Muito discutidas na atualidade, as leis de proteção de dados são regulamentações desenvolvidas por governos e que entraram em vigor com o objetivo de proteger informações pessoais e sigilosas dos cidadãos portadores de dados.

Porém, muitas empresas ainda não se adequaram a essas legislações e podem ser impactadas por sanções milionárias em caso de vazamento de informações.

Quer saber mais sobre esse tema? Acompanhe nosso artigo até o fim!

Até 2023, 75% da população mundial será coberta por leis de proteção de dados, segundo estimativas do Gartner. Essas legislações têm o intuito de definir diretrizes para a coleta, tratamento e armazenamento de dados pessoais, preservando a privacidade dos portadores de dados.

Atualmente, 71% dos países já contam com leis de privacidade, 80% apresentam leis relacionadas a cibercrimes, 49% possuem leis de defesa do consumidor e 81% contam com leis de transações eletrônicas.

Diante desse cenário, as organizações devem cumprir os termos exigidos por essas legislações, evitando a perda de receita por meio de sanções milionárias.

Neste artigo, mostramos tudo o que você precisa saber sobre leis de proteção de dados, que estão em vigor em diferentes países. Nosso conteúdo explora os seguintes tópicos:

1. Leis de proteção de dados: o que são, como funcionam e qual a importância?

2. Leis de proteção de dados por país

3. GDPR: importante lei de proteção de dados europeia

4. LGPD: lei de proteção de dados brasileira

5. Principais leis de proteção de dados

6. Casos emblemáticos de vazamento de dados

7. Práticas básicas para estar em conformidade com as leis de proteção de dados

8. Sobre o senhasegura

9. Como o PAM senhasegura possibilita a conformidade com leis de proteção de dados?

10. Conclusão

Boa leitura!

1. Leis de proteção de dados: o que são, como funcionam e qual a importância?

As leis de proteção de dados regulamentam políticas de proteção de dados pessoais e privacidade, impactando diretamente na maneira como as organizações tratam as informações referentes aos seus colaboradores, clientes e parceiros de negócios.

Na prática, são conjuntos de regras aplicadas na coleta, tratamento e armazenamento dos dados utilizados por pessoas físicas, empresas e organizações governamentais.

É importante ressaltar que países que queiram manter negociações entre si devem cumprir as legislações vigentes nas duas nações.

Muitos países ainda não têm leis rigorosas e sedimentadas sobre o tema, porém alguns já as possuem, e esse será o assunto do próximo tópico.

2. Leis de proteção de dados por país

Agora você vai conhecer o contexto das leis de proteção de dados ao redor do mundo. Confira:

• Alemanha

Quando o assunto é regulamentação sobre privacidade e proteção de dados, a Alemanha está na frente de muitos países. Sua Lei Federal de Proteção de Dados (Bundesdatenschutzgesetz ? BDSG) foi oficializada em 2017 para substituir a legislação homônima criada em 2001, e complementar a GDPR.

A lei de proteção de dados da Alemanha aborda os direitos e deveres de instituições públicas e privadas sobre a coleta e tratamento de dados. Também apresenta diretrizes específicas de como as organizações devem tratar os dados de seus colaboradores.

Na prática, essa legislação oferece direcionamentos para temas específicos, como o processamento de dados no âmbito do emprego, a estipulação de um responsável pela proteção de dados, criação de perfis e verificações de crédito.

Além disso, diversas leis alemãs definem normas de privacidade estritas para determinados tópicos, como provedores de telemídia e telecomunicações, bancos e energia.

• Argentina

A Lei de Proteção de Dados da Argentina deve ser cumprida por qualquer pessoa ou instituição que lide com dados pessoais. Além disso, essa legislação exige o consentimento do usuário para a coleta das informações.

Outra garantia proporcionada pela lei argentina é que o titular dos dados possa acessar, corrigir, deletar e solicitar a exclusão de seus dados sempre que julgar necessário.

