dos dados pessoais.
No que tange a Avaliação de Impacto sobre a Proteção de Dados, a RGPD exige que o Controlador de Dados realize uma Avaliação de Impacto para mensurar os riscos, além de detalhar quando requer esta avaliação e o que exatamente ela deve cobrir. A LGPD exige que o Controlador de Dados realize uma Avaliação de Impacto para estimar os riscos de certas atividades de tratamento. Contudo, deixou a cargo da ANPD determinar quando essa avaliação é necessária.
Quanto ao Cargo de DPO ou Data Protection Officer, a RGPD exige que o Controlador e o Operador de dados pessoais nomeiem um Encarregado de Dados (DPO). A RGPD explicita quando os DPOs não são necessários. A LGPD exige que o Controlador de Dados pessoais nomeie um Encarregado de Dados (DPO).
No que concerne à Segurança e Violações de Dados, a RGPD exige que o Controlador de Dados implemente medidas de segurança de dados. A RGPD normatiza as medidas e determina que a comunicação com a autoridade de dados ocorra em até 72 horas em caso de evento, dispensando essa comunicação de acordo com a severidade do evento. Igualmente, a LGPD exige que o Controlador de Dados implemente medidas de segurança de dados. Contudo, a LGPD determina que a ANPD emitirá orientações e deverá ser informada, bem como o titular do dado, em caso de ocorrência de evento.
Em relação às Penalidades e Sanções, ambas estabelecem multas, sanções e processos civis a controladores e operadores, de acordo com o tipo de evento e severidade.
CONCLUSÃO
É notável que a RGPD é um dispositivo mais restritivo e com mais detalhes, visto que possui maiores especificações e exigências, destacando-se, ainda, pelas responsabilidades desempenhadas pelo Data Protection Officer, que nessa possui seu papel mais bem definido. Cabe ressaltar que é razoável esta ser mais avançada, uma vez que se trata de um regulamento mais amadurecido e com maior tempo de discussão que a LGPD.
Outro ponto relevante é a necessidade ou não da confecção da Avaliação de Riscos – também conhecida como Relatório de Impacto de Proteção de Dados – que nada mais é que uma análise de riscos de segurança de dados pessoais, ou seja, analisa-se a atividade de uma determinada empresa ou pessoa e os riscos de exposições de dados inerentes a essa atividade. Posteriormente, avalia-se o sistema de proteção existente para verificar se há ou não vulnerabilidades que propiciem que os eventos de riscos identificados venham a se concretizar.
Contudo, a avaliação de riscos vem gerando preocupação e confusão no âmbito da LGPD, principalmente para micro e pequenas empresas, devido aos custos envolvidos em tal tipo de trabalho técnico. Nesse ponto, o GDPR define de maneira muito mais clara quando esta avaliação deve ser realizada.
Ademais, a LGPD deixou muitos espaços para a ANPD monitorar, o que acaba demonstrando que o referido instrumento não possui autossuficiência, necessitando de um órgão de fiscalização para verificação do cumprimento da lei.
Por fim, evidencia-se que o debate é muito recente e com certeza necessitará de maior amadurecimento e adaptação, que só virão com o tempo e muita dedicação ao tema.