As leis de privacidade de informações, privacidade de dados ou proteção de dados provêm de uma estrutura legal para obter, usar e armazenar dados de pessoas físicas. Diferentes leis em todo o mundo definem os direitos das pessoas singulares de controlar quem utiliza os seus dados. Isto normalmente inclui o direito de obter detalhes sobre quais dados foram armazenados, para que finalidade, e de solicitar o apagamento se a finalidade deixar de existir.
Cerca de 80 países e territórios independentes, incluindo quase todos os países da Europa e vários da América Latina e das Caraíbas, da Ásia e de África, adotaram leis de proteção de dados.
[1] A União Europeia possui o Regulamento Geral de Proteção de Dados,[2] desde 25 de maio de 2018. Os Estados Unidos não adotaram uma lei clara, mas limitaram certos serviços em certas áreas como a Califórnia, com a Lei de Privacidade do Consumidor da Califórnia (CCPA).[3].
Estas leis baseiam-se em directrizes gerais desenvolvidas pelo Departamento de Saúde, Educação e Bem-Estar (HEW) (mais tarde denominado Departamento de Saúde e Serviços Humanos), por um Comité Especial sobre Sistemas Automáticos de Dados Pessoais, sob a supervisão do pioneiro da computação e privacidade Willis H. Ware. Este relatório enviado pelo Comitê ao HHS foi intitulado "Registros, Computadores e Direitos dos Cidadãos (01/07/1973) (Gravações, Computadores e Direitos dos Cidadãos em Espanhol)",[4][5] e propõe princípios universais sobre privacidade, proteção do consumidor e dados dos cidadãos.
• - Para todos os dados armazenados, deve haver um objetivo claro.
• - As informações obtidas de um indivíduo não devem ser divulgadas a organizações ou indivíduos, a menos que especificamente autorizado por lei ou com o consentimento do indivíduo.
• - Os dados sobre uma pessoa devem ser precisos e atualizados.
• - Devem existir mecanismos para que as pessoas possam rever os dados sobre eles, para garantir a precisão. Isto pode incluir relatórios periódicos.
• - Os dados deverão ser apagados quando não atenderem ao objetivo inicial.
• - É proibida a transmissão de informações pessoais para locais onde não exista proteção de dados “equivalente”.
• - Certos dados são demasiado sensíveis para serem armazenados, a menos que existam circunstâncias extremas (por exemplo, orientação sexual, religião).
Portaria de Proteção de Dados
Introdução
Em geral
As leis de privacidade de informações, privacidade de dados ou proteção de dados provêm de uma estrutura legal para obter, usar e armazenar dados de pessoas físicas. Diferentes leis em todo o mundo definem os direitos das pessoas singulares de controlar quem utiliza os seus dados. Isto normalmente inclui o direito de obter detalhes sobre quais dados foram armazenados, para que finalidade, e de solicitar o apagamento se a finalidade deixar de existir.
Cerca de 80 países e territórios independentes, incluindo quase todos os países da Europa e vários da América Latina e das Caraíbas, da Ásia e de África, adotaram leis de proteção de dados.
[1] A União Europeia possui o Regulamento Geral de Proteção de Dados,[2] desde 25 de maio de 2018. Os Estados Unidos não adotaram uma lei clara, mas limitaram certos serviços em certas áreas como a Califórnia, com a Lei de Privacidade do Consumidor da Califórnia (CCPA).[3].
Estas leis baseiam-se em directrizes gerais desenvolvidas pelo Departamento de Saúde, Educação e Bem-Estar (HEW) (mais tarde denominado Departamento de Saúde e Serviços Humanos), por um Comité Especial sobre Sistemas Automáticos de Dados Pessoais, sob a supervisão do pioneiro da computação e privacidade Willis H. Ware. Este relatório enviado pelo Comitê ao HHS foi intitulado "Registros, Computadores e Direitos dos Cidadãos (01/07/1973) (Gravações, Computadores e Direitos dos Cidadãos em Espanhol)",[4][5] e propõe princípios universais sobre privacidade, proteção do consumidor e dados dos cidadãos.
• - Para todos os dados armazenados, deve haver um objetivo claro.
• - As informações obtidas de um indivíduo não devem ser divulgadas a organizações ou indivíduos, a menos que especificamente autorizado por lei ou com o consentimento do indivíduo.
• - Os dados sobre uma pessoa devem ser precisos e atualizados.
• - Devem existir mecanismos para que as pessoas possam rever os dados sobre eles, para garantir a precisão. Isto pode incluir relatórios periódicos.
• - Os dados deverão ser apagados quando não atenderem ao objetivo inicial.
Por jurisdição
Contenido
El Estado alemán de Hessia redactó la primera legislación del mundo de protección de datos en 1970. En Alemania el término autodeterminación internacional fue usada por primera vez en el contexto de la legislación alemana relacionada con información personal obtenida durante el censo de 1983.
Ásia
A China aprovou a Lei de Proteção de Informações Pessoais da República Popular da China em 20 de agosto de 2021, e ela entrou em vigor em 1º de novembro de 2021. Baseada aproximadamente no GDPR dos EUA, ela se concentra principalmente no consentimento, nos direitos à privacidade e na transparência do processamento de dados. Ao contrário do GDPR, esta lei exige consentimento para todos os tipos de atividades de processamento de dados, especialmente quando os dados pessoais são transferidos para o exterior.
A Lei de Proteção de Informações Pessoais da República Popular da China está dividida em 8 capítulos e 73 artigos.[6].
Princípios gerais.
Regras para gestão de informações pessoais:
Disposições gerais
Regras para o tratamento de informações pessoais sensíveis
Regulamentação especial sobre o tratamento de informações pessoais pelo Estado.
Regras para o fornecimento transfronteiriço de informações pessoais.
Direitos das pessoas no tratamento de informações pessoais.
Obrigações dos processadores de informações pessoais.
Departamento que exerce funções de proteção de dados pessoais.
Responsabilidade legal.
Disposições complementares.
Processo legislativo da Lei de Proteção de Informações Pessoais da República Popular da China[7].
• - Em 20 de dezembro de 2018, a lei de proteção de dados pessoais da República Popular da China foi incluída no plano legislativo da Comissão Permanente do Congresso Nacional.
• - Em 20 de outubro de 2019, a lei de proteção de dados pessoais da República Popular da China foi incluída no plano legislativo da Comissão Permanente da 13ª Assembleia Popular Nacional.
• - Em novembro de 2020, o projeto de lei de proteção de dados pessoais da República Popular da China descreveu que em caso de ato ilegal grave pode chegar a uma multa de cinquenta milhões de yuans (CNY).
• - Em 26 de abril de 2021, a segunda minuta estipula que os processadores de informações pessoais que fornecem serviços básicos em uma plataforma de Internet que contém um grande número de usuários com tipos de negócios complexos devem estabelecer um órgão independente composto principalmente por membros externos, supervisionando as atividades de processamento de informações pessoais, e publicar periodicamente relatórios de responsabilidade social sobre proteção de dados pessoais.
• - Em 20 de agosto de 2021, foi aprovada a Lei de Proteção de Informações Pessoais da República Popular da China, que entrou em vigor em 1º de novembro de 2021.
Nas Filipinas, a Lei de Privacidade de Dados de 2012 determinou a criação da Comissão Nacional de Privacidade, que monitoraria e manteria políticas envolvendo proteção de dados pessoais e privacidade de informações no país.
Modelado a partir da Diretiva Europeia de Proteção de Dados") e a estrutura de privacidade do Fórum de Cooperação Econômica Ásia-Pacífico, o órgão independente que garantiria a conformidade do país com os padrões internacionais estabelecidos para proteção de dados.[8] A lei exige que o governo e as organizações privadas compostas por pelo menos 250 funcionários, ou aquelas que tenham acesso às informações pessoais de pelo menos 1.000 pessoas, nomeiem um Oficial de Proteção de Dados para gerenciar o controle das informações nessas entidades.[9]
Em resumo, a lei identifica pontos importantes relativos à gestão de informações pessoais da seguinte forma:.
Os dados pessoais devem ser recolhidos por motivos específicos, legítimos e razoáveis.
As informações pessoais devem ser geridas de forma adequada. Devem ser mantidos precisos, relevantes, usados para os fins declarados e retidos apenas pelo tempo necessário. A lei exige que as entidades sejam ativas para garantir que partes não autorizadas não tenham acesso às informações dos clientes.
As informações pessoais devem ser eliminadas para que terceiros não possam acessar os dados descartados.
A Lei de Proteção de Informações Pessoais[10] do Japão (APPI) é um regulamento sobre a proteção de informações pessoais, que foi projetado para regular o tratamento de informações pessoais, seja por indivíduos ou organizações, incluindo agências governamentais, empresas e organizações sem fins lucrativos. Este regulamento foi implementado e é hoje gerido por uma organização do governo central que supervisiona questões de proteção da privacidade, sendo esta a Comissão de Proteção de Informações Pessoais,[11] também conhecida como PPC (Comissão de Proteção de Informações Pessoais).
