Índia, China e Singapura avançam na proteção de dados pessoais

Na economia digitalizada, o volume de dados pessoais armazenados e transacionados online cresceu de forma acelerada. Com isso, a preocupação com vazamentos e ataques de hackers e a proteção desses dados se tornou prioridade nas principais economias asiáticas.
Índia, China e Singapura avançam na proteção de dados pessoais
Data
Autor
Equipe Propague
Produto
Compartilhar

O aumento do comércio eletrônico, das transações bancárias online e a digitalização dos serviços públicos ampliaram consideravelmente o armazenamento e a circulação de dados no ambiente virtual. Nesse sentido, a proteção de dados pessoais tem estado cada vez mais em alta, tornando-se uma demanda e preocupação tanto de instituições públicas quanto do setor privado.

Dado esse maior volume de compartilhamento e fluxo de dados entre os usuários na internet, é fundamental que os organismos reguladores e supervisores estejam atentos para adequar e fortalecer suas leis de proteção de dados para garantir que empresas e indivíduos se adequem às normas de segurança e proteção de dados pessoais.

Embora essa seja uma preocupação global, a Ásia, especificamente, tem chamado a atenção quando o assunto é segurança digital. Entre os principais destaques do setor regulatório asiático, Índia, China e Singapura têm liderado o avanço da pauta de segurança e proteção das informações compartilhadas em ambiente virtual, buscando alinhar o fluxo de dados doméstico e transfronteiriços à medida que suas economias e acordos comerciais se expandem.  Um dos movimentos mais recentes de proteção de dados pessoais ocorreu na Índia com a publicação do Projeto de Lei de Proteção de Dados Pessoais Digitais divulgado pelo Ministério da Eletrônica e TI (MeitY).

Índia apresenta projeto de lei para proteção de dados pessoais

O projeto foi apresentado no dia 18 de novembro de 2022 e, de acordo uma nota explicativa oficial, ele se baseia em sete princípios. São eles:

  • O primeiro, estabelece que o uso de dados pessoais por organizações deve ser feito de forma transparente para os indivíduos;
  • o segundo, garante que os dados pessoais só devem ser utilizados para os fins que foram recolhidos;
  • o terceiro princípio do projeto estabelece que, em caso de necessidade de compartilhamento, devem ser recolhidos os mínimos de dados possíveis para um determinado objetivo;
  • o quarto tópico afirma que a coleta de dados de indivíduos deve ser precisa e atualizada;
  • o quinto princípio, por sua vez, foca no armazenamento, de modo que os dados pessoais não podem ser armazenados indefinidamente de forma padronizada, sendo o armazenamento limitado a uma duração fixa;
  • já o sexto ponto observa que deve haver salvaguardas para garantir que “não haja coleta ou processamento não autorizado de dados pessoais”;
  • por fim, o sétimo princípio diz respeito a responsabilização e, de acordo com ele, o indivíduo que decide a finalidade e os meios do processamento de dados pessoais deve ser responsável por tal processamento.

Para consolidar esses princípios, a lei estabeleceu que os indivíduos terão o direito de exigir o apagamento e a correção dos dados coletados, quando necessário. Eles também terão o direito de nomear um indivíduo encarregado que exercerá esses direitos em caso de morte ou incapacidade do responsável principal de dados.

A Lei também estabeleceu que os dados podem ser transferidos ou armazenados em outros países desde que obtenha avaliação prévia por parte do governo local.

A China, por exemplo, foi notícia em setembro quando a Administração de Cibersegurança da China (CAC), a principal autoridade de segurança cibernética, colocou em vigor as “Medidas para Avaliação de Segurança de Exportações de Dados”.

Três leis formam o arcabouço principal de regulação de dados pessoais na China

Assim como a Índia, a China tornou-se notícia global quando, em setembro de 2022, a Administração de Cibersegurança da China (CAC), a principal autoridade de segurança cibernética, colocou em vigor as “Medidas para Avaliação de Segurança de Exportações de Dados”.

Essas medidas detalham os requisitos para transferência de dados entre fronteiras, seguindo a Lei de Proteção à Informação Pessoal (PIPL) que, junto a Lei de Segurança de Dados (DSL) e a Lei de Cibersegurança, formam o marco legal básico sobre a governança de dados na China.

A DSL (2021) e a Lei de Cibersegurança (2017) cobrem uma gama variada de temas relacionados com segurança nacional e interesse público. A Lei de Cibersegurança estabeleceu a soberania chinesa sobre o ciberespaço, estendendo o alcance estatal sobre as informações no país.

Essa lei definiu, por exemplo, que dados pessoais críticos devem ser armazenados dentro do território chinês e também que autoridades chinesas podem realizar verificações nas empresas que operam com dados.

