Medidas para garantir os direitos humanos na transformação digital

A proteção de dados pessoais consiste na proteção dos direitos e liberdades fundamentais do ser humano em relação aos dados.

Em 17 de abril de 2023, o Governo emitiu o Decreto nº 13/2023/ND-CP (Decreto) sobre proteção de dados pessoais, com vigência a partir de 1º de julho de 2023, atendendo aos requisitos para a proteção dos direitos de dados pessoais; prevenção de atos de violação de dados pessoais, que afetam os direitos e interesses de indivíduos e organizações.

Destaques

O Decreto é um documento legal que regulamenta a proteção de dados pessoais e a responsabilidade das agências, organizações e indivíduos relevantes na proteção desses dados.

Em primeiro lugar, a proteção de dados pessoais visa proteger os direitos e liberdades fundamentais relacionados aos dados. As disposições do Decreto sobre proteção de dados pessoais, quando em vigor, têm como objetivo impedir a violação dos direitos e liberdades individuais de cada pessoa.

Ao mesmo tempo, a segurança dos dados pessoais é de particular importância, pois o roubo de dados pode causar perdas econômicas e sociais, além de riscos como: chantagem, fraude, apropriação indébita, difamação, violação da honra e da dignidade, abuso sexual, etc., acarretando consequências materiais e espirituais, afetando diretamente os direitos e interesses legítimos de agências, organizações, empresas e indivíduos.

Em segundo lugar, promover e respeitar os direitos dos titulares dos dados pessoais. Os direitos dos titulares dos dados pessoais incluem o direito de acesso, o direito de consentir ou não com o tratamento dos dados pessoais, o direito de ser informado e o direito de solicitar a eliminação dos dados.

Além disso, os titulares dos dados também têm o direito de se proteger contra violações de seus dados pessoais por terceiros. Os titulares têm o direito de solicitar indenização por danos quando houver violação das disposições do Decreto que cause prejuízo ao direito à proteção de dados pessoais. O Decreto também estipula claramente que coletar, transferir, comprar ou vender dados pessoais sem o consentimento do titular constitui violação da lei.

Contudo, o direito do titular dos dados à proteção de seus dados pessoais não é absoluto, podendo ser limitado em casos de emergência para proteger a vida e a saúde do indivíduo ou de terceiros; em situações de emergência relacionadas à defesa nacional, segurança, ordem social e segurança; no cumprimento de obrigações contratuais determinadas ou para o desempenho das atividades de órgãos estatais, conforme previsto em leis específicas.

A previsão de exceções visa implementar o princípio de garantir os direitos dos indivíduos e das organizações, sem infringir os direitos e interesses legítimos de outros indivíduos e organizações ou os interesses nacionais no exercício desses direitos.

Em terceiro lugar, promover o processo de integração internacional na questão da proteção de dados pessoais. O Decreto é compatível com as práticas e regulamentações internacionais sobre proteção de dados pessoais. Muitos países desenvolvidos já legalizaram a questão da proteção de dados pessoais, o que serve de base para o estudo e a consulta do Vietnã.

Além disso, organizações internacionais das quais o Vietnã é membro ou com as quais coopera emitiram convenções, recomendações e normas sobre privacidade e proteção de informações e dados pessoais. Entre elas, incluem-se os princípios de privacidade da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a Convenção do Conselho da Europa sobre a proteção das pessoas singulares no que diz respeito ao tratamento automatizado de informações e dados pessoais, as diretrizes da ONU sobre dados pessoais informatizados e arquivos de informações, o Quadro de Privacidade da Cooperação Econômica Ásia -Pacífico (APEC), as normas internacionais sobre privacidade e proteção de informações e dados pessoais (Resolução de Madri), o Regulamento Geral de Proteção de Dados (RGPD) da UE...