A APPI exige que as organizações que desejam coletar informações pessoais obtenham o consentimento dos indivíduos antes de coletar, usar ou compartilhar tais informações, mas apenas em casos específicos, como quando as informações são confidenciais ou serão transferidas para terceiros ou fora do Japão. Atualmente, a APPI continua a ser modificada, pelo que é possível que haja novas atas que abranjam casos específicos.
• - Em 2003, a APPI original foi promulgada, mas foi alterada e as alterações entraram em vigor em 30 de maio de 2017.
• - Em 5 de junho de 2020 foi aprovado um projeto que implicava novas alterações na APPI. A APPI modificada entrou em vigor em 1º de abril de 2022.
A Lei de Proteção de Informações Pessoais do Japão está organizada em 8 capítulos e 185 artigos da seguinte forma:
Capítulo I Disposições Gerais (artigos 1.º a 3.º).
Capítulo II Responsabilidades dos Governos Nacionais e Locais (artigos 4.º a 6.º).
Capítulo III Medidas de Proteção de Dados Pessoais (artigos 7.º a 15.º).
Capítulo IV Das Obrigações das Empresas que Tratam Informações Pessoais (artigos 16.º a 59.º).
Capítulo V Das Obrigações das Entidades Administrativas (artigos 60.º a 129.º).
Capítulo VI Da Comissão de Protecção de Dados Pessoais (artigos 130.º a 170.º).
Capítulo VII Disposições Diversas (artigos 171.º a 175.º).
Capítulo VIII Das Disposições Penais (artigos 176 a 185).
Europa
Fonte de informação: Regulamento Geral de Proteção de Dados").
O direito à privacidade dos dados é fortemente regulamentado e aplicado ativamente na Europa. O artigo 8.º da Convenção Europeia dos Direitos Humanos - Wikipédia, a enciclopédia livre (CEDH) prevê o direito ao respeito pela “vida privada e familiar, pelo domicílio e pela correspondência” de uma pessoa, sujeito a certas restrições. O Tribunal Europeu dos Direitos Humanos deu a este artigo uma interpretação muito ampla na sua jurisprudência. De acordo com a lei do Tribunal, a recolha de informações por funcionários do Estado sobre um indivíduo sem o seu consentimento enquadra-se sempre no âmbito do Artigo 8. Assim, a recolha de informações para o censo oficial, o registo de impressões digitais e fotografias num registo policial, a recolha de dados médicos ou detalhes sobre despesas pessoais e a implementação de um sistema de identificação pessoal foram consideradas uma questão de privacidade de dados. O que também está incluído em “dados sensíveis à privacidade” no âmbito do GDPR são informações como raça ou etnia (“Raça (classificação dos seres humanos)”), opiniões políticas, religião ou filosofia, e informações ligadas à vida sexual ou orientação sexual de uma pessoa.[12].
Qualquer interferência estatal na privacidade de uma pessoa só é aceitável para o Tribunal se cumprir as três condições:
A interferência está nos termos da lei.
A interferência tem finalidade legítima.
A interferência é necessária para uma sociedade democrática.
O governo não é a única entidade que representa uma ameaça à privacidade dos dados. Outros cidadãos, e especialmente empresas privadas, também podem envolver-se em actividades ameaçadoras, especialmente desde que o processamento automático de dados se generalizou. A Convenção sobre a Proteção das Pessoas através do Tratamento Automático de Dados Pessoais foi concluída no Conselho da Europa em 1981. Esta convenção obriga os signatários a representar legislação sobre o tratamento automático de dados pessoais.
Todos os Estados-Membros da União Europeia são também signatários da Convenção Europeia dos Direitos Humanos e da Convenção para a Protecção dos Indivíduos no que diz respeito ao Tratamento Automático de Dados Pessoais). A Comissão Europeia está preocupada com o facto de surgir legislação divergente em matéria de protecção de dados, impedindo o livre fluxo de dados no espaço da UE. A Comissão Europeia decidiu, portanto, propor a harmonização da legislação de protecção de dados na UE. A resultante Diretiva de Proteção de Dados foi adotada pelo Parlamento Europeu. e os ministros do governo nacional em 1995 e teve de ser transposto para a legislação nacional no final de 1998.
América do Norte
No Canadá, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) entrou em vigor em 1º de janeiro de 2001, aplicável a entidades privadas regulamentadas pelo governo federal. Todas as outras organizações estão incluídas a partir de 1º de janeiro de 2004.[21][22] A PIDEDA faz com que o Canadá cumpra a lei de proteção de dados da UE.
PIPEDA") especifica as regras que orientam a coleta, uso ou divulgação de informações pessoais em reconhecimento ao direito à privacidade dos indivíduos com relação às suas informações pessoais. Além disso, especifica as regras para as organizações coletarem, usarem e divulgarem informações pessoais.
PIPEDA") aplicam-se a:.
As organizações coletam, usam ou divulgam para uso comercial.
Organizações e funcionários de organizações coletam, usam ou divulgam para orientar a operação de uma obra, empresa ou negócio federal.
PIPEDA") NÃO se aplica a:.
Instituições governamentais às quais a Lei de Privacidade se aplica.
Indivíduos que coletam, usam ou divulgam informações pessoais para fins e usos pessoais.
Organizações que recolhem, utilizam ou divulgam apenas para fins jornalísticos, artísticos ou literários.
Conforme especificado no PIPEDA:
“Informações pessoais” significam informações sobre um indivíduo identificável, mas não incluem o nome, cargo, endereço comercial ou número de telefone de um funcionário de uma organização.
“Organização” significa uma associação, uma sociedade, uma pessoa e um sindicato.
“Obra, empreendimento ou negócio federal” significa qualquer trabalho, empreendimento ou negócio que esteja dentro da autoridade legislativa do Parlamento. Incluindo:.
Um trabalho, empresa ou negócio que é operado ou realizado para ou em conexão com navegação e transporte, seja terrestre ou marítimo, incluindo a operação de navios e transporte por navio em qualquer parte do Canadá.
Caminho-de-ferro, canal, telégrafo ou outra obra ou empresa que ligue uma província a outra província ou se estenda além dos limites de uma província.
Linha marítima que liga uma província a outra província ou que se estende além dos limites de uma província.
Uma jangada entre uma província e outra província ou entre uma província e um país que não seja o Canadá.
Aeródromo, aeronave ou linha de transporte aéreo.
Ámérica do Sul
A Lei Geral Brasileira de Proteção de Dados Pessoais (LGPD) entrou em vigor em 18 de setembro de 2020. O principal objetivo da lei é unificar 40 leis brasileiras diferentes que regulamentam o tratamento de dados pessoais. O projeto de lei tem 65 artigos e tem muitas semelhanças com o GDPR.[31].
A salvaguarda das informações pessoais no México constitui um direito consagrado no artigo 16, segundo parágrafo, da Constituição Política dos Estados Unidos Mexicanos. Este artigo garante a cada pessoa o direito à proteção dos seus dados pessoais, bem como ao acesso, retificação e cancelamento dos mesmos. Na esfera mexicana, a proteção de dados pessoais é regulada por diferentes regulamentos dependendo do setor correspondente. Na esfera privada, destaca-se a Lei Federal de Proteção de Dados Pessoais em poder de Pessoas Privadas (LFPDPPP), enquanto na esfera pública, a Lei Geral de Proteção de Dados Pessoais em poder de Sujeitos Obrigados (LGPDPPPSO) estabelece as diretrizes pertinentes.
A entrada em vigor deste último regulamento fez com que as leis de ambos os setores, público e privado, incorporassem uma série de princípios que regulam as regras e obrigações que regem o tratamento de dados pessoais pelos responsáveis. Além disso, cada entidade federal do México é obrigada a ter legislação que regule o tratamento de dados pessoais na esfera pública, de acordo com a sua jurisdição territorial. De acordo com as leis acima mencionadas, quem trata dados pessoais deve levar em consideração as diretrizes e documentos emitidos pelo Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (“INAI”).
[32].
Na Argentina, o atual quadro de proteção de dados está em vigor há mais de duas décadas. No entanto, face aos avanços tecnológicos e aos desafios emergentes da economia digital globalizada, tornou-se imperativo ajustar a legislação existente. Consequentemente, o Poder Executivo propôs um novo Projeto de Lei de Proteção de Dados Pessoais com o objetivo de fortalecer as capacidades do Estado na regulação e gestão de políticas públicas nesta área. Abaixo estão algumas das alterações propostas pelo novo projeto de lei:.
Definições precisas e ampliadas: O projeto incorpora novos termos e definições vinculados ao tratamento de dados pessoais, como consentimento, transferência internacional de dados, dados genéticos e biométricos, entre outros.
