Olá, e obrigado pela sua visita! Num post anterior, apresentei aspectos e implicações da GDPR para empresas ao redor do mundo todo. Recentemente, mais precisamente em abril de 2018, o governo dos Estados Unidos aprovou uma legislação similar chamada CLOUD Act (Clarifying Lawful Overseas Use of Data Act), ou Esclarecimento Legal do Uso de Dados no Exterior. Em território brasileiro, temos a LGPD (Lei Geral de Proteção de Dados), a ser discutida um pouco mais adiante neste artigo. Também faremos comparações entre ambos e a GDPR.
O trocadilho com “cloud” (nuvem) não é à toa. A regulamentação afeta diretamente os provedores de computação em nuvem pública, cujas origens sejam norte-americanas. Na verdade, qualquer empresa norte-americana de tecnologia está enquadrada na lei. O instrumento vem como um reforço a uma legislação já existente, a SCA (Stored Communications Act), ou Lei de Comunicações Armazenadas, numa tradução livre.
Por meio do CLOUD Act, empresas cuja origem seja norte-americana têm obrigação de fornecer, sob ordem judicial, dados armazenados em qualquer uma de suas localidades (matriz, escritórios, filiais, representantes). Este dado pode ou não estar fisicamente localizado nos Estados Unidos.
O que havia antes
Anteriormente, o SCA, ou U.S.C. 18 Chapter 121 (United States Code, Capítulo 21), era a legislação em vigor referente a proteção de dados. O U.S.C. é o equivalente ao nosso Código Penal. Observe que a parte específica do SCA se enquadra entre os parágrafos 2701 e 2712. O SCA corresponde ao “Title 2” do ECPA (Electronic Communications Privacy Act), Lei de Privacidade em Comunicações Eletrônicas, de 1986. O ECPA, por sua vez, estendia o alcance das inspeções governamentais para as comunicações eletrônicas realizadas por computadores. Até então, tais monitoramentos aconteciam apenas em conversações telefônicas (Federal Wiretap Act, de 1968).
A Quarta Emenda diz, em linhas gerais, que uma pessoa tem direito à proteção, isolando-a contra buscas e apreensões realizadas de maneira não razoável. No entanto, justamente este termo “não razoável”, ou unreasonable, em Inglês, é o ponto polêmico. A emenda não o detalha.
No entendimento da legislação do referido país, “comunicações eletrônicas” correspondem a qualquer tipo de transmissão de sinais, escrita, imagens, sons, dados ou inteligência de qualquer natureza, realizada no todo ou em parte, através de sistema cabeado, ou por rádio, ou usando meio eletromagnético, fotoeletrônico, ou ainda fotoóptico. Existem algumas exceções. Para um detalhamento desta definição, acesse o texto original da lei disponível aqui.
A Constituição dos Estados Unidos possui uma emenda (a quarta) que trata sobre proteção das pessoas. Ela faz parte da “Bill of Rights”, ou Declaração de Direitos. É algo mais amplo, e que nos lembra, de certa forma, o artigo quinto da Constituição Brasileira, que trata sobre diversos direitos do cidadão brasileiro, a saber: vida, liberdade, igualdade, segurança e propriedade. Observe os dois últimos itens sublinhados. É possível fazer um relação direta entre eles e os equivalentes no código norte-americano. De qualquer maneira, não é nosso foco.
Por um entendimento do Direito norte-americano conhecido como “Third-Party Doctrine”, ou “Doutrina de Terceiros”, numa tradução literal, quando uma pessoa entrega seus dados a uma entidade externa, como um provedor Internet, renuncia automaticamente à sua privacidade.
A Quarta Emenda diz, em linhas gerais, que uma pessoa tem direito à proteção, isolando-a contra buscas e apreensões realizadas de maneira não razoável. No entanto, justamente este termo “não razoável”, ou unreasonable, em Inglês, é o ponto polêmico. A emenda não o detalha. Confrontam-se aqui os interesses individuais da pessoa com a necessidade de garantir a segurança pública, um dever do Estado. Então, para todos os efeitos, cabe ao agente aplicador da lei, um policial, por exemplo, entender o que seria ou não razoável em determinada circunstância.
