Até recentemente, as leis de privacidade de dados eram, em grande parte, específicas de local e setor, com organizações dos EUA focadas em saúde/ciências sujeitas à HIPPA, organizações de serviços financeiros sujeitas à GLBA e assim por diante. Agora, as proteções de privacidade estão sendo estendidas além dos setores historicamente regulados, atingindo fronteiras estaduais e até nacionais para estabelecer novos direitos individuais e obrigações comerciais, independentemente do setor.
Com as regras existentes e novas regulamentações a serem seguidas, as organizações precisam de um programa de privacidade coordenado para responder com eficácia às normas atuais e antecipar as que estão por vir.
Regulamentações de proteção de dados em destaque
Internacionalmente, as práticas de conformidade estão mais avançadas e servem como referência para que diversos países – inclusive o Brasil – desenvolvam legislações próprias para o tratamento de dados tanto pelo poder público, quanto por iniciativas privadas.
O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) está em vigor desde meados de 2018 e já apresenta amplo impacto, com organizações em todo o mundo sujeitas às regras e muitas adotando seus princípios em seus próprios regulamentos. "O GDPR foi a maior mudança para a privacidade de dados da UE em 20 anos e é tido como um padrão a ser seguido", disse Orus Dearman, diretor da prática de Serviços de Risco Cibernético da Grant Thornton US e membro do Comitê de Privacidade da Indústria de Tecnologia da Informação.
Nos Estados Unidos, a Lei de Privacidade do Consumidor da Califórnia (CCPA) é um projeto abrangente que entrará em vigor a partir de 1° de janeiro de 2020, conferindo aos residentes da Califórnia direitos específicos em relação às suas informações pessoais, sendo que as proteções devem ser observadas por qualquer organização que faça negócios dentro ou fora do estado, desde que atendam a determinados critérios.
Com a crescente preocupação com outros estados americanos que aprovam leis de privacidade semelhantes, resultando em uma complexa colcha de retalhos de regulamentações e direitos dos clientes, alguns especialistas apostam em uma lei de privacidade federal não muito distante de ser desenvolvida. “As organizações que tiveram que cumprir com o GDPR estão melhor posicionadas para a CCPA por causa dos requisitos semelhantes. Será um trabalho pesado para aqueles que ainda não têm uma função de privacidade”, aconselhou Dearman.
No caso do Brasil, a Lei Geral de Proteção de Dados (LGPD) já tem data certa para entrar em vigor: agosto de 2020. Desta forma, observar e aprender com as experiências de outros países será fundamental para que a transição brasileira seja menos complexa.
“Se observarmos os requisitos dispostos tanto na GDPR, quanto na CCPA e na LGPD, veremos que são bastante similares até para que as empresas que possuem dados pessoais no bojo das legislações não sofram na construção do programa e adequação da governança e de seus processos internos” explica Vitor Pedrozo, sócio líder de Compliance na Grant Thornton Brasil.
Portanto, estar atento as movimentações que ocorrem, tanto no âmbito das estruturas de Governança Corporativa quanto legislativas (jurisprudência) é fundamental para que a transição do processo de conformidade possa inferir o mínimo possível no andamento dos negócios das organizações.
