Artigos > Data Science

Histórico da regulação de dados pessoais

Compartilhe

Nos últimos anos, diversos eventos destacaram-se pelo abuso no uso de dados pessoais, gerando preocupações e demandas por regulamentações mais rígidas.

Entre esses eventos, a influência da Cambridge Analytica nas eleições presidenciais dos Estados Unidos e no referendo do Brexit é especialmente notória.

A Cambridge Analytica utilizou dados pessoais coletados sem consentimento para direcionar campanhas políticas, o que levantou sérias questões sobre a privacidade e a integridade dos processos democráticos.

Esse cenário evidenciou a necessidade de uma regulação mais robusta sobre o uso de dados pessoais, principalmente aqueles coletados na internet.

A principal preocupação decorrente desses eventos é a falta de regulação adequada para o uso de dados pessoais, que permitiu influenciar de forma significativa os resultados de processos democráticos.

Essa influência não apenas questionou a integridade das eleições e referendos, mas também expôs a vulnerabilidade das informações pessoais dos cidadãos.

A ausência de regras claras e rígidas sobre como os dados podem ser coletados, armazenados e utilizados criou um ambiente propício para abusos e manipulações, afetando a confiança pública nas instituições democráticas.

Em resposta a essas preocupações, as estruturas de governança europeias começaram a se mobilizar para desenvolver uma resposta eficaz.

A pressão veio não só de movimentos populares, mas também de diversos setores da sociedade, exigindo uma regulamentação que pudesse proteger os dados pessoais dos cidadãos e garantir a integridade dos processos democráticos.

A saída do Reino Unido da União Europeia (Brexit) acelerou esse processo, destacando a necessidade de um marco regulatório claro e uniforme para todos os países do bloco.

Como resultado, foi desenvolvida a Regulamentação Geral sobre a Proteção de Dados (GDPR), que entrou em vigor em maio de 2018.

Histórico de Regulamentações

Mesmo antes da GDPR, o espaço digital já possuía algumas regulamentações que buscavam definir padrões de comportamento saudáveis na rede, ainda que de forma menos abrangente.

Exemplos disso são a Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos EUA (HIPAA), que regulamenta o uso de dados de saúde, e o Gramm-Leach-Bliley Act, que exige mais transparência das instituições financeiras sobre o uso de dados.

Na União Europeia, a Diretiva de Proteção de Dados (DPD) de 1995, já tentava controlar o uso de dados pessoais para evitar abusos.

E antes mesmo disso, um marco importante na história das regulamentações sobre dados pessoais é o documento de 1980 da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

Esse documento, intitulado "Recomendações sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais", trouxe definições essenciais e princípios orientadores sobre o tema no cenário internacional.

Banner da Escola de Data Science: Matricula-se na escola de Data Science. Junte-se a uma comunidade de mais de 500 mil estudantes. Na Alura você tem acesso a todos os cursos em uma única assinatura; tem novos lançamentos a cada semana; desafios práticos. Clique e saiba mais!

Definições e Princípios da OCDE

O documento da OCDE definiu dados pessoais como "qualquer informação relacionada a uma pessoa identificável" e controlador de dados como "aquele que, de acordo com a lei doméstica, é responsável por decidir sobre o conteúdo e uso de dados pessoais".

Além disso, abordou o tráfico transfronteiriço de dados, referindo-se às "movimentações de dados pessoais além das fronteiras nacionais".

As definições de dados pessoais, controlador de dados e tráfico transfronteiriço são cruciais para qualquer discussão sobre governança de dados desde então.

Além das definições, o documento da OCDE estabeleceu princípios importantes para a aplicação nacional de regulamentações, tais como:

  • Princípio da Limitação da Coleta: A coleta de dados pessoais deve ser limitada, realizada de forma legal e justa, e, quando apropriado, com o consentimento do sujeito dos dados.
  • Princípio da Qualidade de Dados: Os dados pessoais devem ser relevantes, precisos, completos e atualizados para os propósitos específicos para os quais serão utilizados.
  • Princípio da Especificidade do Propósito: O propósito da coleta de dados deve ser definido antes da coleta e o uso subsequente deve ser limitado a esses propósitos.
  • Princípio da Limitação do Uso: Dados pessoais não devem ser divulgados ou utilizados para propósitos incompatíveis com os definidos inicialmente.
  • Princípio de Garantia de Segurança: Dados pessoais devem ser protegidos contra riscos como perda, uso não autorizado, destruição, modificação ou divulgação.
  • Princípio de Abertura: Deve haver uma política geral de abertura sobre o desenvolvimento, práticas e políticas a respeito de dados pessoais.
  • Princípio de Participação Individual: Os indivíduos têm direito a confirmar se um controlador possui dados sobre eles, a ter acesso a esses dados, e a contestar e corrigir dados incorretos.
  • Princípio da Responsabilidade: O controlador de dados é responsável pelo cumprimento dos princípios estabelecidos.