Como a Quarta Emenda possuía esta lacuna de entendimento, algo precisaria surgir para especificar melhor como um indivíduo poderia ser protegido não apenas no contexto físico (espacial), mas também primordialmente nos dados e informações que gerava. Desta maneira, os conceitos de busca e apreensão também precisam ser levados em conta ao se referir aos dados. Por um entendimento do Direito norte-americano conhecido como “Third-Party Doctrine” (link em Inglês), ou “Doutrina de Terceiros”, numa tradução literal, quando uma pessoa entrega seus dados a uma entidade externa, como um provedor Internet, renuncia automaticamente à sua privacidade. Por meio de uma intimação simples, um agente governamental devidamente constituído pode exigir do provedor a liberação dos dados de qualquer pessoa.
E foi neste ínterim que surgiu o ECPA, de onde foi derivado o SCA. O ECPA possui três “titles”, ou partes, sendo que o SCA corresponde à segunda (Title II). Numa visão geral, o SCA limita a capacidade do governo em solicitar aos provedores dados de pessoas, aplicando algumas restrições. Antes do SCA, seguindo diretivas da Quarta Emenda, uma intimação simples era suficiente para obrigar o provedor a fornecer os dados solicitados pelo governo. Com a adoção do SCA, e-mails e outras formas de comunicação eletrônica passaram a ser tratadas como privadas do indivíduo e, portanto, passíveis de proteção como ele próprio.
CLOUD Act
Ok, compreendi. Mas então, por que a necessidade de outra legislação se os meios eletrônicos já estavam protegidos? Uma pergunta interessante, mas com uma resposta objetivamente simples: com a aplicação do SCA, como vimos no tópico anterior, o governo passou a ter dificuldades em exigir das empresas o fornecimento de dados, especialmente relacionados a investigações. Em 1986, quando o SCA entrou em vigor, a Computação em Nuvem ainda não existia. Por décadas, o governo simplesmente relaxou para entender que o dado de uma pessoa pode estar fisicamente em qualquer lugar do mundo, uma vez que as empresas que operam neste segmento possuem data centers geograficamente dispersos de maneira global.
Algumas entidades de Direito norte-americano enviaram uma carta ao Congresso em março de 2018, na tentativa de avisar os riscos em potencial para a privacidade dos usuários que o CLOUD Act poderia gerar.
Como é amplamente sabido, as maiores empresas de computação em nuvem são norte-americanas. E é assim que, como falei no começo do artigo, o trocadilho com a palavra cloud não vem à toa. Para garantir que o acesso a esse dado seja efetivamente possível, fez-se necessário alterar a legislação. Do contrário, casos como o ocorrido em 2013 com a Microsoft (em Inglês) poderiam se repetir, e pior, devidamente amparados pela regulamentação em vigor.
Além de solicitar que o dado seja fornecido, independente de em qual país ele esteja fisicamente localizado, a legislação também permite que os Estados Unidos possam estabelecer acordos de cooperação com outras nações a fim de facilitar o processo de aquisição do dado.
Algumas entidades de Direito norte-americano enviaram uma carta ao Congresso em março de 2018, na tentativa de avisar os riscos em potencial para a privacidade dos usuários que o CLOUD Act poderia gerar. O conteúdo completo da carta pode ser visto aqui. Uma destas entidades foi a Electronic Frontier Foundation, criada em 1990 com o intuito de promover liberdades civis na Internet. Seu manifesto contra a regulamentação pode ser encontrado aqui.
Para estas entidades, cidadãos norte-americanos que estejam mantendo contato com suspeitos de crimes contra a segurança nacional dos Estados Unidos, como o terrorismo, correm o risco de ter suas comunicações escancaradas de forma deliberada antes mesmo que evidências suficientes possam ser levantadas/colhidas contra tais suspeitos.