• Austrália

A Lei de Privacidade australiana é de 1988, e impõe normas voltadas aos setores público e privado. Entre os 13 Princípios Australianos de Privacidade abordados na legislação, destacam-se temas como direitos do titular dos dados, transparência e uso e divulgação das informações.

Além da lei vigente em todo o país, os estados australianos também apresentam regulamentações próprias, direcionadas a determinados segmentos.

• Brasil

No Brasil, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020, mas o tema já havia sido explorado antes na Constituição Federal e no Código de Defesa do Consumidor.

Além disso, em 2014, foi sancionado o Marco Civil da Internet, que aborda os direitos e deveres dos usuários da rede, como privacidade, liberdade de expressão e responsabilidade civil.

• Canadá

Entre leis provinciais e federais, o Canadá apresenta um total de 28 regulamentações sobre proteção de dados. Sua lei federal é a Personal Information Protection and Electronic Documents Act (Pipeda), que normatiza a coleta, tratamento e divulgação de informações pessoais.

A Pipeta aborda 10 princípios a serem seguidos pelas organizações e conta com legislações semelhantes e complementares utilizadas em Alberta, Colúmbia Britânica e Quebec.

• China

Também conhecida como O Padrão, a lei Tecnologia da Informação: Especificação Sobre Segurança de Informações Pessoais é a legislação chinesa sobre privacidade de dados.

Trata-se de um conjunto de normas que aborda temas como direitos do titular, transparência e consentimento. Essa lei veio para substituir várias regulamentações distintas sobre esses assuntos.

• Europa

A Lei de proteção de dados vigente na Europa é a GDPR, que se baseia em sete princípios para o tratamento de dados. São eles: legalidade, justiça e transparência; limitação de propósito; minimização de dados; precisão; limitação de armazenamento; integridade, confidencialidade e responsabilidade.

Seguir esses princípios possibilita às empresas se manterem em conformidade com o regulamento. Inclusive, controladores de dados também assumem a responsabilidade por seu processamento e devem estar de acordo com a legislação europeia.

Na prática, os dados pessoais devem ser:

• Processados de forma lícita, justa e transparente;
• Coletados para propósitos específicos, legítimos e explícitos, e processados de modo compatível com as justificativas oferecidas. No caso de tratamento posterior para objetivos de interesse público, não devem ser considerados incompatíveis com as finalidades iniciais;
• Apropriados, relevantes e limitados ao indispensável para as finalidades propostas;
• Precisos, atualizados, apagados e retificados imediatamente após seu uso;
• Os dados devem permitir a identificação de seus titulares apenas pelo tempo necessário para seu uso. Porém, podem ser armazenados por períodos mais longos se forem processados exclusivamente para fins de interesse público, pesquisa científica, histórica, ou finalidades estatísticas relacionadas à implantação de medidas técnicas e organizações requeridas pelo GDPR.
• Seu processamento também deve garantir a segurança dos dados pessoais, o que inclui proteger contra processamento ilegal, perda, destruição ou dano acidental.

• Colômbia

Existem quatro legislações que regulamentam a privacidade de dados na Colômbia. São elas: o Decreto 1.377/13, a Lei 1.581/12, a Lei 1.273/09 e a Lei 1.266/08.

O primeiro aborda questões como consentimento, políticas de processamento de dados pessoais e transferências internacionais de informações.

As demais leis abordam, respectivamente, como deverá se realizar a coleta, o armazenamento e processamento de dados; crimes cibernéticos e dados comerciais e financeiros, entre outros tópicos.

• Estados Unidos

Os Estados Unidos têm diversas leis regendo a privacidade de dados, conforme o segmento ou estado. Ao todo, são cerca de 20 leis referentes a uma única área, além de aproximadamente 100 legislações estaduais.

Só o estado da Califórnia apresenta 25 leis, sendo a Lei da Califórnia de Privacidade do Consumidor (CCPA) a principal.

Apesar dessas leis estaduais e de legislações como a Lei de Privacidade, a Lei de Proteção à Privacidade, Lei Gramm-Leach-Bliley, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde e a Lei de Relatório de Crédito Justo, os Estados Unidos ainda não possuem uma legislação específica para a proteção de dados dos seus cidadãos.