Esses princípios foram fundamentais para orientar a criação de legislações sobre o uso de dados pessoais e frear seu uso indiscriminado.

Além disso, o documento abordou a cooperação internacional necessária para garantir que o tráfico transfronteiriço de dados ocorra de maneira que respeite a privacidade e a segurança dos dados dos cidadãos.

Desenvolvimento na Europa

A preocupação com a proteção de dados pessoais na Europa não é recente. Em 1981, a Convenção para a Proteção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal estabeleceu um marco importante.

A convenção visava ampliar a proteção dos direitos humanos e das liberdades fundamentais, considerando o crescente fluxo de dados pessoais através das fronteiras.

A convenção introduziu definições importantes e estabeleceu princípios sobre o tratamento automatizado de dados pessoais.

Além disso, a Diretiva de Proteção de Dados (DPD) de 1995 buscava regular a transferência de dados entre os países membros da UE, alinhando-se aos princípios estabelecidos na Convenção de 1981 e nas recomendações da OCDE.

A DPD introduziu inovações significativas, como a ênfase no consentimento para a coleta de dados e a relação direta entre esse consentimento e a legitimidade do tratamento de dados.

Também ampliou a categoria de dados sensíveis, incluindo convicções filosóficas e introduziu questões sobre decisões automatizadas baseadas em dados pessoais.

Implementação da GDPR

Com base nas regulamentações e princípios anteriores, a GDPR foi criada para fornecer uma estrutura robusta e abrangente para a proteção de dados pessoais na União Europeia.

A GDPR é considerada uma das regulamentações mais rigorosas sobre proteção de dados no mundo, com o objetivo de harmonizar as leis de proteção de dados em todos os países membros da UE, reforçar os direitos dos indivíduos sobre seus dados pessoais e impor maiores responsabilidades e penalidades às organizações que não cumprirem os requisitos.

Estrutura e Princípios da GDPR

A GDPR é estruturada em torno de vários princípios-chave, muitos dos quais são derivados dos princípios estabelecidos pela OCDE e pelas regulamentações anteriores na Europa. Entre os princípios da GDPR estão:

  • Legalidade, Equidade e Transparência: O processamento de dados pessoais deve ser realizado de maneira legal, justa e transparente.
  • Limitação da Finalidade: Os dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não devem ser processados de maneira incompatível com essas finalidades.
  • Minimização de Dados: Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados.
  • Exatidão: Os dados pessoais devem ser precisos e, quando necessário, atualizados.
  • Limitação de Armazenamento: Os dados pessoais devem ser mantidos em uma forma que permita a identificação dos titulares dos dados por um período não superior ao necessário para as finalidades para as quais os dados pessoais são processados.
  • Integridade e Confidencialidade: Os dados pessoais devem ser processados de maneira a garantir sua segurança, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.
  • Responsabilidade: O controlador de dados é responsável pelo cumprimento dos princípios estabelecidos e deve ser capaz de demonstrar conformidade.

Essa forma da lei também é bastante inovadora. Muitas vezes, quando pensamos em legislações e regulamentações, pensamos em definições muito específicas do que é e não é permitido.

Entretanto, no ambiente digital, as técnicas e tecnologias evoluem rapidamente, de forma com que a GDPR foi elaborada de uma forma diferente: ela é uma regulamentação principiológica.

Ou seja, que estabelece os princípios para o tratamento de dados pessoais e dessa forma, continua sendo relevante mesmo com o desenvolvimento de novas técnicas de coleta e tratamento de dados pessoais.

A GDPR também introduziu o conceito de "Privacy by Design" e "Privacy by Default", que exige que as organizações integrem a proteção de dados desde a concepção dos sistemas e por padrão.

Direitos dos Titulares de Dados

Outro ponto muito importante que a legislação realizou foi o fortalecimento dos direitos dos indivíduos sobre seus dados pessoais, introduzindo vários direitos novos e reforçando os existentes:

  • Direito de Acesso: Os indivíduos têm o direito de acessar seus dados pessoais e obter informações sobre como esses dados são processados.
  • Direito de Retificação: Os indivíduos têm o direito de corrigir dados pessoais imprecisos ou incompletos.
  • Direito ao Apagamento (Direito ao Esquecimento): Os indivíduos podem solicitar que seus dados pessoais sejam apagados em determinadas circunstâncias.
  • Direito à Restrição de Processamento: Os indivíduos podem solicitar a limitação do processamento de seus dados pessoais em determinadas circunstâncias.
  • Direito à Portabilidade de Dados: Os indivíduos têm o direito de receber seus dados pessoais em um formato estruturado, de uso comum e legível por máquina e de transmitir esses dados a outro controlador.
  • Direito de Oposição: Os indivíduos têm o direito de se opor ao processamento de seus dados pessoais em determinadas circunstâncias.
  • Direitos Relacionados à Tomada de Decisão Automatizada e à Definição de Perfis: Os indivíduos têm o direito de não estar sujeitos a uma decisão baseada unicamente em processamento automatizado, incluindo definição de perfis, que produza efeitos legais ou afete significativamente o indivíduo.