Curiosamente, o CLOUD Act foi aprovado sem muitas discussões no sistema multicameral legislativo norte-americano, constituído pela Casa dos Representantes (equivalente à nossa Câmara dos Deputados) e Senado Federal. Ele foi anexado a uma “omnibus spending bill“, uma espécie de lei orçamentária, que pode ser aprovada com um voto simples em cada um dos constituintes, ou seja, um voto dos Representantes/Deputados, e um dos Senadores. Para uma discussão mais detalhada sobre o significado do termo, leia esta matéria. O fato de ter sido considerado após uma aprovação simplória como esta acendeu o alerta vermelho nas instituições de Direito Civil nos Estados Unidos e motivou os manifestos citados.
Em comparação com a GDPR europeia, percebemos claramente que o CLOUD Act não tem os mesmos propósitos. Enquanto a regulamentação do velho mundo preocupa-se, sumariamente, com a proteção dos dados de seus cidadãos, ou dos dados envolvendo operações de empresas em território europeu, o CLOUD Act, por sua vez, visa a garantir ao governo dos Estados Unidos o direito de ter acesso a dados armazenados em qualquer lugar do mundo se julgarem que tal dado é importante para alguma investigação em curso.
No entanto, é importante salientar que a GDPR possui um artigo, o 48, que trata sobre a necessidade de acordos internacionais previamente estabelecidos para que seja possível a divulgação de qualquer dado pessoal protegido por ela. Tais acordos são chamados de MLATs (Mutual Legal Assistance Treaty), ou “Tratado de Assistência Legal Mútua”, numa tradução livre. Para um mapa dos MLATs em todo o mundo, veja este link.
Parece que as discussões sobre o tema ainda vão longe…
LGPD (antigo PLC/53)
Na última segunda-feira (09/07/2018), o Senado Federal brasileiro aprovou o PLC/53 (Projeto de Lei da Câmara número 53), que trata sobre proteção de dados em território brasileiro. Falta, ainda, a sanção do presidente Michel Temer. Ele ficou conhecido como LGPD (Lei Geral de Proteção de Dados), bastante similar ao nome da legislação europeia. Havia um receio de que este assunto não fosse entrar em votação antes do recesso do Congresso Nacional, marcado para o próximo dia 18/07/2018, devido ao início dos preparativos para os pleitos eleitorais executivo e legislativo nas esferas estadual e federal.
Um dos motivadores para incentivar a aprovação da legislação se deve ao fato de tanto América do Norte quanto Europa imporem dificuldades em continuar a realizar transações comerciais com o Brasil caso não houvesse uma regulamentação apropriada para tal fim.
Este projeto, já citado no meu post sobre GDPR, estava em tramitação há aproximadamente seis anos. Após o escândalo do vazamento de dados do Facebook, citado no referido post, bem como a entrada em vigor da GDPR, voltou a ter foco nas pautas do Poder Legislativo.
No entanto, o projeto tramitou em meio a um forte escândalo envolvendo o SERPRO (Serviço Federal de Processamento de Dados) na venda de dados de diversos contribuintes armazenados na Receita Federal. Mesmo após o órgão ter se manifestado alegando que estava apenas cumprindo o que diz a portaria 457/2016 do Ministério da Fazenda, as investigações continuam sendo conduzidas pelo MPF-DF (Ministério Público Federal do Distrito Federal).
Assim como ocorre na regulamentação europeia, e aqui cabe uma comparação direta, a intenção é a proteção de dados pessoais de indivíduos brasileiros, ou em território brasileiro. Dados como nome, endereço, data de nascimento, estado civil e situação patrimonial são alguns exemplos. Algo que merece destaque: o instrumento prevê a obrigatoriedade de proteção dos dados tanto por empresas privadas quanto públicas. O relator do projeto, Senador Ricardo Ferraço, optou por não alterar o texto original, para que o mesmo pudesse seguir mais rapidamente pela votação.
