As empresas com presença global são desafiadas a cumprir um conjunto crescente de regulamentos regionais de proteção de dados.
Por Rosalyn Page
Com muitas jurisdições que adotam regulamentos de privacidade ao estilo da UE em conformidade com o RGPD da UE, tais como avaliações obrigatórias de impacto na proteção de dados, agentes de privacidade de dados e notificação a indivíduos e reguladores em caso de violação da segurança dos dados, o cumprimento está a tornar-se mais complexo e um encargo crescente para as organizações.
Ao mesmo tempo, as leis de soberania de dados que exigem que as empresas armazenem dados localmente estão a aumentar. Em alguns países, está também a ser prestada atenção à segurança dos dados. A forma como as leis de privacidade se desenvolveram, por que razão existem em primeiro lugar e como são regulamentadas são diferentes em quase todos os países. Todos estes fatores somam-se ao aumento das exigências regulamentares.
Múltiplas tendências que afetam a proteção de dados e leis de privacidade
Ao comparar a abordagem de privacidade de vários países, a questão é: estes países veem a privacidade como um direito humano fundamental, como na Europa?”, diz Miriam Wugmeister, parceira da Morrison Foerster e copresidente do seu grupo global de privacidade e segurança de dados.
O RGPD inspirou muitos países a reforçarem os seus regulamentos de privacidade e proteção de dados. A sua maior mudança em função das regras anteriores – e a razão pela qual todos prestaram atenção – foi porque mudou radicalmente as sanções, diz Wugmeister.
Para muitas organizações, todos estes desenvolvimentos podem significar aderir a padrões diferentes na sua presença global, explica. “Alguns usam o RGPD, especialmente os que têm sede na Europa. Algumas organizações apenas usam o básico e depois analisam os detalhes para diferentes regiões.”
A Austrália está atualmente a rever as suas leis de privacidade e uma das questões é se irá adotar regulamentos compatíveis com o RGPD. Os seus princípios estão a entrar na lei em todo o mundo. O Canadá está agora a considerar leis de privacidade semelhantes, tal como a sua província do Quebeque, para além dos regulamentos de soberania de dados existentes. ” O Japão está a melhorar cada vez mais as suas leis de privacidade. A Coreia do Sul sempre foi muito forte e agora é muito mais forte. A Tailândia introduziu uma lei baseada no RGPD. Recentemente, o Sri Lanka promulgou as suas leis influenciadas pelo RGPD. Paquistão e Índia têm projetos de lei fortes influenciados pelo RGPD que ainda estão em curso no processo legislativo”, diz Graham Greenleaf, professor de direito e sistemas de informação Universidade Nova Gales do Sul em Sydney e cofundadora do Australasian Legal Information Institute (AustLII).
Paralelamente, o governo federal dos EUA ignorou em grande parte a tendência inspirada no RGPD, diz Greenleaf. “Embora existam projetos federais inspirados no RGPD, não há sinal de que se tornem lei”, diz. Vários Estados tomaram a iniciativa de introduzir princípios semelhantes, incluindo a Califórnia, o Maine e o Nevada, e o Utah está agora a considerar legislação própria.
Esforços de privacidade e proteção de dados para além do RGPD
As várias mudanças nos regulamentos de proteção de dados e privacidade em todo o mundo vão além das inspiradas no RGPD.
Por exemplo, países asiáticos como o Japão, Singapura e Coreia do Sul são líderes na segurança de dados. Wugmeister espera que seja dada mais atenção à segurança dos dados e requisitos específicos nos regulamentos, diretrizes e estatutos devido ao nível de incidentes de cibersegurança e ao volume de atividades criminosas e patrocinadas pelo Estado relacionadas com ransomware e outros tipos de ciberataques.
Wugmeister diz que os Estados Unidos estão à frente de qualquer outro país quando se trata de denunciar violações. “Há duas leis que entraram em vigor que têm a ver com organizações críticas de infraestruturas e empresas públicas que precisam de notificar num curto espaço de tempo. Portanto, os Estados Unidos são líderes em termos de transparência no que diz respeito a violações de dados “, explica ao Computerworld.
Embora não seja estritamente uma questão de privacidade, salienta que o armazenamento barato representa uma ameaça real para a proteção de dados das organizações. Isto levou as organizações a serem menos rigorosas em relação à eliminação das coisas. ” Guardam tudo, e quando ocorre uma violação, há informações de pessoas que não interagem há 10 anos ou têm informações sensíveis que deveriam ter destruído”, diz.