• Filipinas

A principal legislação sobre proteção de informações pessoais nas Filipinas é a Lei de Privacidade de Dados, redigida em 2012 e implantada em 2016.

De acordo com essa regulamentação, os indivíduos têm direito de saber quais empresas acessam seus dados, com que propósito, quem terá acesso às informações e por quem elas serão processadas.

• França

Assim como a Finlândia, a França também substituiu sua antiga regulamentação a fim de contemplar com mais fidelidade os aspectos abordados na GDPR: sua Lei de Proteção de Dados (Lei 78-17) foi trocada pela Lei 2 de Proteção de Dados (2016-1321).

De acordo com a nova legislação, as empresas devem especificar os objetivos do tratamento de dados e garantir que apenas informações essenciais a esses propósitos sejam coletadas.

• Índia

Atualmente, a índia conta com várias leis complementares sobre segurança de dados, sendo as mais importantes a Lei de Tecnologia da Informação e a lista de Regras de Tecnologia da Informação.

Além disso, em 2019, o país publicou a Lei de Proteção de Dados Pessoais, que está sendo analisada por uma comissão parlamentar.

• Indonésia

A Indonésia possui um conjunto de normas sobre proteção de dados, que se concentram na Lei de Informação e Transações Eletrônicas, sua emenda e mais duas regulações.

Em breve, suas regras também devem ser reunidas em torno de uma única legislação, formulada nos moldes da GDPR.

• Japão

A proteção de dados no Japão foi regida até 2003 pela Lei de Proteção de Informações Pessoais, porém, em 2017, o país adotou a Emenda APPI, que inclui aspectos como compartilhamento de informações com terceiros, informações mantidas em banco de dados e vazamentos.

• Malásia

Em vigor desde 2010, a primeira legislação sobre proteção de dados da Malásia é baseada em sete princípios: generalidade, notificação e escolha, divulgação, segurança, retenção, integridade de dados e acesso.

Conforme essa regulamentação, é necessário informar por escrito ao titular seus direitos, o objetivo da coleta e tratamento dos dados e quem irá acessá-los.

• México

Em 2010, foi estabelecida no México a Lei Federal de Proteção de Dados Pessoais em Poder de Particulares, que contempla dados coletados e tratados por organizações particulares.

Essas empresas também são regidas pelas normas da lista de Regulamentações da Lei Federal de Proteção de Dados Pessoais em Poder de Particulares, pelas Orientações de Notificações de Privacidade e pelos Parâmetros de Auto-Regulamentação.

Além disso, o México conta com o Instituto Federal de Acesso à Informação e Proteção de Dados (IFAI) para gerenciar todas essas regras.

• Nova Zelândia

Na Nova Zelândia, a questão da proteção de dados é controlada por meio da Lei de Privacidade do país, que conta com 12 Princípios da Privacidade de Informação, definidos em 1993. Além disso, o país conta com regulamentações direcionadas a determinados segmentos.

E mais: em breve, deve ser aprovada a Lei de Privacidade de Dados de 2018, que irá substituir a legislação de 1993.

3. GDPR: importante lei de proteção de dados europeia

O Regulamento Geral de Proteção de Dados (GDPR) é um conjunto de regras europeias que rege a utilização de dados em ambientes eletrônicos. Ele tem o intuito de fortalecer o conceito de cidadania digital e proteger os usuários em aspectos como serviços financeiros e interações nas redes sociais.

Na prática, essa regulamentação propõe que pessoas físicas e jurídicas utilizem dados pessoais de modo responsável, preservando a privacidade dos portadores dessas informações.

Sua propagação em massa ainda é recente, sendo assim, nem todos os países da Europa estão com suas atividades em ambiente virtual regulamentadas.

Além disso, apesar de ser uma legislação europeia, a GDPR impacta nos demais países que realizam transações comerciais com nações europeias e precisam se adequar às suas normas.