O projeto corresponde à junção de três outros projetos, a saber:
- PL 4060/2012 (Câmara dos Deputados);
- PL 5276/2016 (Câmara dos Deputados);
- PLS 330/2013 (Senado).
Um dos motivadores para incentivar a aprovação da legislação se deve ao fato de tanto América do Norte quanto Europa imporem dificuldades em continuar a realizar transações comerciais com o Brasil caso não houvesse uma regulamentação apropriada para tal fim.
Algo que pode passar despercebido, mas também é crucial: os dados não precisam ser necessariamente digitais.
Um outro item que merece destaque é a criação de uma Autoridade Nacional de Proteção de Dados, ou ANPD, com poderes de fiscalização e punição, e a ser vinculada ao Ministério da Justiça. Já existem entidades neste formato, como as agências ANEEL (Energia Elétrica) e ANATEL (Telecomunicações). Esta autoridade se mostra fundamental ao sucesso da LGPD, pois caberá a ela inspecionar de forma sistemática todas as empresas públicas e privadas, exigindo o cumprimento da legislação, além de garantir a aplicação de multas quando cabível. Entretanto, o UOL apurou que o presidente Michel Temer estuda entregar a tarefa de criar a ANPD para o próximo presidente da república, o que é um verdadeiro “balde de água fria” na cabeça de todos os cidadãos.
Em seu capítulo 9, está prevista a criação do “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”. Entre outras tarefas, será responsável por desenhar propostas de políticas de dados pessoais, e garantir a disseminação do conhecimento sobre proteção de dados pessoais e privacidade à população como um todo.
Após ser aprovada por Temer, a LGPD terá um prazo de 18 meses para entrar em vigor. Entre diversos fatores, ela prima pela proteção da privacidade e liberdade (recorra ao começo do artigo, quando tratamos do Artigo quinto da Constituição Federal). O texto cita sete fundamentos que regem a disciplina de proteção de dados pessoais, dos quais destaco dois: a inviolabilidade da privacidade, e a autodeterminação informativa. O primeiro tem significado óbvio. O segundo é traduzido como o direito que o proprietário do dado tem de acessá-lo, correlacioná-lo e excluí-lo de bancos de dados. Perceba o alinhamento claro com o princípio de propriedade do dado que a pessoa afetada pela GDPR possui.
O repasse de dados só pode ser feito a outra entidade/empresa com autorização expressa do proprietário. Isto reforça o direito de propriedade do dado à pessoa física, princípio no qual se baseia toda a GDPR.
O inciso I do Artigo 3o. reforça que a legislação tem força apenas em território brasileiro, afetando qualquer operação realizada nele, mesmo que a empresa ou órgão envolvidos tenham origem em outro país qualquer. Aqui, novamente, vê-se a similaridade com a GDPR. Algo que pode passar despercebido, mas também é crucial: os dados não precisam ser necessariamente digitais. O Artigo 1o. deixa isso bem claro, ao informar que “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais”. Isto é, documentos quaisquer que contenham dados pessoais e estejam em poder de empresas e entidades estão automaticamente protegidos.
A LGPD trata de três tipos de dados, que são:
- Dado Pessoal: dados relacionados à pessoa natural identificada ou identificável;
- Dado Sensível: dados que podem ser usados para causar dano ao titular, como raça/etnia, religião, sexualidade, opinião política, dados genéticos e biométricos (mais uma similaridade com a GDPR);
- Dado Anonimizado: dados pessoais relativos a um titular que não possa ser identificado (GDPR também endereça esta questão).
Assim como a GDPR, a LGPD tem princípios sob os quais se baseia. Alguns deles, os que considerei mais importante seguem logo abaixo:
- O Princípio do Consentimento diz respeito ao fato de que o dono do dado precisa explicitamente consentir em sua coleta.