Alcance territorial ampliado: Semelhante ao Regulamento Geral de Proteção de Dados (GDPR), o projeto se estende a organizações fora da Argentina que fornecem bens ou serviços a pessoas na Argentina ou monitoram seu comportamento.
Princípios atualizados: O projeto introduz novos princípios para o processamento de dados, como a limitação do uso de dados e a responsabilidade proativa e demonstrada.
Princípios Internacionais de Porto Seguro
Artigo principal: Acordo Safe Harbor.
Ao contrário da abordagem dos EUA à protecção da privacidade"), que se baseia em legislação, regulamentação e auto-regulação específicas da indústria, a União Europeia baseia-se numa legislação abrangente sobre privacidade. A Directiva Europeia de Protecção de Dados que entrou em vigor em Outubro de 1998 inclui, por exemplo, a exigência de criar agências governamentais de protecção de dados, o registo de bases de dados nessas agências e, em alguns casos, a aprovação prévia antes de o processamento de dados pessoais poder começar. A fim de unir estas diferentes abordagens de privacidade e fornecer um meio simplificado para as organizações dos EUA cumprirem a Directiva, o Departamento de O Comércio, em consulta com a Comissão Europeia, desenvolveu uma estrutura de “Porto Seguro”.
Referências
[1] ↑ Greenleaf, Graham (6 de febrero de 2012). Global Data Privacy Laws: 89 Countries, and Accelerating. Social Science Electronic Publishing, Inc. SSRN 2000034.: https://es.wikipedia.org//ssrn.com/abstract=2000034
[2] ↑ Adopting a Virtual Data Protection Officer Archivado el 23 de febrero de 2019 en Wayback Machine. Published by Dativa, June 7, 2018, retrieved June 11, 2018.: https://www.dativa.com/virtual-dpo/
[3] ↑ «California Consumer Privacy Act (CCPA)». State of California - Department of Justice - Office of the Attorney General (en inglés). 15 de octubre de 2018. Consultado el 2 de julio de 2020.: https://oag.ca.gov/privacy/ccpa
[11] ↑ «Personal Information Protection Commission, Japan |PPC Personal Information Protection Commission,Japan». www.ppc.go.jp. Consultado el 28 de noviembre de 2023.: https://www.ppc.go.jp/en/
[21] ↑ Canada, Office of the Privacy Commissioner of (21 de marzo de 2023). «Office of the Privacy Commissioner of Canada». www.priv.gc.ca.: https://www.priv.gc.ca/en/
• - É proibida a transmissão de informações pessoais para locais onde não exista proteção de dados “equivalente”.
• - Certos dados são demasiado sensíveis para serem armazenados, a menos que existam circunstâncias extremas (por exemplo, orientação sexual, religião).
Por jurisdição
Contenido
El Estado alemán de Hessia redactó la primera legislación del mundo de protección de datos en 1970. En Alemania el término autodeterminación internacional fue usada por primera vez en el contexto de la legislación alemana relacionada con información personal obtenida durante el censo de 1983.
Ásia
A China aprovou a Lei de Proteção de Informações Pessoais da República Popular da China em 20 de agosto de 2021, e ela entrou em vigor em 1º de novembro de 2021. Baseada aproximadamente no GDPR dos EUA, ela se concentra principalmente no consentimento, nos direitos à privacidade e na transparência do processamento de dados. Ao contrário do GDPR, esta lei exige consentimento para todos os tipos de atividades de processamento de dados, especialmente quando os dados pessoais são transferidos para o exterior.
A Lei de Proteção de Informações Pessoais da República Popular da China está dividida em 8 capítulos e 73 artigos.[6].
Princípios gerais.
Regras para gestão de informações pessoais:
Disposições gerais
Regras para o tratamento de informações pessoais sensíveis
Regulamentação especial sobre o tratamento de informações pessoais pelo Estado.
Regras para o fornecimento transfronteiriço de informações pessoais.
Direitos das pessoas no tratamento de informações pessoais.
Obrigações dos processadores de informações pessoais.
Departamento que exerce funções de proteção de dados pessoais.
Responsabilidade legal.
Disposições complementares.
Processo legislativo da Lei de Proteção de Informações Pessoais da República Popular da China[7].
• - Em 20 de dezembro de 2018, a lei de proteção de dados pessoais da República Popular da China foi incluída no plano legislativo da Comissão Permanente do Congresso Nacional.
• - Em 20 de outubro de 2019, a lei de proteção de dados pessoais da República Popular da China foi incluída no plano legislativo da Comissão Permanente da 13ª Assembleia Popular Nacional.
• - Em novembro de 2020, o projeto de lei de proteção de dados pessoais da República Popular da China descreveu que em caso de ato ilegal grave pode chegar a uma multa de cinquenta milhões de yuans (CNY).
• - Em 26 de abril de 2021, a segunda minuta estipula que os processadores de informações pessoais que fornecem serviços básicos em uma plataforma de Internet que contém um grande número de usuários com tipos de negócios complexos devem estabelecer um órgão independente composto principalmente por membros externos, supervisionando as atividades de processamento de informações pessoais, e publicar periodicamente relatórios de responsabilidade social sobre proteção de dados pessoais.
• - Em 20 de agosto de 2021, foi aprovada a Lei de Proteção de Informações Pessoais da República Popular da China, que entrou em vigor em 1º de novembro de 2021.
Nas Filipinas, a Lei de Privacidade de Dados de 2012 determinou a criação da Comissão Nacional de Privacidade, que monitoraria e manteria políticas envolvendo proteção de dados pessoais e privacidade de informações no país.
Modelado a partir da Diretiva Europeia de Proteção de Dados") e a estrutura de privacidade do Fórum de Cooperação Econômica Ásia-Pacífico, o órgão independente que garantiria a conformidade do país com os padrões internacionais estabelecidos para proteção de dados.[8] A lei exige que o governo e as organizações privadas compostas por pelo menos 250 funcionários, ou aquelas que tenham acesso às informações pessoais de pelo menos 1.000 pessoas, nomeiem um Oficial de Proteção de Dados para gerenciar o controle das informações nessas entidades.[9]
Em resumo, a lei identifica pontos importantes relativos à gestão de informações pessoais da seguinte forma:.
Os dados pessoais devem ser recolhidos por motivos específicos, legítimos e razoáveis.
As informações pessoais devem ser geridas de forma adequada. Devem ser mantidos precisos, relevantes, usados para os fins declarados e retidos apenas pelo tempo necessário. A lei exige que as entidades sejam ativas para garantir que partes não autorizadas não tenham acesso às informações dos clientes.
As informações pessoais devem ser eliminadas para que terceiros não possam acessar os dados descartados.
A Lei de Proteção de Informações Pessoais[10] do Japão (APPI) é um regulamento sobre a proteção de informações pessoais, que foi projetado para regular o tratamento de informações pessoais, seja por indivíduos ou organizações, incluindo agências governamentais, empresas e organizações sem fins lucrativos. Este regulamento foi implementado e é hoje gerido por uma organização do governo central que supervisiona questões de proteção da privacidade, sendo esta a Comissão de Proteção de Informações Pessoais,[11] também conhecida como PPC (Comissão de Proteção de Informações Pessoais).
A APPI exige que as organizações que desejam coletar informações pessoais obtenham o consentimento dos indivíduos antes de coletar, usar ou compartilhar tais informações, mas apenas em casos específicos, como quando as informações são confidenciais ou serão transferidas para terceiros ou fora do Japão. Atualmente, a APPI continua a ser modificada, pelo que é possível que haja novas atas que abranjam casos específicos.
• - Em 2003, a APPI original foi promulgada, mas foi alterada e as alterações entraram em vigor em 30 de maio de 2017.
• - Em 5 de junho de 2020 foi aprovado um projeto que implicava novas alterações na APPI. A APPI modificada entrou em vigor em 1º de abril de 2022.
A Lei de Proteção de Informações Pessoais do Japão está organizada em 8 capítulos e 185 artigos da seguinte forma:
Capítulo I Disposições Gerais (artigos 1.º a 3.º).
Capítulo II Responsabilidades dos Governos Nacionais e Locais (artigos 4.º a 6.º).
Capítulo III Medidas de Proteção de Dados Pessoais (artigos 7.º a 15.º).
Capítulo IV Das Obrigações das Empresas que Tratam Informações Pessoais (artigos 16.º a 59.º).
Capítulo V Das Obrigações das Entidades Administrativas (artigos 60.º a 129.º).
Capítulo VI Da Comissão de Protecção de Dados Pessoais (artigos 130.º a 170.º).
Capítulo VII Disposições Diversas (artigos 171.º a 175.º).
Capítulo VIII Das Disposições Penais (artigos 176 a 185).
Europa
Fonte de informação: Regulamento Geral de Proteção de Dados").