Além disso, no processo de promoção da cooperação entre o nosso país e outros países e territórios, mais de 80 países emitiram documentos legais sobre proteção de dados pessoais, muitos dos quais contêm disposições aplicáveis ​​a organizações e indivíduos vietnamitas. Portanto, regulamentações específicas e detalhadas sobre proteção de dados pessoais visam criar um ambiente de igualdade e respeito à lei no Vietnã, inclusive para indivíduos e organizações estrangeiras.

Os desafios

Atualmente, ainda existem muitos desafios significativos na implementação do Decreto.

Em primeiro lugar, o desafio na gestão de funcionários das empresas. Atualmente, muitas empresas adotam um modelo de matriz e subsidiárias com um ecossistema de gestão semelhante, no qual as informações dos funcionários podem ser facilmente acessadas a partir de um sistema comum.

No entanto, de acordo com a legislação vietnamita, cada empresa (incluindo empresas matrizes e subsidiárias) é considerada uma entidade jurídica separada e independente, portanto, a transferência de dados pessoais de funcionários por empresas do mesmo ecossistema para fins de gestão interna da empresa também pode ser considerada uma violação da responsabilidade da empresa em proteger os dados pessoais.

Por outro lado, atualmente, muitas empresas enfrentam dificuldades na implementação do Decreto e ainda não concluíram os mecanismos e regulamentos para gerenciar e proteger os dados pessoais dos funcionários de acordo com o Decreto.

Em segundo lugar, não é compatível com as normas legais que regem o funcionamento das instituições de crédito. Atualmente, o funcionamento das instituições de crédito é regulamentado por normas legais específicas, como: Lei das Instituições de Crédito de 2010 (alterada e complementada em 2014); Lei de Combate à Lavagem de Dinheiro; Decreto 117/2018/ND-CP sobre a confidencialidade e o fornecimento de informações de clientes de instituições de crédito e filiais de bancos estrangeiros; Circular 09/2020/TT-NHNN do Banco Central que regulamenta a segurança dos sistemas de informação nas operações bancárias em um nível inferior ao da Lei.

Por outro lado, para as atividades bancárias, o processamento de dados afeta dados pessoais, tais como: coleta, registro, análise, confirmação, armazenamento, edição, divulgação, combinação, acesso, recuperação, recuperação, codificação, decodificação, cópia, compartilhamento, transmissão, fornecimento, transferência, exclusão, destruição de dados pessoais ou outras ações relacionadas são essenciais para prestar serviços aos clientes e gerenciar riscos nas atividades bancárias, garantindo a segurança do sistema monetário. Assim, muitas atividades de processamento de dados pessoais de clientes não podem e não exigem o consentimento dos clientes, enquanto o Artigo 3, parágrafo 2, e o Artigo 9, parágrafo 1, do Decreto estipulam que os titulares dos dados têm o direito de saber sobre o processamento de seus dados pessoais, exceto nos casos em que outras leis disponham de forma diversa.

Ou, na Cláusula 2, o Artigo 9 estipula que o titular dos dados tem o direito de não consentir com o tratamento dos seus dados pessoais; o titular tem o direito de apagar, aceder, solicitar a limitação do tratamento dos dados e opor-se ao tratamento dos dados, exceto nos casos em que outra lei tenha disposições diferentes no Artigo 9. Assim, será confuso e inadequado se o Decreto for aplicado rigidamente e sem orientação unificada.

Além disso, a prestação de serviços e a oferta de produtos por instituições de crédito são realizadas por meio de muitos processos para um mesmo produto. Cada processo para um mesmo produto inclui diversas etapas e está relacionado à coleta, avaliação, análise e disponibilização de dados em arquivos de clientes muito extensos. O Decreto exige que o Controlador e o Operador de Dados Pessoais obtenham o consentimento do titular dos dados (cliente) em todos os procedimentos de tratamento ao realizar qualquer atividade de processamento de dados (Artigo 11) e, antes de realizar qualquer atividade de processamento de dados, notifiquem o titular dos dados pessoais (Artigo 13). Isso continua sendo mais um obstáculo às operações das instituições de crédito.