O Regulamento Geral de Proteção de Dados aborda a coleta, utilização, compartilhamento e segurança de dados pessoais nos 28 países que integram a União Europeia.

Sendo assim, as organizações que não cumprirem suas normas estão sujeitas a multas de até 20 milhões de Euros ou 4% do seu faturamento. Veja, a seguir, alguns critérios importantes do GDPR:

• Consentimento dos titulares de dados

Antes que as empresas iniciem a coleta de dados pessoais, elas precisam obter o consentimento expresso dos titulares dessas informações.

Porém, é importante ter em mente que alguns dados que não são protegidos pelas leis dos Estados Unidos e nem considerados pessoais, na Europa devem ser preservados. É o caso dos endereços de IP.

• Notificação de violação de dados às autoridades

Outra obrigação das empresas, segundo a GDPR, é notificar os titulares de dados e as autoridades no prazo de 72 horas caso ocorra alguma violação que afete a privacidade dos usuários.

• Direitos dos titulares de dados

Conforme a GDPR, os titulares de dados devem ter a garantia de determinados direitos relacionados às suas informações pessoais. Entre eles, podemos destacar:

• Ser informados sobre a coleta e uso de seus dados;
• Solicitar uma cópia de suas informações pessoais e receber explicações sobre os meios de coleta, o que está sendo coletado e com quem será compartilhado;
• Solicitar retificação de dados que eventualmente estejam incompletos ou incorretos;
• Ter seus dados pessoais apagados no prazo de 30 dias, caso faça essa solicitação;
• Requisitar a restrição de suas informações pessoais;
• Transferir os dados pessoais de um sistema eletrônico para outro com segurança; e
• Opor-se ao modo como os dados são utilizados, (a menos que as informações estejam em posse de uma autoridade legal), para fins de interesse público ou por uma empresa que precisa processar os dados com o intuito de oferecer um serviço que o titular dos dados contratou.

Novas perspectivas para o Regulamento Geral de Proteção de Dados

Em breve, a União Europeia deve atualizar suas normas sobre serviços digitais, por meio de duas novas leis: a Lei de Serviços Digitais e a Lei de Mercados Digitais.

O objetivo dessas legislações é manter o que é legal on-line e o que é ilegal off-line, fazendo com que sites como o Google removam com rapidez conteúdos considerados ilegais ou prejudiciais.

A Lei de Serviços Digitais e a Lei de Mercados Digitais serão direcionadas a plataformas on-line e buscadores muito grandes, com mais de 45 milhões de usuários mensais.

Na prática, a Lei de Serviços Digitais trata de todo e qualquer serviço entregue por meio da internet, abrangendo serviços de hospedagem, serviços intermediários e plataformas on-line, sendo que as obrigações variam conforme o tamanho da empresa.

A Lei dos Mercados Digitais, por sua vez, afeta grandes organizações, como a Apple e o Facebook. Seu objetivo é nivelar as empresas, impedindo que as grandes organizações imponham condições injustas a empresas e ao público.

Nos próximos anos, também deve entrar em vigor o Regulamento de Privacidade Eletrônica, que irá estabelecer diretrizes de privacidade a serviços e instituições de comunicação eletrônica, que não eram regidos pela legislação anterior.

Essa lei também deve simplificar o consentimento ou negação de cookies de rastreamento, permitindo que os usuários retirem seu consentimento ao menos uma vez por ano.

Por fim, temos a Lei de IA, que deve ser aplicada a todas as organizações que utilizem programas baseados em inteligência artificial. A legislação já foi introduzida e está em processo de revisão. Aplica-se a qualquer organização que tenha clientes na União Europeia, independentemente de onde ela está sediada.

4. LGPD: lei de proteção de dados brasileira

A Lei Geral de Proteção de Dados (LGPD) é a regulamentação brasileira que visa preservar os dados pessoais e privados das pessoas residentes no Brasil. Essa legislação descreve o que são dados pessoais, explicando ainda qual tipo de informação merece mais cuidado.

Ainda de acordo com a LGPD, independentemente de a sede da empresa existir fora do país, seus requisitos devem ser respeitados.