Armadilhas de regulamentos de proteção de dados e privacidade
No que diz respeito ao foco das políticas de privacidade, há uma divergência entre a direção que os regulamentos estão a tomar e o que os consumidores realmente querem, diz Wugmeister. Para ele, as leis são direcionadas para informações mais detalhadas para os indivíduos e focam-se mais na escolha individual. “Acho que os consumidores não se preocupam com a maior parte do que está numa política de privacidade. Não querem mesmo escolher. Querem que a informação não seja mal utilizada. Querem que as suas informações sejam protegidas e não querem ser apanhadas desprevenidas”, disse.
Mas a forma como a regulamentação é aplicada pode sobrecarregar os consumidores, diz Wugmeister. “Mais organizações devem listar todos os prestadores de serviços com quem partilham informações. É excessivamente burocrático para as empresas e é completamente inútil para os consumidores. Estamos a ver isto em todo o mundo; não é exclusivo de qualquer região.
Outro grande desafio é a divergência entre as leis de privacidade. Todas as leis de privacidade baseiam-se no mesmo conjunto de princípios fundamentais: aviso, escolha, acesso e correção, supervisão dos prestadores de serviços e segurança de dados. Para uma grande parte, é possível criar um programa de privacidade e construir produtos que levem em consideração estes princípios básicos”, diz. No entanto, à medida que cada lei se torna mais detalhada e burocrática, torna-se mais difícil criar consistência e construir programas que protejam verdadeiramente a privacidade usando esse mesmo conjunto de princípios básicos.
“Temos de voltar ao básico, em vez de apenas aumentar os requisitos ou corresponder ao que outro país está a fazer”, diz Wugmeister. “Tentar tornar as coisas cada vez mais rigorosas, por exemplo, não é necessariamente útil. Pode criar um patchwork de diferentes regimes que não melhoram a privacidade.”
Wugmeister alerta ainda que a localização de dados, também conhecida como soberania de dados – a transferência de dados de bases de dados centralizadas para a sua dispersão em vários locais, para fornecer mais controlo local sobre esses dados e desencorajar a sua localização fora do âmbito de aplicação de um país – está a emergir como uma nova exigência em alguns países. Mais de 100 países têm este requisito, e a Índia está a considerá-lo. “Se vai mudar para a localização de dados, vai voltar a ter muitos servidores em muitos lugares diferentes. E então a pergunta é: “Como vai mantê-los seguros?”.
A localização dos dados também traz outro risco, diz: “As empresas mantêm dados no seu país para que os reguladores tenham acesso aos mesmos. Então, trata-se realmente de privacidade ou nacionalismo? As leis de privacidade podem ser usadas e interpretadas para atingir outros fins. A China, por exemplo, tem os requisitos mais rigorosos de localização de dados do mundo.
Pode ser exigido um tratado internacional de privacidade de dados
Embora o RGPD se tenha tornado uma medida global – e por uma boa razão – a UnsW Sydney’s Greenleaf defende que uma estrutura mais uniforme e vinculativa seria útil. Um tratado internacional poderia proporcionar a coerência necessária às organizações que lidam com regimes em diferentes países e criar uma verdadeira referência para medir os pontos fortes e fracos relativos de vários regimes.
Greenleaf aponta para a Convenção original 108 do Conselho da Europa da década de 1980, que poderia ser desenvolvida e ampliada para ser uma referência global. “É o único verdadeiro tratado internacional sobre a privacidade dos dados, enquanto o RGPD não é um tratado”, diz.
Com a Convenção 108, os países concordam e comprometem-se voluntariamente a cumprir os seus princípios e a permitir o livre fluxo de dados pessoais para outros países que dele fazem parte. Por ser um tratado aberto, qualquer país cuja legislação cumpra as suas normas pode inscrever-se. “Há oito países fora da Europa que estão partidos, e todos eles estão em África ou na América Latina neste momento”, diz Greenleaf.
Greenleaf diz que, em vez de começar com uma convenção completamente nova, sem signatários existentes, é melhor expandir a Convenção 108, que é uma versão diluída do RGPD e já tem 55 partes, incluindo muitas das economias mais avançadas do mundo.