Nesta ilustração de foto, o CEO do Facebook, Mark Zuckerberg, visto em uma tela de celular enquanto testemunha remotamente durante a audiência do Comitê de Comércio, Ciência e Transporte do Senado dos EUA, intitulado “A Imunidade Varredora da Seção 230 possibilita mau comportamento de Big Tech?” no Capitólio em Washington, DC, Estados Unidos.
Pavlo Conchar | LightRocket | Getty Images
À medida que as abrangentes leis GDPR da Europa se aproximam de seu terceiro aniversário, outras jurisdições ao redor do mundo estão aproveitando as dicas para desenvolver suas próprias estruturas.
O regulamento da UE (o Regulamento Geral de Proteção de Dados) ajudou a colocar a proteção de dados em primeiro plano para legisladores e empresas, especialmente com o espectro de multas pesadas.
“Definitivamente, o GDPR criou uma consciência de privacidade muito maior. Muitas empresas estão dizendo agora que está sendo discutido em salas de reuniões por causa do valor potencial das multas”, disse Estelle Masse, analista sênior de políticas do grupo de direitos digitais Access Now.
Uma dessas leis é a Lei de Direitos de Privacidade da Califórnia, aprovada em novembro de 2020 e ampliada a partir da Lei de Privacidade do Consumidor da Califórnia de 2018.
A lei atraiu muitas comparações de observadores ao GDPR em como concede mais controle ao consumidor e apresenta a possibilidade de multas por infrações e violações de dados.
“Acho que havia semelhanças no sentido de que ambos forneciam mais direitos e proteções ao usuário, então eram bastante centrados no usuário em sua abordagem”, disse Masse.
Outras jurisdições podem olhar para o GDPR como inspiração sobre o que funciona e o que não funciona, embora existam muitas nuances e características europeias a serem consideradas que podem não necessariamente se traduzir.
“Mas há uma série de direitos e requisitos essenciais. As pessoas precisam ser protegidas, as pessoas precisam permanecer no controle de suas informações e uma obrigação deve ser imposta às empresas se quiserem usar essas informações”, explicou Masse.
A principal diferença entre a lei da Califórnia e o GDPR se resume à aplicação. A Califórnia é apenas um estado, enquanto a UE são 27 nações com suas próprias autoridades de proteção de dados e seus próprios desafios.
Isso gerou discussões entre diferentes comissários de proteção de dados sobre quem está exercendo sua influência na aplicação da lei e quem não está, com a autoridade irlandesa recebendo a maioria das críticas.
“Nosso modelo de fiscalização está mostrando algumas falhas, então acho que há uma grande lição aprendida para outros que estão olhando para a Europa”, disse Masse à CNBC.
“Acho que o GDPR é um sucesso legislativo, mas até agora é uma falha de fiscalização e podemos aprender com isso.”
A chave para lidar com esses desafios é garantir total independência para uma autoridade de proteção de dados, ao mesmo tempo em que oferece amplos orçamentos e recursos para regular a economia de dados em constante crescimento.
Lei federal
Mark McCreary, advogado de privacidade e segurança de dados da firma Fox Rothschild, da Filadélfia, disse que os estados dos Estados Unidos a introdução de suas próprias leis de privacidade de dados criam desafios únicos para as empresas em conformidade de estado para estado.
Ele aponta a recentemente aprovada Lei de Proteção de Dados do Consumidor da Virgínia como mais um desenvolvimento. Possui características semelhantes às da Califórnia, mas também apresenta suas próprias nuances.
“A definição de informações pessoais é um pouco diferente e a definição de dados pessoais confidenciais é um pouco diferente”, disse McCreary.
Ações divergentes em nível estadual podem freqüentemente renovar pedidos de algum tipo de lei federal de privacidade.
“As pessoas têm perguntado isso há anos”, disse Alex Wall, consultor jurídico corporativo para privacidade da Rimini Street e ex-Adobe e New Relic.
“Acho que é difícil porque, por um lado, depende de qual administração está no comando e os dois têm motivos diferentes para querer uma legislação de privacidade.”
Esses tipos de atrasos e obstáculos no desenvolvimento da legislação federal podem fazer com que mais estados tomem suas próprias ações, criando gradualmente uma colcha de retalhos de diferentes leis de proteção de dados de estado para estado.
“Então, eventualmente, chegará a um ponto em que os lobistas empresariais em Washington estão todos a bordo com a racionalização e antecipação dessas leis porque elas se tornaram muito difíceis de navegar”, disse Wall.
McCreary acrescentou que a criação de uma lei federal provavelmente levará a muitas disputas, com os estados tendo expectativas variadas sobre os detalhes mais sutis, como o direito privado de ação – que permite que partes privadas entrem com um processo.
“Parte do problema é que você tem a Califórnia se levantando e dizendo que se vocês tentarem aprovar uma lei federal de privacidade e não tiverem o direito privado de ação, não vamos apoiá-la”, disse McCreary.
Movimentos globais
Além dos Estados Unidos, várias grandes nações aprovaram ou atualizaram suas leis nacionais de proteção de dados.
A Lei Geral de Proteção de Dados do Brasil entrou em vigor no final do ano passado. O regulamento atualizou e consolidou 40 regras diferentes em uma estrutura.
O LGPD ainda está em sua infância, mas outros governos da América Latina estão seguindo o exemplo e têm suas novas leis em andamento, como a Argentina, disse Masse do Access Now.
Mas a próxima grande lei de proteção de dados que os falcões legais estão observando atentamente está na Índia.
A Lei de Proteção de Dados Pessoais é atualmente fazendo seu caminho através dos vários estágios do Parlamento da Índia e introduzirá limites mais rígidos na maneira como as empresas podem usar os dados e conceder mais controle aos usuários, a la GDPR.
Masse disse que a regulamentação da Índia, quando aprovada, provavelmente terá uma influência significativa também nas futuras leis de outros países “devido à grande quantidade de pessoas e ao papel que este país teria na economia global de dados”.
“Guru da comida. Fanático por bacon. Apaixonado por tv. Especialista em zumbis. Aficionado freelance da cultura pop.”