5. Leis de proteção de dados americanas

CCPA

Conforme já mencionamos neste artigo, os Estados Unidos contam com uma série de leis de proteção de dados, divididas por segmentos e áreas. Um dos estados em que essas regulamentações se solidificaram foi a Califórnia, que é regida pela Lei de Privacidade do Consumidor da Califórnia (CCPA).

Essa legislação proporciona aos consumidores mais controle sobre suas informações coletadas por empresas, além do direito de saber como esses dados são usados e compartilhados, e de excluir e recusar a venda dessas informações.
Além disso, cláusulas em contratos que incluam a renúncia aos direitos garantidos pela CCPA são inexequíveis.

NY Shield

Nova York também tem sua própria lei de proteção de dados, a NY Shield, em vigor desde 2020. Essa regulamentação exige segurança e responsabilidade das organizações que lidam com dados pessoais de moradores do estado.

A NY Shield surgiu por meio da expansão de outras leis que já existiam anteriormente em Nova York: a lei geral de negócios e a lei de notificação de violações.

Leis federais estadunidenses

Agora vamos citar algumas leis federais estadunidenses, que, apesar de não serem leis específicas de proteção de dados, têm a função de proteger determinados tipos de informações em circunstâncias específicas. Uma delas é Health Insurance Portability and Accountability Act (HIPAA), que protege a comunicação do usuário com entidades de saúde, como hospitais e farmácias.

Os Estados Unidos também têm, como lei federal, a Lei de Privacidade e Direitos Educacionais da Família (Ferpa), com a função de detalhar quem é autorizado a solicitar os registros educacionais dos estudantes.

Já a Lei Gramm-Leach-Bliley (GLBA) contempla serviços bancários e exige que instituições financeiras expliquem como compartilham dados e respeitem o direito dos clientes que não desejam conceder suas informações.

6. Casos emblemáticos de vazamento de dados

Confira, a seguir, alguns casos conhecidos de vazamentos de dados:

• LinkedIn

Em 2012, o LinkedIn foi invadido por agentes maliciosos que expuseram informações pessoais de mais de 117 milhões de usuários. Na ocasião, vazaram dados como nomes, endereços de e-mails e senhas.

• Evernote

No ano seguinte, foi a vez do Evernote tornar-se alvo de invasores, que tiveram acesso a nomes de usuários, endereços de e-mail e senhas de contas na plataforma.

• Yahoo

Também em 2013, o Yahoo anunciou que foi alvo de um vazamento de dados, que expôs nomes, telefones, data de nascimento e senhas de 3 bilhões de usuários.

• Adobe

Ainda em 2013, clientes da Adobe tiveram seus dados vazados. Estima-se que, na ocasião, tenham sido expostos 152 milhões de nomes e senhas, além de 2,8 milhões de números de cartão de crédito. Porém, só foi confirmado o vazamento de 38 milhões de dados.

A Adobe foi processada por diversos estados norte-americanos e teve que pagar 1 milhão de dólares em multa.

• Facebook

Em 2014, a Cambridge Analytica utilizou dados pessoais de usuários do Facebook para realizar testes comportamentais não autorizados que, posteriormente, seriam utilizados na campanha para presidente de Donald Trump.

• Uber

Mais de 57 milhões de usuários do aplicativo Uber, incluindo 200 mil brasileiros, tiveram seus dados expostos em um vazamento de dados que ocorreu em 2016, mas só foi divulgado no ano seguinte.

Com isso, o governo do estado da Califórnia, nos Estados Unidos, multou a empresa em R$ 150 milhões.

• MySpace

A rede social MySpace também foi alvo de agentes maliciosos em 2013, com 360 milhões de usuários impactados. Porém, a informação só se tornou pública três anos depois, por meio de uma notificação de que os dados pessoais dos usuários haviam sido expostos e poderiam estar à venda.

• Twitter

As 330 milhões de pessoas que utilizavam o Twitter em 2018 tiveram que alterar suas senhas após a rede social descobrir uma vulnerabilidade em seu banco de dados. Alguns anos antes, os dados pessoais dos usuários do Twitter já haviam sido expostos duas vezes devido a falhas de segurança.

