O escândalo com o vazamento de dados de carteiras de motorista por meio de um bot do Telegram trovejou por toda a Ucrânia. As suspeitas recaíram inicialmente sobre a aplicação de serviços governamentais “DIYA”, mas o envolvimento da aplicação neste incidente foi rapidamente negado. As perguntas da série “quem vazou os dados e como” serão confiadas ao Estado representado pela polícia ucraniana, pela SBU e por especialistas técnicos e de informática, mas a questão da conformidade da nossa legislação sobre a proteção de dados pessoais com a realidade de a era digital foi considerada pelo autor da publicação, Vyacheslav Ustimenko, consultor do escritório de advocacia Icon Partners.
A Ucrânia está a esforçar-se para aderir à UE, o que implica a adopção de normas europeias para a protecção de dados pessoais.
Vamos simular um caso e imaginar que uma organização sem fins lucrativos da UE vazou a mesma quantidade de dados de carteiras de motorista e esse fato foi determinado pelas agências locais de aplicação da lei.
Na UE, ao contrário da Ucrânia, existe um regulamento sobre a proteção de dados pessoais - GDPR.
O vazamento indica violações dos princípios descritos em:
- Artigo 25.º do RGPD Proteção de dados pessoais desde a conceção e por defeito;
- Artigo 32 do RGPD. Segurança do processamento;
- Artigo 5, cláusula 1.f do RGPD. Princípio da integridade e confidencialidade.
Na UE, as multas por violação do GDPR são calculadas individualmente, na prática seriam multadas em mais de 200,000 euros.
O que deveria ser mudado na Ucrânia
A prática adquirida no processo de apoio às empresas de TI e online, tanto na Ucrânia como no estrangeiro, mostrou os problemas e as conquistas do RGPD.
Abaixo estão seis alterações que devem ser introduzidas na legislação ucraniana.
#Adaptar o quadro legislativo à era digital
Desde a assinatura do Acordo de Associação com a UE, a Ucrânia tem vindo a desenvolver nova legislação em matéria de proteção de dados e o RGPD tornou-se um guia.
Aprovar uma lei sobre a proteção de dados pessoais não foi tão fácil. Parece que existe um “esqueleto” na forma do regulamento GDPR e basta construir a “carne” (adaptar as normas), mas surgem muitas questões polêmicas, tanto do ponto de vista da prática quanto da lei .
Por exemplo:
- os dados abertos serão considerados pessoais,
- a lei se aplicará às agências de aplicação da lei,
- qual é a responsabilidade pela violação da lei, o valor das multas será comparável às europeias, etc.
O ponto chave é que a legislação precisa ser adaptada e não copiada do GDPR. Ainda existem muitos problemas não resolvidos na Ucrânia que não são típicos dos países da UE.
#Unificar terminologia
Determine o que são dados pessoais e informações confidenciais. A Constituição da Ucrânia, Artigo 32, proíbe o processamento de informações confidenciais. A definição de informação confidencial está contida em pelo menos vinte Leis.