Implementação e Penalidades

A GDPR impõe responsabilidades significativas às organizações que processam dados pessoais.

As organizações devem implementar medidas técnicas e organizacionais apropriadas para garantir a conformidade com a GDPR e proteger os dados pessoais.

Além disso, devem realizar avaliações de impacto sobre a proteção de dados para identificar e mitigar riscos associados ao processamento de dados pessoais.

As penalidades por não conformidade com a GDPR são severas. As multas podem chegar a 20 milhões de euros ou 4% do faturamento anual global da organização, o que for maior.

Isso destaca a importância da conformidade e o compromisso da UE com a proteção dos dados pessoais.

A criação e implementação da GDPR representam um marco significativo na proteção de dados pessoais, respondendo às preocupações crescentes sobre a privacidade e a integridade dos processos democráticos.

Ao harmonizar as leis de proteção de dados na UE e impor responsabilidades rigorosas às organizações, a GDPR visa garantir que os dados pessoais dos cidadãos sejam protegidos e utilizados de maneira justa e transparente.

A evolução da regulamentação de dados, desde as recomendações da OCDE até a GDPR, reflete um esforço contínuo para equilibrar a inovação tecnológica com a necessidade de proteger os direitos e liberdades fundamentais dos indivíduos.

Essa evolução nas regulações de dados podem ser vistas de forma visual na linha do tempo abaixo:

Linha do tempo que destaca os principais documentos e regulamentações sobre a coleta e uso de dados pessoais. A linha do tempo está disposta horizontalmente, com cinco marcos principais ao longo dos anos 1980 a 2016. O primeiro marco, em 1980: Recomendações Sobre Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais da OCDE; O segundo em 1981: Convenção para a Proteção das Pessoas Relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal; O Terceiro em 1995: Diretiva de Proteção de Dados (DPD); e o quarto em 2016: Regulamento Geral de Proteção de Dados (GDPR).Cada marco é representado por um círculo azul com uma linha que aponta para a descrição do documento ou regulamentação correspondente. A linha do tempo tem o título

E esses impactos não se limitaram à União Europeia, visto que diversos países começaram a criar regulações de dados, inclusive baseados na GDPR, como é o caso da Lei Geral de Proteção de Dados brasileira.

A imagem é um mapa mundial que ilustra o estado das legislações de proteção de dados e privacidade em diferentes países. O mapa é intitulado

Hoje, boa parte dos países possuem alguma forma de regulação de dados pessoais ou estão em discussão para aprovar esse tipo de legislação, como pode ser visto (nesse site)[Data Protection and Privacy Legislation Worldwide | UNCTAD] da ONU que acompanha o número de países com regulações similares.

O mais importante, quando estudamos o histórico das regulamentações em dados, não é decorar quando determinado documento foi instaurado, mas sim entender que a consolidação do direito à privacidade no contexto de dados pessoais vem de um processo extenso e complexo, que envolve discussões que evoluíram com a tecnologia e com o uso de dados.

Esses direitos são conquistas importantes do ponto de vista dos usuários, que hoje já podem negar o uso de dados pessoais, exigir das organizações quais os dados pessoais que elas possuem e quais os tratamentos realizados e até mesmo decidir sobre quais dados podem ou não ser usados.

E, como podemos ver, a partir do mapa que traz os países que possuem legislações específicas sobre dados pessoais, é um processo que continua acontecendo em diversos lugares do mundo: há países que não implementaram regulação sobre dados pessoais e mesmo aqueles que implementaram continuam as discussões de como atualizar e se manter relevantes.

Isso significa que para os profissionais de tecnologia e especialmente aqueles que trabalham com dados pessoais, o cuidado sobre a questão da privacidade e proteção de dados pessoais deve ser presente e contínuo para que os sistemas construídos respeitem as regulações e os direitos dos titulares.

Veja outros artigos sobre Data Science

Cursos

Cursos de Programação
Lógica | Python | PHP | Java | .NET | Node JS | C | Computação | Jogos | IoT
Cursos de Front-end
HTML, CSS | React | Angular | JavaScript | jQuery
Cursos de Data Science
Ciência de dados | BI | SQL e Banco de Dados | Excel | Machine Learning | NoSQL | Estatística
Cursos de Inteligência Artificial
IA para Programação | IA para Dados
Cursos de DevOps
AWS | Azure | Docker | Segurança | IaC | Linux
Cursos de UX & Design
Usabilidade e UX | Vídeo e Motion | 3D
Cursos de Mobile
Flutter | iOS e Swift | Android, Kotlin | Jogos
Cursos de Inovação & Gestão
Métodos Ágeis | Softskills | Liderança e Gestão | Startups | Vendas

Cursos universitários FIAP

Graduação | Pós-graduação | MBA