- Primeiro adendo: há um entendimento de que se o dono do dado o expõe publicamente por vontade própria (em redes sociais, por exemplo), significa que seu consentimento é implícito. Ou seja, dados poderiam ser coletados desta maneira sem autorização prévia do dono;
- Segundo adendo: dados de crianças e adolescentes só podem ser coletados e manipulados com autorização expressa de pais ou responsáveis.
- O Princípio da Finalidade afirma que é necessário haver um motivo pelo qual a empresa ou órgão público solicita a coleta do dado;
- O Princípio da Necessidade atesta que apenas dados estritamente necessários para uma dada tarefa devem ser coletados.
O repasse de dados só pode ser feito a outra entidade/empresa com autorização expressa do proprietário. Isto reforça o direito de propriedade do dado à pessoa física, princípio no qual se baseia toda a GDPR. O instrumento regulatório brasileiro também prevê a figura do Encarregado de Dados, pessoa com atribuições equivalentes ao Data Protection Officer da regulamentação da Europa. Será responsável por implantar o canal de comunicação entre o proprietário do dado e a empresa/órgão. Suas tarefas, detalhadas na Seção 2 do texto, lembram as de um ombudsman.
Por fim, mas não menos importante, as multas! A Seção 1 do Capítulo 8 trata das sanções. Ao contrário da GDPR, que aplica punições com base no faturamento da empresa ou em 20/40 milhões de euros, o que for maior, a LGDP aplica um percentual de até 2% do faturamento da empresa ou grupo controlador, limitado a um máximo de R$ 50 milhões. Parece brando quando comparado com sua irmã europeia, mas o restante da Seção 1 trata de punições complementares, que podem chegar até a “proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”.
O escritório de advocacia Ópice Blum, uma das referências em diversos campos do Direito no Brasil, divulgou um excelente gráfico onde são apresentados, segundo ele, os 12 principais pontos da LGPD. Gostei tanto que achei interessante incluir no artigo. Alguns deles foram comentados aqui:
Conclusão
Com base em tudo o que foi exposto aqui, parece ficar claro que o CLOUD Act nada tem a ver com a GDPR, nem mesmo alguma inspiração. De fato, lembrando a necessidade de existência de MLATs, os dois instrumentos chegam até mesmo a colidir. Já com relação à LGPD brasileira, fica muito fácil realizar diversas comparações com a regulamentação europeia. Pode-se até inferir que a LGPD foi bem inspirada no texto da GDPR. De qualquer forma, é algo que já deveria estar em vigor há muito tempo, haja vista que a proliferação de dados requer um tratamento adequado, que só pode ser dado através de um instrumento regulatório bem aplicado (e fiscalizado).
Até o próximo encontro. 😉
6 comentários
Rodrigo Correa · 2018-07-16 às 14:23
Parabéns pelo texto.
Muito elucidativo e bem escrito.
Maurício Harley · 2018-07-19 às 14:04
Olá, Rodrigo!
Obrigado. Fico feliz que tenha gostado. Sinta-se à vontade para compartilhar.
Matheus Banhos · 2018-08-12 às 22:53
Parabéns pelo texto.
Maurício, em relação ao relatório ou mapeamento dos dados, já tem uma ideia de como nós profissionais de segurança da informação podemos começar a mapear para uma fácil entrega ou até mesmo para atender a exigência da lei com a portabilidade dos dados pessoais?
Maurício Harley · 2018-08-18 às 09:24
Matheus, fico feliz que tenha gostado. Obrigado. 🙂
Sobre o mapeamento, basicamente, as mesmas ferramentas que existem para classificação de dados na GDPR. Você pode consultar este relatório (https://cdn2.hubspot.net/hubfs/425776/Forrester%20Wave%20Report%202017-2.pdf?t=1534446690900) para ter uma ideia de algumas sugestões. No entanto, continuo alerta para novos lançamentos.
Helio Abreu · 2018-08-14 às 18:17
Parabéns pelo excelente texto.
Maurício Harley · 2018-08-18 às 09:07
Muito obrigado, Helio.
Fico feliz que tenha gostado.