Citações da fonte original em ucraniano aqui
- informações sobre nacionalidade, educação, cultura familiar, mudanças religiosas, estado de saúde, endereços, data e local de nascimento (Parte 2 do Artigo 11 da Lei da Ucrânia “Sobre Informação”);
- informações sobre o local de residência (parte 8 do artigo 6 da Lei da Ucrânia “Sobre a liberdade de transferência e a livre escolha de residência na Ucrânia”);
- informações sobre as peculiaridades da vida das comunidades, obtidas a partir da brutalização das comunidades (artigo 10 da Lei da Ucrânia “Sobre a brutalização das comunidades”);
- os dados primários removidos no processo de realização do Censo Populacional (Artigo 16 da Lei da Ucrânia “Sobre o Censo Populacional Ucraniano”);
- declarações apresentadas pelo requerente para reconhecimento como refugiado ou proteção especial, que exigirão proteção adicional (Parte 10, Artigo 7 da Lei da Ucrânia “Sobre refugiados e proteção especial, que exigirão proteção adicional ou oportuna”);
- informações sobre depósitos de pensões, pagamentos de pensões e rendimentos de investimentos (excedente) que são alocados à conta individual de pensões de um participante do fundo de pensões, conta de depósitos de pensões de ativos físicos ib, contratos de seguro de pensão de pré-idade (parte 3 do artigo 53.º do a Lei da Ucrânia “Sobre o Seguro de Pensões Não-Governamentais”;
- informações sobre o estado dos ativos de pensões investidos na conta acumulativa de pensões do segurado (Parte 1 do artigo 98.º da Lei da Ucrânia “Sobre o Seguro de Pensões do Estado Legal”);
- informações sobre o objeto do contrato para o desenvolvimento de investigação científica ou investigação e desenvolvimento e robôs tecnológicos, seus progressos e resultados (artigo 895.º do Código Civil da Ucrânia)
- Informações que podem ser utilizadas para identificar a pessoa de um menor infrator ou o que constitui o facto do suicídio do menor (Parte 3 do Artigo 62 da Lei da Ucrânia “Sobre Telecomunicações e Rádio”);
- Informações sobre o falecido (artigo 7.º da Lei da Ucrânia “Sobre serviços funerários”);
declarações sobre o pagamento do trabalho (artigo 31 da Lei da Ucrânia “Sobre o pagamento do trabalho” As declarações sobre o pagamento do trabalho são emitidas apenas nos casos de legislação, mas também a critério do trabalhador); - pedidos e materiais para a emissão de patentes (artigo 19 da Lei da Ucrânia “Sobre a Proteção dos Direitos de Produtos e Modelos”);
- informações que constam de textos de decisões judiciais e que permitem identificar uma pessoa física, incluindo: nomes (nomes, conforme apelido do Pai) de pessoas físicas; local de residência ou atividade física a partir de endereços designados, números de telefone e outros dados de contato, endereços de e-mail, números de identificação (códigos); números de registo de veículos de transporte (artigo 7.º da Lei da Ucrânia “Sobre o acesso às decisões sobre navios”).
- dados sobre uma pessoa colocada sob proteção em processo penal (artigo 15 da Lei da Ucrânia “Sobre a garantia da segurança das pessoas que participam em processo penal”);
- materiais do pedido de registo da variedade Roslin de uma pessoa singular ou colectiva, os resultados do exame da variedade Roslin (artigo 23.º da Lei da Ucrânia “Sobre a protecção dos direitos das variedades Roslin”);
- dados sobre o advogado do tribunal ou agência de aplicação da lei, colocados sob proteção (artigo 10 da Lei da Ucrânia “Sobre a proteção soberana dos policiais ao tribunal e às agências de aplicação da lei”);
- conjunto de registros de pessoas que sofreram violência (dados pessoais) que constam no Cadastro, bem como informações de acesso compartilhado. (Parte 10, Artigo 16 da Lei da Ucrânia “Sobre a Prevenção e Prevenção da Violência Doméstica”);
- Informações relativas à confidencialidade das mercadorias que atravessam o cordão militar da Ucrânia (parte 1 do artigo 263.º do Código Militar da Ucrânia);
- Informações que devem ser incluídas no pedido de registo estatal de medicamentos e suplementos aos mesmos (parte 8 do artigo 9.º da Lei da Ucrânia “Sobre medicamentos”);
#Afaste-se dos conceitos avaliativos
Existem muitos conceitos avaliativos no GDPR. Os conceitos de avaliação num país sem lei precedente (ou seja, a Ucrânia) são mais um espaço para “fugir à responsabilidade” do que úteis para a população e para o país como um todo.
#Apresente o conceito de DPO
O responsável pela proteção de dados (DPO) é um especialista independente em proteção de dados. A legislação deve regulamentar de forma clara e sem conceitos avaliativos a necessidade de nomeação obrigatória de perito para o cargo de DPO. Como fazem isso na União Europeia
#Determinar o nível de responsabilidade por violações no domínio dos dados pessoais, diferenciar multas em função do porte (lucro) da empresa.
- 34 mil hryvnias
Ainda não existe uma cultura de protecção de dados pessoais na Ucrânia; a actual Lei “Sobre a Protecção de Dados Pessoais” diz que “uma violação implica responsabilidade estabelecida por lei”. A multa prevista no Código Administrativo por acesso ilegal a dados pessoais e por violação dos direitos dos sujeitos é de até UAH 34,000.