Além disso, as instituições de crédito devem ajustar seus sistemas de tecnologia da informação e outros documentos sub-regulamentares relacionados às suas operações; modelos de contratos e acordos devem ser revisados ​​para estarem em conformidade com o Decreto, o que cria dificuldades consideráveis ​​para as operações bancárias.

Em terceiro lugar, muitas pessoas não entendem nem têm consciência da importância de proteger seus dados pessoais, por isso compartilham facilmente informações pessoais em plataformas de redes sociais, permitindo involuntariamente que pessoas mal-intencionadas se aproveitem delas para fins ilícitos.

Algumas pessoas não enxergam claramente o valor da proteção de dados pessoais como garantia da privacidade individual e também têm receio de fornecer informações pessoais, o que dificulta o trabalho das autoridades na gestão estatal da proteção de dados pessoais, bem como na investigação e no tratamento de violações da lei de proteção de dados pessoais.

Além disso, a situação de compra e venda de dados pessoais, com o risco de vazamento de informações, acarreta consequências graves, afetando questões econômicas e sociais. Fenômenos fraudulentos, como spam por meio de ligações e mensagens, ainda são complexos e impactam a vida das pessoas.

A segurança dos dados pessoais é de particular importância, pois o roubo desses dados pode causar prejuízos econômicos e sociais, afetando diretamente os direitos e interesses legítimos de agências, organizações, empresas e indivíduos. (Fonte: Shutterstock)

Colocando o Decreto em prática

O Vietnã é um dos países com maior desenvolvimento e velocidade de aplicação da internet no mundo, com mais de 70 milhões de usuários. Os dados pessoais de mais de 2/3 da população do nosso país têm sido e continuam sendo armazenados, publicados, compartilhados e coletados no ambiente digital, no ciberespaço, em diferentes formas e níveis de detalhamento.

O Decreto representa um avanço significativo na garantia dos direitos humanos na transformação digital, superando deficiências e inadequações nas práticas de garantia, proteção e segurança de dados pessoais, e aumentando a responsabilidade de agências, organizações e indivíduos nacionais e estrangeiros que participam diretamente ou estão relacionados com atividades de processamento de dados pessoais no Vietnã.

Para que o Decreto seja verdadeiramente eficaz na prática, é necessário focar nos seguintes pontos:

Em primeiro lugar, é preciso aumentar a responsabilidade das empresas na proteção dos direitos dos trabalhadores. No âmbito da gestão de mão de obra, as empresas devem coletar e armazenar informações dos funcionários. Para fins de gestão de recursos humanos, empregadores e empresas recebem e gerenciam uma grande quantidade de informações pessoais dos funcionários, mas se forem negligentes no gerenciamento e processamento dessas informações, isso poderá levar a consequências imprevisíveis.

As empresas precisam estudar cuidadosamente e avaliar de forma abrangente os impactos do Decreto, revisar e atualizar prontamente os procedimentos e instruções para o tratamento de dados pessoais de acordo com as novas regulamentações; considerar o estabelecimento de mecanismos e a construção de regulamentos de governança com base nas disposições do Decreto; manter e cumprir esses mecanismos e regulamentos ao longo de todo o processo operacional.

Em segundo lugar, é preciso eliminar as dificuldades para as atividades de crédito das instituições financeiras . O Banco Central precisa coordenar-se estreitamente com os ministérios relevantes, especialmente o Ministério da Segurança Pública, para emitir diretrizes unificadas sobre a proteção de dados pessoais no setor de crédito, garantindo, ao mesmo tempo, a promoção da responsabilidade operacional das instituições de crédito na proteção dos dados dos clientes e o atendimento aos requisitos e tarefas específicos.

Em terceiro lugar, para que o Decreto entre em vigor de fato, é necessário um bom trabalho de propaganda e educação para popularizar a lei. Em particular, é preciso destacar a necessidade de promulgar o Decreto com o objetivo primordial de respeitar e proteger os direitos civis e humanos. E, acima de tudo, o titular dos dados pessoais deve compreender plenamente e aumentar sua conscientização e responsabilidade na proteção de seus dados pessoais.