O direito à privacidade dos dados é fortemente regulamentado e aplicado ativamente na Europa. O artigo 8.º da Convenção Europeia dos Direitos Humanos - Wikipédia, a enciclopédia livre (CEDH) prevê o direito ao respeito pela “vida privada e familiar, pelo domicílio e pela correspondência” de uma pessoa, sujeito a certas restrições. O Tribunal Europeu dos Direitos Humanos deu a este artigo uma interpretação muito ampla na sua jurisprudência. De acordo com a lei do Tribunal, a recolha de informações por funcionários do Estado sobre um indivíduo sem o seu consentimento enquadra-se sempre no âmbito do Artigo 8. Assim, a recolha de informações para o censo oficial, o registo de impressões digitais e fotografias num registo policial, a recolha de dados médicos ou detalhes sobre despesas pessoais e a implementação de um sistema de identificação pessoal foram consideradas uma questão de privacidade de dados. O que também está incluído em “dados sensíveis à privacidade” no âmbito do GDPR são informações como raça ou etnia (“Raça (classificação dos seres humanos)”), opiniões políticas, religião ou filosofia, e informações ligadas à vida sexual ou orientação sexual de uma pessoa.[12].
Qualquer interferência estatal na privacidade de uma pessoa só é aceitável para o Tribunal se cumprir as três condições:
A interferência está nos termos da lei.
A interferência tem finalidade legítima.
A interferência é necessária para uma sociedade democrática.
O governo não é a única entidade que representa uma ameaça à privacidade dos dados. Outros cidadãos, e especialmente empresas privadas, também podem envolver-se em actividades ameaçadoras, especialmente desde que o processamento automático de dados se generalizou. A Convenção sobre a Proteção das Pessoas através do Tratamento Automático de Dados Pessoais foi concluída no Conselho da Europa em 1981. Esta convenção obriga os signatários a representar legislação sobre o tratamento automático de dados pessoais.
Todos os Estados-Membros da União Europeia são também signatários da Convenção Europeia dos Direitos Humanos e da Convenção para a Protecção dos Indivíduos no que diz respeito ao Tratamento Automático de Dados Pessoais). A Comissão Europeia está preocupada com o facto de surgir legislação divergente em matéria de protecção de dados, impedindo o livre fluxo de dados no espaço da UE. A Comissão Europeia decidiu, portanto, propor a harmonização da legislação de protecção de dados na UE. A resultante Diretiva de Proteção de Dados foi adotada pelo Parlamento Europeu. e os ministros do governo nacional em 1995 e teve de ser transposto para a legislação nacional no final de 1998.
América do Norte
No Canadá, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) entrou em vigor em 1º de janeiro de 2001, aplicável a entidades privadas regulamentadas pelo governo federal. Todas as outras organizações estão incluídas a partir de 1º de janeiro de 2004.[21][22] A PIDEDA faz com que o Canadá cumpra a lei de proteção de dados da UE.
PIPEDA") especifica as regras que orientam a coleta, uso ou divulgação de informações pessoais em reconhecimento ao direito à privacidade dos indivíduos com relação às suas informações pessoais. Além disso, especifica as regras para as organizações coletarem, usarem e divulgarem informações pessoais.
PIPEDA") aplicam-se a:.
As organizações coletam, usam ou divulgam para uso comercial.
Organizações e funcionários de organizações coletam, usam ou divulgam para orientar a operação de uma obra, empresa ou negócio federal.
PIPEDA") NÃO se aplica a:.
Instituições governamentais às quais a Lei de Privacidade se aplica.
Indivíduos que coletam, usam ou divulgam informações pessoais para fins e usos pessoais.
Organizações que recolhem, utilizam ou divulgam apenas para fins jornalísticos, artísticos ou literários.
Conforme especificado no PIPEDA:
“Informações pessoais” significam informações sobre um indivíduo identificável, mas não incluem o nome, cargo, endereço comercial ou número de telefone de um funcionário de uma organização.
“Organização” significa uma associação, uma sociedade, uma pessoa e um sindicato.
“Obra, empreendimento ou negócio federal” significa qualquer trabalho, empreendimento ou negócio que esteja dentro da autoridade legislativa do Parlamento. Incluindo:.
Um trabalho, empresa ou negócio que é operado ou realizado para ou em conexão com navegação e transporte, seja terrestre ou marítimo, incluindo a operação de navios e transporte por navio em qualquer parte do Canadá.
Caminho-de-ferro, canal, telégrafo ou outra obra ou empresa que ligue uma província a outra província ou se estenda além dos limites de uma província.
Linha marítima que liga uma província a outra província ou que se estende além dos limites de uma província.
Uma jangada entre uma província e outra província ou entre uma província e um país que não seja o Canadá.
Aeródromo, aeronave ou linha de transporte aéreo.
Ámérica do Sul
A Lei Geral Brasileira de Proteção de Dados Pessoais (LGPD) entrou em vigor em 18 de setembro de 2020. O principal objetivo da lei é unificar 40 leis brasileiras diferentes que regulamentam o tratamento de dados pessoais. O projeto de lei tem 65 artigos e tem muitas semelhanças com o GDPR.[31].
A salvaguarda das informações pessoais no México constitui um direito consagrado no artigo 16, segundo parágrafo, da Constituição Política dos Estados Unidos Mexicanos. Este artigo garante a cada pessoa o direito à proteção dos seus dados pessoais, bem como ao acesso, retificação e cancelamento dos mesmos. Na esfera mexicana, a proteção de dados pessoais é regulada por diferentes regulamentos dependendo do setor correspondente. Na esfera privada, destaca-se a Lei Federal de Proteção de Dados Pessoais em poder de Pessoas Privadas (LFPDPPP), enquanto na esfera pública, a Lei Geral de Proteção de Dados Pessoais em poder de Sujeitos Obrigados (LGPDPPPSO) estabelece as diretrizes pertinentes.
A entrada em vigor deste último regulamento fez com que as leis de ambos os setores, público e privado, incorporassem uma série de princípios que regulam as regras e obrigações que regem o tratamento de dados pessoais pelos responsáveis. Além disso, cada entidade federal do México é obrigada a ter legislação que regule o tratamento de dados pessoais na esfera pública, de acordo com a sua jurisdição territorial. De acordo com as leis acima mencionadas, quem trata dados pessoais deve levar em consideração as diretrizes e documentos emitidos pelo Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (“INAI”).
[32].
Na Argentina, o atual quadro de proteção de dados está em vigor há mais de duas décadas. No entanto, face aos avanços tecnológicos e aos desafios emergentes da economia digital globalizada, tornou-se imperativo ajustar a legislação existente. Consequentemente, o Poder Executivo propôs um novo Projeto de Lei de Proteção de Dados Pessoais com o objetivo de fortalecer as capacidades do Estado na regulação e gestão de políticas públicas nesta área. Abaixo estão algumas das alterações propostas pelo novo projeto de lei:.
Definições precisas e ampliadas: O projeto incorpora novos termos e definições vinculados ao tratamento de dados pessoais, como consentimento, transferência internacional de dados, dados genéticos e biométricos, entre outros.
Alcance territorial ampliado: Semelhante ao Regulamento Geral de Proteção de Dados (GDPR), o projeto se estende a organizações fora da Argentina que fornecem bens ou serviços a pessoas na Argentina ou monitoram seu comportamento.
Princípios atualizados: O projeto introduz novos princípios para o processamento de dados, como a limitação do uso de dados e a responsabilidade proativa e demonstrada.
Princípios Internacionais de Porto Seguro
Artigo principal: Acordo Safe Harbor.
Ao contrário da abordagem dos EUA à protecção da privacidade"), que se baseia em legislação, regulamentação e auto-regulação específicas da indústria, a União Europeia baseia-se numa legislação abrangente sobre privacidade. A Directiva Europeia de Protecção de Dados que entrou em vigor em Outubro de 1998 inclui, por exemplo, a exigência de criar agências governamentais de protecção de dados, o registo de bases de dados nessas agências e, em alguns casos, a aprovação prévia antes de o processamento de dados pessoais poder começar. A fim de unir estas diferentes abordagens de privacidade e fornecer um meio simplificado para as organizações dos EUA cumprirem a Directiva, o Departamento de O Comércio, em consulta com a Comissão Europeia, desenvolveu uma estrutura de “Porto Seguro”.