- 20 milhões de euros
A multa por violação do RGPD é a maior do mundo – até 20,000,000 milhões de euros, ou até 4% do volume de negócios anual total da empresa no exercício anterior. A Google recebeu a sua primeira multa de 50 milhões de euros por violações da privacidade de dados envolvendo cidadãos franceses.
- 114 milhões de euros
O RGPD celebrou o seu 2.º aniversário em maio e arrecadou 114 milhões de euros em multas. Os reguladores muitas vezes têm como alvo empresas gigantes com milhões de dados de usuários.
As cadeias de hotéis Marriott International e British Airways enfrentam multas multimilionárias este ano por violações de dados que deverão superar o Google nas multas mais altas. Os reguladores do Reino Unido alertaram que planejam penalizá-los, totalizando cerca de US$ 366 milhões.
Multas com seis zeros são aplicadas a empresas globais cujos serviços utilizamos todos os dias. No entanto, isso não significa que empresas pequenas e desconhecidas não estejam sujeitas a penalidades.
Uma empresa postal austríaca recebeu uma multa de 18 milhões de euros por criar e vender perfis de 3 milhões de pessoas que continham informações sobre moradas, preferências pessoais e filiações políticas.
Um serviço de pagamento na Lituânia não eliminou os dados pessoais dos clientes quando já não havia necessidade de processamento e recebeu uma multa de 61,000 mil euros.
Uma organização sem fins lucrativos na Bélgica enviou marketing direto por e-mail mesmo depois de os destinatários terem optado por não participar e terem recebido uma multa de 1000 euros.
1000 euros não são nada comparados com os danos à reputação.
#A felicidade não está nas multas
“Quem quiser saber informações sobre mim, descobrirá de qualquer maneira, apesar da lei” - é o que muitas pessoas dizem na Ucrânia e nos países da CEI, infelizmente.
Mas cada vez menos pessoas acreditam no equívoco de que “vão roubar uma fotografia de passaporte e fazer um empréstimo em meu nome”, porque mesmo com o original do passaporte de outra pessoa nas mãos é legalmente impossível fazer isto.
As pessoas estão divididas em 2 campos:
- “paranóicos” que acreditam na religião dos dados pessoais pensam antes de marcar uma caixa e consentir com o processamento de dados.
- “aqueles que não se importam”, ou pessoas que vazam automaticamente seus dados pessoais para a rede, não pensam nas consequências. E então seus cartões de crédito são roubados, eles se inscrevem para pagamentos recorrentes, suas contas de mensagens são roubadas, seus e-mails são hackeados ou a criptomoeda é retirada de sua carteira.
Liberdade e democracia
A proteção de dados pessoais diz respeito à liberdade de escolha de uma pessoa, à cultura da sociedade e à democracia. É mais fácil gerir a sociedade com mais dados; é possível prever a escolha de uma pessoa e empurrá-la para a ação desejada. É difícil uma pessoa fazer o que quer se estiver sendo observada, a pessoa fica confortável e, por consequência, controlada, ou seja, a pessoa inconscientemente não faz o que quer, mas como foi convencida a fazer.
O GDPR não é perfeito, mas cumpre a ideia e o objetivo principal da UE - os europeus perceberam que uma pessoa independente possui e gere de forma independente os seus dados pessoais.
A Ucrânia está apenas no início da sua jornada, o terreno está a ser preparado. Do estado, os residentes receberão um novo texto da lei, provavelmente um órgão regulador independente, mas os próprios ucranianos devem chegar aos valores europeus modernos e à compreensão de que a democracia em 2020 também deverá existir no espaço digital.
PS: Estou escrevendo nas redes sociais. redes sobre jurisprudência e negócios de TI. Ficarei satisfeito se você assinar uma de minhas contas. Isso certamente agregará motivação para desenvolver seu perfil e trabalhar no conteúdo.
Apenas usuários registrados podem participar da pesquisa.
Escreva sobre a legislação da Federação Russa sobre dados pessoais?
-
51,4%sim 19
-
48,6%é melhor escolher outro tópico18
37 usuários votaram. 19 usuários se abstiveram.
Fonte: habr.com