• McDonald’s

Em 2019, vazaram mais de 2 milhões de registros do McDonald?s, com informações pessoais de seus funcionários. Os dados incluíam nome completo, idade, tempo de experiência, cargo e salário dos colaboradores.

• Amazon

Em 2021, a empresa foi multada pela Comissão Nacional de Proteção de Dados de Luxemburgo por não obedecer a requisitos de leis de proteção de dados em seu sistema de publicidade. A multa gerou um prejuízo no valor 746 milhões de Euros.

7. Práticas básicas para estar em conformidade com as leis de proteção de dados

Especialistas em leis de proteção de dados recomendam que as empresas redefinam sua gestão organizacional, levando em consideração determinados fatores.

Entre eles, podemos destacar:

• A necessidade de ter um profissional encarregado pela segurança dos dados;
• Execução de auditoria completa das informações;
• Definição do ciclo de vida dos dados;
• Reelaboração de contratos com fornecedores e parceiros;
• Revisão das políticas de segurança; e
• Elaboração de relatório de impacto de privacidade.

Para isso, é possível contar com os serviços de um escritório jurídico especializado em leis de proteção de dados, além de soluções tecnológicas que favoreçam a segurança digital.

8. Sobre o senhasegura

Nós, do senhasegura, integramos grupo MT4 Tecnologia, criado em 2001, com o objetivo de garantir a cibersegurança das empresas que nos acionam.

Atendemos a organizações de 54 países, oferecendo aos nossos clientes o controle de ações e informações privilegiadas, a fim de evitar ameaças como a ação de atacantes maliciosos e vazamento de dados.

Para nós, a soberania digital é um direito de todos e esse objetivo só pode ser alcançado utilizando tecnologia aplicada.

Desse modo, acompanhamos o ciclo de vida do gerenciamento do acesso privilegiado, antes, durante e após o acesso. Nossos compromissos incluem:

• Garantir mais eficiência e produtividade às empresas, na medida em que evitamos interrupções por expiração;
• Realizar auditorias automáticas do uso de privilégios;
• Auditar automaticamente alterações privilegiadas para detectar abusos;
• Garantir a satisfação dos clientes;
• Realizar implantações bem-sucedidas;
• Oferecer recursos avançados de PAM;
• Reduzir riscos;
• Colocar as organizações em conformidade com critérios de auditoria e com padrões, como PCI DSS, Sarbanes-Oxley, ISO 27001 e HIPAA.

9. Como o PAM senhasegura possibilita a conformidade com leis de proteção de dados?

O PAM senhasegura é uma solução que permite às empresas se adequarem às leis de proteção de dados por meio de ferramentas que proporcionam segurança ao ambiente digital.

Também propõe a implantação de políticas, processos e procedimentos, além do aumento do nível de consciência cibernética dos usuários.

Uma das principais características desse recurso é a proteção de credenciais privilegiadas por meio do Princípio do Privilégio Mínimo, que garante a cada usuário apenas o acesso indispensável para executar suas funções.

10. Conclusão

Neste artigo, você viu que:

• Leis de proteção de dados afetam a maneira como as empresas lidam com informações sigilosas de seus clientes, colaboradores e parceiros de negócios;
• Muitos países ainda não possuem leis sedimentadas sobre o tema, mas diversas nações já se preocupam com o assunto;
• Mostramos leis de proteção de dados vigentes em diferentes países;
• Também abordamos as principais leis de dados da atualidade;
• Apresentamos casos emblemáticos de vazamento de dados, entre eles, em empresas como Facebook, Uber e Twitter;
• Elencamos boas práticas para as empresas que precisam estar em conformidade com as leis de proteção de dados;
• Por fim, apresentamos o PAM senhasegura como solução eficaz para essas organizações atingirem seu objetivo.

Gostou do nosso artigo sobre leis de proteção de dados? Compartilhe com alguém que deseja saber mais sobre o tema!