Referências
[1] ↑ Greenleaf, Graham (6 de febrero de 2012). Global Data Privacy Laws: 89 Countries, and Accelerating. Social Science Electronic Publishing, Inc. SSRN 2000034.: https://es.wikipedia.org//ssrn.com/abstract=2000034
[2] ↑ Adopting a Virtual Data Protection Officer Archivado el 23 de febrero de 2019 en Wayback Machine. Published by Dativa, June 7, 2018, retrieved June 11, 2018.: https://www.dativa.com/virtual-dpo/
[3] ↑ «California Consumer Privacy Act (CCPA)». State of California - Department of Justice - Office of the Attorney General (en inglés). 15 de octubre de 2018. Consultado el 2 de julio de 2020.: https://oag.ca.gov/privacy/ccpa
[11] ↑ «Personal Information Protection Commission, Japan |PPC Personal Information Protection Commission,Japan». www.ppc.go.jp. Consultado el 28 de noviembre de 2023.: https://www.ppc.go.jp/en/
[21] ↑ Canada, Office of the Privacy Commissioner of (21 de marzo de 2023). «Office of the Privacy Commissioner of Canada». www.priv.gc.ca.: https://www.priv.gc.ca/en/
A directiva contém uma série de princípios fundamentais que os Estados-Membros devem cumprir. Qualquer pessoa que processe dados pessoais deve cumprir os oito princípios de boas práticas aplicáveis.[13] Eles indicam que os dados devem ser:.
Processado de forma justa e legal.
Processado para fins limitados.
Adequado, oportuno e não excessivo.
Preciso.
Não guarde mais do que o necessário.
Processado de acordo com os direitos do sujeito.
Claro.
Só pode ser transferido em países com proteção adequada.
Os dados pessoais abrangem factos e opiniões sobre o indivíduo.[13] Isto também inclui informações sobre as intenções do responsável pelo tratamento de dados em relação ao indivíduo, embora em algumas circunstâncias limitadas possam ser aplicadas isenções. Com o processamento, a definição é muito mais ampla do que antes. Por exemplo, incorpora os conceitos de “obtenção”, “posse” e “revelação”[14].
Todos os estados da UE adotaram legislação em conformidade com esta diretiva ou adaptaram as suas leis existentes. Cada país também tem os seus próprios supervisores para monitorizar o nível de proteção.[15].
Por causa disto, em teoria, a transferência de informações pessoais da UE para os EUA é proibida quando não existe proteção de privacidade equivalente à dos EUA. As empresas americanas que trabalhariam com dados da UE devem cumprir a estrutura do porto seguro. Os princípios básicos dos dados protegidos são coleta limitada, consenso do proprietário, exatidão, integridade, segurança e direito do sujeito de revisão e exclusão. Como resultado, os clientes de organizações internacionais como a Amazon e o eBay na UE têm a capacidade de rever e eliminar informações, enquanto os americanos não o fazem.
Nos Estados Unidos, a filosofia orientadora equivalente é o Código de Práticas de Informação Justa (FTC).
A diferença de linguagem aqui é importante: nos Estados Unidos o debate é sobre privacidade, enquanto na Comunidade Europeia o debate é sobre protecção de dados. A passagem do debate sobre a privacidade para a protecção de dados é vista por alguns filósofos como um mecanismo para avançar no domínio prático sem exigir acordo sobre questões fundamentais sobre a natureza da privacidade.
A França adaptou a sua lei existente “nª 78-17 de 6 de janeiro de 1978 sobre tecnologia da informação, arquivos e liberdades civis”[16].
Na Alemanha, o governo federal e os estados promulgaram leis.[17].
A Suíça não é membro da União Europeia (UE) ou do Espaço Económico Europeu (EEE), implementou parcialmente a Directiva da UE sobre a protecção de dados pessoais em 2006, consentindo com os acordos STE 108 do Conselho da Europa e uma alteração correspondente à Lei Federal de Protecção de Dados. No entanto, a lei suíça impõe menos restrições ao processamento de dados do que a directiva em vários aspectos.[18].
Na Suíça, o direito à privacidade é garantido no artigo 13 da Constituição Federal Suíça. A Lei Federal Suíça de Proteção de Dados (DPA)[19] e a Portaria Federal Suíça de Proteção de Dados (DPO) entraram em vigor em 1º de julho de 1993. As últimas alterações à DPA e DPO entraram em vigor em 1º de janeiro de 2008.
A DPA aplica-se ao processamento de dados pessoais por particulares e agências governamentais federais. Ao contrário da legislação de proteção de dados de muitos outros países, a DPA protege os dados pessoais pertencentes a pessoas singulares e coletivas.[20].
O Comissário Federal Suíço para Proteção de Dados e Informação, em particular, supervisiona a conformidade das agências governamentais federais com o DPA, presta aconselhamento a particulares sobre proteção de dados, conduz investigações e faz recomendações sobre práticas de proteção de dados.
Alguns arquivos de dados devem ser registrados no Comissário Federal para Proteção de Dados e Informações antes de serem criados. No caso de uma transferência de dados pessoais para fora da Suíça, devem ser cumpridos requisitos especiais e, dependendo das circunstâncias, o Comissário Federal para a Proteção de Dados e Informações deve ser informado antes da transferência ser realizada.[20].
A maioria dos cantões suíços promulgou as suas próprias leis de proteção de dados que regulam o processamento de dados pessoais por órgãos cantonais e municipais.
No Reino Unido, a Lei de Proteção de Dados de 1998" (c 29) (Comissário da Informação) implementou a Diretiva da UE sobre a proteção de dados pessoais. Ela substituiu a Lei de Proteção de Dados de 1984" (c 35). Substitui a Lei de Proteção de Dados de 1984 (c 35). O Regulamento Geral de Proteção de Dados de 2016 substituiu as anteriores Leis de Proteção de Dados. A Lei de Proteção de Dados de 2018(c 12) atualizou as leis de triagem de dados no Reino Unido. É uma lei nacional que complementa o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Uma estação de transmissão.
Um banco.
Uma obra que, embora inteiramente situada numa província, antes ou depois da sua execução, declarada pelo Parlamento como sendo para benefício geral do Canadá ou para benefício de duas ou mais províncias.
Obra, empresa ou negócio fora da legislatura exclusiva das províncias.
Um trabalho, empresa ou negócio ao qual se aplicam leis federais, na acepção da secção 2 da Lei dos Oceanos, aplica-se no âmbito da secção 20 dessa Lei e de qualquer regulamento feito ao abrigo do parágrafo 26(1)(k) dessa Lei.
PIPEDA concede aos indivíduos o direito de:.
Compreender as razões pelas quais as organizações recolhem, utilizam ou divulgam informação pessoal.
Fazer com que as organizações recolham, utilizem ou divulguem informações pessoais de forma razoável e apropriada.
Compreender quem é responsável pela proteção das informações pessoais dos indivíduos na organização.
Garantir que as organizações protejam as informações pessoais de forma razoável e segura.
Garantir que as informações pessoais mantidas pelas organizações sejam precisas, completas e atualizadas.
Ter acesso aos seus dados pessoais e solicitar qualquer correção ou ter o direito de apresentar reclamações às organizações.
PIPEDA exige que as organizações:.
Obtenha consentimento antes de coletar, utilizar e divulgar qualquer informação pessoal.
Coletar informações pessoais de maneira razoável, apropriada e legal.
Estabelecer políticas de informações pessoais que sejam claras, razoáveis e disponíveis para proteger as informações pessoais das pessoas.
Artigo principal: Lei de Privacidade dos Estados Unidos").
A privacidade de dados não é amplamente legislada ou regulamentada nos EUA[23]. Nos Estados Unidos, o acesso a conteúdos de dados privados, tais como relatórios de crédito de terceiros, pode ser solicitado quando se procura emprego ou cuidados de saúde, ou quando se fazem compras com condições de crédito. Embora existam regulamentações parciais, não existe uma lei abrangente que regule a aquisição, armazenamento ou uso de dados pessoais nos EUA. De um modo geral, nos EUA, qualquer pessoa que tenha problemas para inserir os dados é considerada como tendo o direito de armazenar e usar os dados, mesmo que os dados tenham sido coletados sem permissão, exceto na medida em que sejam regulamentados por leis e regras, como as disposições da Lei Federal de Comunicações e as regras de implementação da Comissão Federal de Comunicações, que regulam o uso de informações de rede de propriedade do cliente "(CPNI). Por exemplo, a Lei de Responsabilidade e Portabilidade de Seguros de Saúde de 1996 (HIPAA), a Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA) e a Lei de Transações de Crédito Justas e Precisas de 2003 (FACTA) são exemplos de disposições legais federais dos EUA que tendem a promover a eficiência do fluxo de informações.
A Suprema Corte interpretou a Constituição para conceder o direito à privacidade aos indivíduos no caso Griswol v. Connecticut "Griswold (Connecticut)"). No entanto, muito poucos estados reconhecem o direito à privacidade dos indivíduos, especialmente a Califórnia. O direito inalienável à privacidade está consagrado no Artigo 1, Secção 1 da Constituição da Califórnia, e a legislatura da Califórnia promulgou várias leis destinadas a proteger este direito. A Lei de Proteção à Privacidade Online da Califórnia (OPPA) de 2003 exige que os operadores de sites comerciais ou serviços online que coletam informações pessoais de residentes da Califórnia por meio de um site publiquem de forma visível uma política de privacidade no site e cumpram sua política.