A DSL, por sua vez, tem, entre seus objetivos, regular o processamento de dados, promovendo seu desenvolvimento e utilização, além de proteger os direitos de indivíduos e empresas.

Com relação a proteção de dados pessoais, ela estabelece, por exemplo, que os organismos públicos ao coletarem ou manipularem esses dados devem manter a confidencialidade das informações.

China já conta, desde 2021, com uma lei de proteção de dados pessoais

Já a PIPL, é voltada exclusivamente para proteção de dados pessoais e foi promulgada no fim de 2021, estabelecendo que as empresas chinesas que operam com transferência de dados precisam se submeter a uma revisão de segurança por parte do CAC.

Essa lei faz uma distinção entre as informações pessoais gerais e informações pessoais sensíveis. Informações pessoais gerais referem-se a qualquer tipo de informação relacionada a uma pessoa física identificada, enquanto informações pessoais sensíveis referem-se a informações que, se vazadas, levariam à violação da dignidade humana, como, por exemplo, o reconhecimento biométrico, crença religiosa, saúde física e financeira.

A PIPL, além de categorizar os dados pessoais, também define quando uma empresa pode operar. Nesse sentido, uma empresa que manipula ou armazena informações pessoais só pode operar se houver um acordo mútuo entre as partes, e, se os dados coletados forem necessários para celebração e gestão de um contrato ou, então, no caso de serem dados que se tornaram públicos.

Vale ressaltar que a PIPL foi promulgada para explicitar as regulamentações especificamente de dados pessoais que, embora já fossem mencionadas e tratadas pela Lei de Cibersegurança e pela DSL, ainda careciam de desenvolvimento e aprofundamento.

Lei de proteção de dados pessoais em Singapura vai além do ambiente virtual

Singapura, por sua vez, foi a primeira das três regiões a promulgar sua lei de proteção de dados pessoais, em 2013. A Lei de Proteção de Dados Pessoais (PDPA) fornece um padrão básico de proteção de dados pessoais para a cidade-nação, complementando os quadros legislativos e regulamentares específicos do setor, como a Lei Bancária e a Lei dos Seguros.

Essa lei é responsável por reger vários requisitos relacionados a dados pessoais como a coleta, uso, divulgação e cuidado do armazenamento. Além disso, prevê a criação de um Registo Nacional de Não Chamada (DNC), no qual os indivíduos podem registrar seus números de telefone para não receberem mensagens de telemarketing indesejadas.

De acordo com a Comissão de Proteção de Dados Pessoais de Singapura (PDPC), a principal autoridade sobre proteção de dados pessoais da região, a lei, embora tenha como princípio a proteção das informações particulares, leva em consideração a necessidade das empresas de coletarem, usarem e publicarem os dados pessoais.

Assim, para garantir esses dois objetivos, os dados devem ser transferidos para outras entidades caso seja solicitado pelos indivíduos e, além disso, as empresas envolvidas também são obrigadas a esclarecer quais informações de uma pessoa possuem, caso solicitado.

Os dados, também, só devem ficar em posse da uma instituição enquanto forem necessários, devendo a instituição eliminá-los de forma adequada quando não forem mais úteis.

Por fim, essas informações só podem ser coletadas, armazenadas ou divulgadas mediante consentimento de ambas as partes. É importante destacar, ainda, que a PDPA abrange dados pessoais armazenados em formatos eletrônicos e não eletrônicos.

 

Veja mais:

Confiança digital: você se sente seguro quando empresas solicitam seus dados?

O boom dos golpes financeiros! Aprenda como se proteger e porque eles crescem cada vez mais

Hong Kong está se transformando em um hub global de tecnologia financeira, acompanhando outros destaques asiáticos como Singapura

Identidade digital: veja as tendências para uma das principais apostas da segurança cibernética

Segurança de dados: o que é e como ela impacta a experiência do usuário

Todos os produtos

Páginas

Quer se
aprofundar mais?

Com uma linguagem simples de entender, as análises do Instituto Propague vão te deixar por dentro dos principais temas do mercado.

Leia agora!

Acessar análises

Ver também

Fraudes financeiras aumentam: como se prevenir?
Reproduzir

Fraudes financeiras aumentam: como se prevenir?

Fraudes financeiras aumentam: como se prevenir?

Fraudes financeiras aumentam: como se prevenir?

Golpe em celulares: entenda os riscos
Reproduzir

Golpe em celulares: entenda os riscos

Golpe em celulares: entenda os riscos

Golpe em celulares: entenda os riscos

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

KYC (Know Your Customer): o que é e por que é importante

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem

Tecnologia financeira mira em segurança para conter ameaças cibernéticas

Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem

Tecnologia financeira mira em segurança para conter ameaças cibernéticas