Os Princípios Internacionais de Porto Seguro foram desenvolvidos pelo Departamento de Comércio dos Estados Unidos para fornecer um meio para as empresas americanas demonstrarem conformidade com as Diretivas da Comissão Europeia e, assim, simplificar as relações entre elas e as empresas europeias.[24].
Recentemente, legisladores de vários estados propuseram leis para mudar a forma como as empresas online lidam com as informações dos usuários. Entre aquelas que geram atenção significativa estão diversas legislações “Do Not Track” e a Lei do Direito de Saber (Projeto de Lei AB 1291 da Califórnia). A Lei do Direito de Saber da Califórnia, se aprovada, exigiria que todas as empresas que continuam a armazenar informações dos usuários fornecessem aos seus usuários uma cópia das informações armazenadas, mediante solicitação.[25] O projeto enfrentou forte oposição de grupos comerciais como Google, Microsoft e Facebook, e não o fez. Foi aprovado.[26].
Em 28 de junho de 2018, a legislatura da Califórnia aprovou a AB 375, a Lei de Privacidade do Consumidor da Califórnia de 2018, em vigor a partir de 1º de janeiro de 2020.[27] Se a lei não for alterada antes de entrar em vigor, a Lei de Privacidade do Consumidor da Califórnia, AB. 375 - concede aos residentes da Califórnia uma série de novos direitos, a começar pelo direito de serem informados sobre quais tipos de dados pessoais serão coletados pela empresa e por que são coletados.[28].
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPPA) foi promulgada pelo Congresso dos EUA em 1996 e também é conhecida como Lei de Portabilidade e Responsabilidade de Seguros de Saúde Kennedy-Kassebaum (HIPPA- Lei Pública 104-191), em vigor em 21 de agosto de 1996. A ideia básica do HIPPA é que um indivíduo que é sujeito de informações de saúde identificáveis individualmente deve ter:.
• - Procedimentos estabelecidos para o exercício dos direitos individuais de privacidade das informações de saúde.
• - O uso e divulgação de informações de saúde individuais devem ser autorizados ou exigidos.
Uma dificuldade do HIPPA é que deve haver um mecanismo de autenticação para o paciente que solicita acesso aos seus dados. Como resultado, mecanismos médicos facilitam a obtenção de solicitações de Número de Seguro Social dos pacientes, possivelmente diminuindo a privacidade ao simplificar o processo de correlação de registros de saúde com outros registros. A questão do consentimento é problemática no âmbito da HIPPA, porque os prestadores de serviços médicos simplesmente tornam os cuidados dependentes do acordo com os padrões de privacidade na prática.
O Fair Credit Reporting Act aplica os princípios do Código de Práticas Justas de Relatórios às agências de relatórios de crédito. A FCRA permite que indivíduos optem por não receber ofertas de crédito indesejadas:
• - Equifax (888) 567-8688 Equifax Options, P.O. Caixa 74'123 Atlanta GA 20274-0123.
• - TransUnion(800) 680-7293 ou (888) 5OPTOUT P.O. Caixa 97328, Jackson MS 39238.
Por causa da Lei de Transações de Crédito Justas e Precisas, todos podem obter um relatório de crédito anual gratuito.
O Fair Credit Reporting Act tem sido eficaz na prevenção da proliferação de diretórios de crédito privados enganosos. Antes de 1970, os diretórios de crédito privado ofereciam informações detalhadas, embora não confiáveis, sobre indivíduos facilmente identificáveis.[29] Antes do Fair Credit Reporting Act, podia ser incluído material obsceno sem fundamento e, de facto, os boatos eram amplamente incluídos nos relatórios de crédito. EPIC tem uma página FCRA. A Consumer Data Industry Association, que representa a indústria de relatórios de consumo, também possui um site com informações da FCRA.
O Fair Credit Reporting Act oferece aos consumidores a capacidade de visualizar, corrigir, responder e limitar o uso de relatórios de crédito. A FCRA também protege a agência de crédito da acusação de liberação negligente em caso de declaração falsa do requerente. As agências de crédito devem perguntar ao requerente a finalidade da divulgação da informação solicitada, mas não devem fazer nenhum esforço para verificar a veracidade das declarações do requerente. Na verdade, os tribunais decidiram que “a lei claramente não fornece uma solução para o uso ilegal ou abusivo de informações do consumidor” (Henry v Forbes, 1976). É amplamente aceito que, para evitar a FCRA, a Equifax criou o ChoicePoint, altura em que a empresa-mãe copiou todos os seus registos para a sua subsidiária recém-criada. ChoicePoint não é uma agência de relatórios de crédito e, portanto, a FCRA não se aplica.[30].
A Lei de Práticas Justas de Cobrança de Dívidas limita de forma semelhante a divulgação de informações sobre as transações financeiras de um consumidor. Impede que os credores ou os seus agentes revelem o facto de um indivíduo estar em dívida com terceiros, embora permita que os credores e os seus agentes tentem obter informações sobre a localização do devedor. Limita as ações de quem busca o pagamento de uma dívida. Por exemplo, as agências de cobrança de dívidas estão proibidas de assediar ou contactar pessoas na Lei de Prevenção do Abuso de Falências e Protecção do Consumidor de 2005 (que na verdade eliminou a protecção do consumidor, por exemplo, em caso de falência como resultado de custos médicos) limitou alguns destes controlos sobre os devedores.
A Lei de Privacidade das Comunicações Eletrônicas (ECPA) estabelece penalidades criminais para a interceptação de comunicações eletrônicas. No entanto, a legislação tem sido criticada pela falta de impacto devido a lacunas.
Algumas das leis, regulamentos e diretivas relacionadas com a proteção dos sistemas de informação estão resumidas abaixo:
• - Lei de Relatórios de Crédito Justo dos EUA de 1970").
• - Lei de Organizações Corruptas e Influenciadas por Extorsionistas dos EUA (RICO) de 1970).
• - Lei de Privacidade e Direitos Educacionais da Família de 1974 (FERPA)").
• - Lei de Privacidade dos EUA de 1974").
• - Diretrizes de 1980 da Organização para a Cooperação e o Desenvolvimento Econômico (OCDE)").
• - Lei de Crimes Informáticos Médicos dos EUA de 1984.
• - Lei Federal de Crimes Informáticos dos EUA de 1984 (reforçada em 1986 e 1994).
• - Lei de Fraude e Abuso de Computadores dos EUA de 1986") (alterada em 1986, 1994, 1996 e 2001).
• - Lei de Privacidade de Comunicações Eletrônicas dos EUA (ECPA) de 1986.
• - Lei de Segurança de Computadores dos EUA de 1987") (revogada pela Lei Federal de Gerenciamento de Segurança da Informação de 2002")).
• - Lei de Proteção à Privacidade de Vídeo dos EUA de 1988").
• - Lei de Uso Indevido de Computadores do Reino Unido de 1990").
• - Diretrizes Federais de Penas dos EUA de 1991").
• - 1992 Diretrizes da OCDE de 1992 para servir como uma estrutura de segurança abrangente.
• - Lei de Assistência às Comunicações para Aplicação da Lei de 1994).
• - Diretiva do Conselho de Proteção de Dados de 1995 para a União Europeia (UE).
• - Lei de Proteção de Informações Econômicas e Privadas dos EUA de 1996").
• - Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996 (requisito adicionado em dezembro de 2000).
• - Lei de Direitos Autorais do Milênio Digital dos EUA (DMCA) de 1998.
• - Lei Uniforme de Transações de Informações de Computadores dos EUA (UCITA) de 1999).
• - Lei de Assinaturas Eletrônicas do Congresso dos EUA de 2000 na Lei de Comércio Nacional Global ("ESIGN").
• - 2001 Unindo e fortalecendo a América, fornecendo ferramentas apropriadas para restringir, interceptar e obstruir o terrorismo (USA PATRIOT).
• - Lei de Segurança Interna (HSA) de 2002).
• - Lei Federal de Gestão de Segurança da Informação de 2002").
Várias agências federais dos EUA têm estatutos de privacidade que cobrem a coleta e o uso de informações privadas. Estes incluem o Census Bureau, o Internal Revenue Service e o National Center for Educational Statistics (ao abrigo da Lei de Reforma das Ciências da Educação). Além disso, o estatuto do CIPSEA protege a confidencialidade dos dados coletados pelas agências federais de estatística.
Base jurídica ampliada: Ao contrário da atual Lei de Proteção de Dados Pessoais (LPDP), que se baseia exclusivamente no consentimento como base legal para o tratamento de dados pessoais, o Projeto de Lei permite outras bases jurídicas, como o interesse legítimo.
Proteção de dados sensíveis: O projeto estabelece bases jurídicas adicionais para o tratamento de dados pessoais sensíveis e define critérios para maior responsabilidade no seu tratamento.
Proteção dos dados das crianças: Está prevista uma proteção especial para os dados pessoais das crianças e são estabelecidas regras específicas para salvaguardar a sua informação quando esta é processada nos serviços da sociedade.
[33].
A directiva contém uma série de princípios fundamentais que os Estados-Membros devem cumprir. Qualquer pessoa que processe dados pessoais deve cumprir os oito princípios de boas práticas aplicáveis.[13] Eles indicam que os dados devem ser:.
Processado de forma justa e legal.
Processado para fins limitados.
Adequado, oportuno e não excessivo.
Preciso.
Não guarde mais do que o necessário.
Processado de acordo com os direitos do sujeito.
Claro.
Só pode ser transferido em países com proteção adequada.
Os dados pessoais abrangem factos e opiniões sobre o indivíduo.[13] Isto também inclui informações sobre as intenções do responsável pelo tratamento de dados em relação ao indivíduo, embora em algumas circunstâncias limitadas possam ser aplicadas isenções. Com o processamento, a definição é muito mais ampla do que antes. Por exemplo, incorpora os conceitos de “obtenção”, “posse” e “revelação”[14].
Todos os estados da UE adotaram legislação em conformidade com esta diretiva ou adaptaram as suas leis existentes. Cada país também tem os seus próprios supervisores para monitorizar o nível de proteção.[15].
Por causa disto, em teoria, a transferência de informações pessoais da UE para os EUA é proibida quando não existe proteção de privacidade equivalente à dos EUA. As empresas americanas que trabalhariam com dados da UE devem cumprir a estrutura do porto seguro. Os princípios básicos dos dados protegidos são coleta limitada, consenso do proprietário, exatidão, integridade, segurança e direito do sujeito de revisão e exclusão. Como resultado, os clientes de organizações internacionais como a Amazon e o eBay na UE têm a capacidade de rever e eliminar informações, enquanto os americanos não o fazem.
Nos Estados Unidos, a filosofia orientadora equivalente é o Código de Práticas de Informação Justa (FTC).
A diferença de linguagem aqui é importante: nos Estados Unidos o debate é sobre privacidade, enquanto na Comunidade Europeia o debate é sobre protecção de dados. A passagem do debate sobre a privacidade para a protecção de dados é vista por alguns filósofos como um mecanismo para avançar no domínio prático sem exigir acordo sobre questões fundamentais sobre a natureza da privacidade.
A França adaptou a sua lei existente “nª 78-17 de 6 de janeiro de 1978 sobre tecnologia da informação, arquivos e liberdades civis”[16].
Na Alemanha, o governo federal e os estados promulgaram leis.[17].
A Suíça não é membro da União Europeia (UE) ou do Espaço Económico Europeu (EEE), implementou parcialmente a Directiva da UE sobre a protecção de dados pessoais em 2006, consentindo com os acordos STE 108 do Conselho da Europa e uma alteração correspondente à Lei Federal de Protecção de Dados. No entanto, a lei suíça impõe menos restrições ao processamento de dados do que a directiva em vários aspectos.[18].
Na Suíça, o direito à privacidade é garantido no artigo 13 da Constituição Federal Suíça. A Lei Federal Suíça de Proteção de Dados (DPA)[19] e a Portaria Federal Suíça de Proteção de Dados (DPO) entraram em vigor em 1º de julho de 1993. As últimas alterações à DPA e DPO entraram em vigor em 1º de janeiro de 2008.
A DPA aplica-se ao processamento de dados pessoais por particulares e agências governamentais federais. Ao contrário da legislação de proteção de dados de muitos outros países, a DPA protege os dados pessoais pertencentes a pessoas singulares e coletivas.[20].
O Comissário Federal Suíço para Proteção de Dados e Informação, em particular, supervisiona a conformidade das agências governamentais federais com o DPA, presta aconselhamento a particulares sobre proteção de dados, conduz investigações e faz recomendações sobre práticas de proteção de dados.
Alguns arquivos de dados devem ser registrados no Comissário Federal para Proteção de Dados e Informações antes de serem criados. No caso de uma transferência de dados pessoais para fora da Suíça, devem ser cumpridos requisitos especiais e, dependendo das circunstâncias, o Comissário Federal para a Proteção de Dados e Informações deve ser informado antes da transferência ser realizada.[20].
A maioria dos cantões suíços promulgou as suas próprias leis de proteção de dados que regulam o processamento de dados pessoais por órgãos cantonais e municipais.
No Reino Unido, a Lei de Proteção de Dados de 1998" (c 29) (Comissário da Informação) implementou a Diretiva da UE sobre a proteção de dados pessoais. Ela substituiu a Lei de Proteção de Dados de 1984" (c 35). Substitui a Lei de Proteção de Dados de 1984 (c 35). O Regulamento Geral de Proteção de Dados de 2016 substituiu as anteriores Leis de Proteção de Dados. A Lei de Proteção de Dados de 2018(c 12) atualizou as leis de triagem de dados no Reino Unido. É uma lei nacional que complementa o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Uma estação de transmissão.
Um banco.
Uma obra que, embora inteiramente situada numa província, antes ou depois da sua execução, declarada pelo Parlamento como sendo para benefício geral do Canadá ou para benefício de duas ou mais províncias.
Obra, empresa ou negócio fora da legislatura exclusiva das províncias.
Um trabalho, empresa ou negócio ao qual se aplicam leis federais, na acepção da secção 2 da Lei dos Oceanos, aplica-se no âmbito da secção 20 dessa Lei e de qualquer regulamento feito ao abrigo do parágrafo 26(1)(k) dessa Lei.
PIPEDA concede aos indivíduos o direito de:.
Compreender as razões pelas quais as organizações recolhem, utilizam ou divulgam informação pessoal.
Fazer com que as organizações recolham, utilizem ou divulguem informações pessoais de forma razoável e apropriada.
Compreender quem é responsável pela proteção das informações pessoais dos indivíduos na organização.
Garantir que as organizações protejam as informações pessoais de forma razoável e segura.
Garantir que as informações pessoais mantidas pelas organizações sejam precisas, completas e atualizadas.
Ter acesso aos seus dados pessoais e solicitar qualquer correção ou ter o direito de apresentar reclamações às organizações.
PIPEDA exige que as organizações:.
Obtenha consentimento antes de coletar, utilizar e divulgar qualquer informação pessoal.
Coletar informações pessoais de maneira razoável, apropriada e legal.
Estabelecer políticas de informações pessoais que sejam claras, razoáveis e disponíveis para proteger as informações pessoais das pessoas.
Artigo principal: Lei de Privacidade dos Estados Unidos").
A privacidade de dados não é amplamente legislada ou regulamentada nos EUA[23]. Nos Estados Unidos, o acesso a conteúdos de dados privados, tais como relatórios de crédito de terceiros, pode ser solicitado quando se procura emprego ou cuidados de saúde, ou quando se fazem compras com condições de crédito. Embora existam regulamentações parciais, não existe uma lei abrangente que regule a aquisição, armazenamento ou uso de dados pessoais nos EUA. De um modo geral, nos EUA, qualquer pessoa que tenha problemas para inserir os dados é considerada como tendo o direito de armazenar e usar os dados, mesmo que os dados tenham sido coletados sem permissão, exceto na medida em que sejam regulamentados por leis e regras, como as disposições da Lei Federal de Comunicações e as regras de implementação da Comissão Federal de Comunicações, que regulam o uso de informações de rede de propriedade do cliente "(CPNI). Por exemplo, a Lei de Responsabilidade e Portabilidade de Seguros de Saúde de 1996 (HIPAA), a Lei de Proteção à Privacidade Online das Crianças de 1998 (COPPA) e a Lei de Transações de Crédito Justas e Precisas de 2003 (FACTA) são exemplos de disposições legais federais dos EUA que tendem a promover a eficiência do fluxo de informações.
A Suprema Corte interpretou a Constituição para conceder o direito à privacidade aos indivíduos no caso Griswol v. Connecticut "Griswold (Connecticut)"). No entanto, muito poucos estados reconhecem o direito à privacidade dos indivíduos, especialmente a Califórnia. O direito inalienável à privacidade está consagrado no Artigo 1, Secção 1 da Constituição da Califórnia, e a legislatura da Califórnia promulgou várias leis destinadas a proteger este direito. A Lei de Proteção à Privacidade Online da Califórnia (OPPA) de 2003 exige que os operadores de sites comerciais ou serviços online que coletam informações pessoais de residentes da Califórnia por meio de um site publiquem de forma visível uma política de privacidade no site e cumpram sua política.
Os Princípios Internacionais de Porto Seguro foram desenvolvidos pelo Departamento de Comércio dos Estados Unidos para fornecer um meio para as empresas americanas demonstrarem conformidade com as Diretivas da Comissão Europeia e, assim, simplificar as relações entre elas e as empresas europeias.[24].
Recentemente, legisladores de vários estados propuseram leis para mudar a forma como as empresas online lidam com as informações dos usuários. Entre aquelas que geram atenção significativa estão diversas legislações “Do Not Track” e a Lei do Direito de Saber (Projeto de Lei AB 1291 da Califórnia). A Lei do Direito de Saber da Califórnia, se aprovada, exigiria que todas as empresas que continuam a armazenar informações dos usuários fornecessem aos seus usuários uma cópia das informações armazenadas, mediante solicitação.[25] O projeto enfrentou forte oposição de grupos comerciais como Google, Microsoft e Facebook, e não o fez. Foi aprovado.[26].
Em 28 de junho de 2018, a legislatura da Califórnia aprovou a AB 375, a Lei de Privacidade do Consumidor da Califórnia de 2018, em vigor a partir de 1º de janeiro de 2020.[27] Se a lei não for alterada antes de entrar em vigor, a Lei de Privacidade do Consumidor da Califórnia, AB. 375 - concede aos residentes da Califórnia uma série de novos direitos, a começar pelo direito de serem informados sobre quais tipos de dados pessoais serão coletados pela empresa e por que são coletados.[28].
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPPA) foi promulgada pelo Congresso dos EUA em 1996 e também é conhecida como Lei de Portabilidade e Responsabilidade de Seguros de Saúde Kennedy-Kassebaum (HIPPA- Lei Pública 104-191), em vigor em 21 de agosto de 1996. A ideia básica do HIPPA é que um indivíduo que é sujeito de informações de saúde identificáveis individualmente deve ter:.
• - Procedimentos estabelecidos para o exercício dos direitos individuais de privacidade das informações de saúde.
• - O uso e divulgação de informações de saúde individuais devem ser autorizados ou exigidos.
Uma dificuldade do HIPPA é que deve haver um mecanismo de autenticação para o paciente que solicita acesso aos seus dados. Como resultado, mecanismos médicos facilitam a obtenção de solicitações de Número de Seguro Social dos pacientes, possivelmente diminuindo a privacidade ao simplificar o processo de correlação de registros de saúde com outros registros. A questão do consentimento é problemática no âmbito da HIPPA, porque os prestadores de serviços médicos simplesmente tornam os cuidados dependentes do acordo com os padrões de privacidade na prática.
O Fair Credit Reporting Act aplica os princípios do Código de Práticas Justas de Relatórios às agências de relatórios de crédito. A FCRA permite que indivíduos optem por não receber ofertas de crédito indesejadas:
• - Equifax (888) 567-8688 Equifax Options, P.O. Caixa 74'123 Atlanta GA 20274-0123.
• - TransUnion(800) 680-7293 ou (888) 5OPTOUT P.O. Caixa 97328, Jackson MS 39238.
Por causa da Lei de Transações de Crédito Justas e Precisas, todos podem obter um relatório de crédito anual gratuito.
O Fair Credit Reporting Act tem sido eficaz na prevenção da proliferação de diretórios de crédito privados enganosos. Antes de 1970, os diretórios de crédito privado ofereciam informações detalhadas, embora não confiáveis, sobre indivíduos facilmente identificáveis.[29] Antes do Fair Credit Reporting Act, podia ser incluído material obsceno sem fundamento e, de facto, os boatos eram amplamente incluídos nos relatórios de crédito. EPIC tem uma página FCRA. A Consumer Data Industry Association, que representa a indústria de relatórios de consumo, também possui um site com informações da FCRA.
O Fair Credit Reporting Act oferece aos consumidores a capacidade de visualizar, corrigir, responder e limitar o uso de relatórios de crédito. A FCRA também protege a agência de crédito da acusação de liberação negligente em caso de declaração falsa do requerente. As agências de crédito devem perguntar ao requerente a finalidade da divulgação da informação solicitada, mas não devem fazer nenhum esforço para verificar a veracidade das declarações do requerente. Na verdade, os tribunais decidiram que “a lei claramente não fornece uma solução para o uso ilegal ou abusivo de informações do consumidor” (Henry v Forbes, 1976). É amplamente aceito que, para evitar a FCRA, a Equifax criou o ChoicePoint, altura em que a empresa-mãe copiou todos os seus registos para a sua subsidiária recém-criada. ChoicePoint não é uma agência de relatórios de crédito e, portanto, a FCRA não se aplica.[30].
A Lei de Práticas Justas de Cobrança de Dívidas limita de forma semelhante a divulgação de informações sobre as transações financeiras de um consumidor. Impede que os credores ou os seus agentes revelem o facto de um indivíduo estar em dívida com terceiros, embora permita que os credores e os seus agentes tentem obter informações sobre a localização do devedor. Limita as ações de quem busca o pagamento de uma dívida. Por exemplo, as agências de cobrança de dívidas estão proibidas de assediar ou contactar pessoas na Lei de Prevenção do Abuso de Falências e Protecção do Consumidor de 2005 (que na verdade eliminou a protecção do consumidor, por exemplo, em caso de falência como resultado de custos médicos) limitou alguns destes controlos sobre os devedores.
A Lei de Privacidade das Comunicações Eletrônicas (ECPA) estabelece penalidades criminais para a interceptação de comunicações eletrônicas. No entanto, a legislação tem sido criticada pela falta de impacto devido a lacunas.
Algumas das leis, regulamentos e diretivas relacionadas com a proteção dos sistemas de informação estão resumidas abaixo:
• - Lei de Relatórios de Crédito Justo dos EUA de 1970").
• - Lei de Organizações Corruptas e Influenciadas por Extorsionistas dos EUA (RICO) de 1970).
• - Lei de Privacidade e Direitos Educacionais da Família de 1974 (FERPA)").
• - Lei de Privacidade dos EUA de 1974").
• - Diretrizes de 1980 da Organização para a Cooperação e o Desenvolvimento Econômico (OCDE)").
• - Lei de Crimes Informáticos Médicos dos EUA de 1984.
• - Lei Federal de Crimes Informáticos dos EUA de 1984 (reforçada em 1986 e 1994).
• - Lei de Fraude e Abuso de Computadores dos EUA de 1986") (alterada em 1986, 1994, 1996 e 2001).
• - Lei de Privacidade de Comunicações Eletrônicas dos EUA (ECPA) de 1986.
• - Lei de Segurança de Computadores dos EUA de 1987") (revogada pela Lei Federal de Gerenciamento de Segurança da Informação de 2002")).
• - Lei de Proteção à Privacidade de Vídeo dos EUA de 1988").
• - Lei de Uso Indevido de Computadores do Reino Unido de 1990").
• - Diretrizes Federais de Penas dos EUA de 1991").
• - 1992 Diretrizes da OCDE de 1992 para servir como uma estrutura de segurança abrangente.
• - Lei de Assistência às Comunicações para Aplicação da Lei de 1994).
• - Diretiva do Conselho de Proteção de Dados de 1995 para a União Europeia (UE).
• - Lei de Proteção de Informações Econômicas e Privadas dos EUA de 1996").
• - Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996 (requisito adicionado em dezembro de 2000).
• - Lei de Direitos Autorais do Milênio Digital dos EUA (DMCA) de 1998.
• - Lei Uniforme de Transações de Informações de Computadores dos EUA (UCITA) de 1999).
• - Lei de Assinaturas Eletrônicas do Congresso dos EUA de 2000 na Lei de Comércio Nacional Global ("ESIGN").
• - 2001 Unindo e fortalecendo a América, fornecendo ferramentas apropriadas para restringir, interceptar e obstruir o terrorismo (USA PATRIOT).
• - Lei de Segurança Interna (HSA) de 2002).
• - Lei Federal de Gestão de Segurança da Informação de 2002").
Várias agências federais dos EUA têm estatutos de privacidade que cobrem a coleta e o uso de informações privadas. Estes incluem o Census Bureau, o Internal Revenue Service e o National Center for Educational Statistics (ao abrigo da Lei de Reforma das Ciências da Educação). Além disso, o estatuto do CIPSEA protege a confidencialidade dos dados coletados pelas agências federais de estatística.
Base jurídica ampliada: Ao contrário da atual Lei de Proteção de Dados Pessoais (LPDP), que se baseia exclusivamente no consentimento como base legal para o tratamento de dados pessoais, o Projeto de Lei permite outras bases jurídicas, como o interesse legítimo.
Proteção de dados sensíveis: O projeto estabelece bases jurídicas adicionais para o tratamento de dados pessoais sensíveis e define critérios para maior responsabilidade no seu tratamento.
Proteção dos dados das crianças: Está prevista uma proteção especial para os dados pessoais das crianças e são estabelecidas regras específicas para salvaguardar a sua informação quando esta é processada nos serviços da sociedade.