Etapas para garantir os direitos humanos na transformação digital

A proteção de dados pessoais é a proteção dos direitos humanos e liberdades fundamentais em relação aos dados.

Em 17 de abril de 2023, o Governo emitiu o Decreto nº 13/2023/ND-CP (Decreto) sobre proteção de dados pessoais, em vigor a partir de 1º de julho de 2023, atendendo aos requisitos para proteger os direitos de dados pessoais; prevenindo atos de violação de dados pessoais, afetando os direitos e interesses de indivíduos e organizações.

Destaques

O Decreto é um documento legal que regulamenta a proteção de dados pessoais e a responsabilidade de agências, organizações e indivíduos relevantes para proteger dados pessoais.

Em primeiro lugar, a proteção de dados pessoais é a proteção dos direitos humanos e liberdades fundamentais relacionados aos dados. As disposições do Decreto sobre proteção de dados pessoais durante a operação visam evitar que os direitos e liberdades pessoais de cada pessoa sejam violados.

Ao mesmo tempo, a segurança dos dados pessoais é de particular importância porque, se os dados forem roubados, podem causar perdas econômicas e sociais, riscos como: chantagem, fraude, apropriação de propriedade, difamação, violação da honra, dignidade, abuso sexual..., causando consequências materiais e espirituais, afetando diretamente os direitos e interesses legítimos de agências, organizações, empresas e indivíduos.

Em segundo lugar, promover e respeitar os direitos dos titulares de dados pessoais. Os direitos dos titulares de dados pessoais incluem o direito de acesso, o direito de consentir ou não com o tratamento de dados pessoais, o direito de ser informado e o direito de solicitar a eliminação de dados...

Além disso, os titulares dos dados também têm o direito de se proteger de terceiros que violem seus dados pessoais. Os titulares têm o direito de solicitar indenização por danos quando houver violação das disposições do Decreto que cause prejuízo ao direito à proteção de dados pessoais. O Decreto também estipula claramente que a coleta, a transferência ou a compra e venda de dados pessoais sem o consentimento do titular constitui uma violação da lei.

Entretanto, o direito do titular de proteger dados pessoais não é um direito absoluto, mas pode ser limitado em casos de emergência para proteger a vida e a saúde do indivíduo ou de terceiros; situações de emergência relativas à defesa nacional, segurança nacional, ordem e segurança social; cumprimento de obrigações contratuais que tenham sido determinadas ou atendimento às atividades de agências estatais que tenham sido prescritas por leis especializadas.

A disposição de exceções visa implementar o princípio de garantir os direitos de indivíduos e organizações, mas não infringir os interesses legítimos de outros indivíduos, organizações ou interesses nacionais para exercer esses direitos.

Terceiro, promover o processo de integração internacional na questão da proteção de dados pessoais. O Decreto é compatível com as práticas e regulamentações internacionais sobre proteção de dados pessoais. Muitos países desenvolvidos legalizaram a questão da proteção de dados pessoais, o que constitui a base para o estudo e a referência do Vietnã.

Além disso, organizações internacionais das quais o Vietnã é membro ou coopera com o Vietnã emitiram convenções, recomendações e normas sobre privacidade e proteção de informações e dados pessoais. Entre elas, estão os princípios de privacidade da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a Convenção do Conselho da Europa sobre a Proteção de Pessoas com Relação ao Processamento Automatizado de Informações e Dados Pessoais, as Diretrizes da ONU sobre Dados Pessoais e Arquivos de Informação Informatizados, o Quadro de Proteção de Dados da Cooperação Econômica Ásia -Pacífico (APEC), as normas internacionais sobre privacidade e proteção de informações e dados pessoais (Resolução de Madri), o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE...

Além disso, no processo de promoção da cooperação entre nosso país e outros países e territórios, mais de 80 países emitiram documentos legais sobre proteção de dados pessoais, muitos dos quais contêm disposições aplicáveis ​​a organizações e indivíduos vietnamitas. Portanto, regulamentações específicas e detalhadas sobre proteção de dados pessoais visam criar um ambiente de igualdade e Estado de Direito no Vietnã, inclusive para indivíduos e organizações estrangeiras.

Os desafios

Atualmente, ainda há desafios significativos na implementação do Decreto.

Em primeiro lugar, o desafio da gestão de funcionários nas empresas. Atualmente, muitas empresas constroem um modelo de matriz e subsidiárias com o mesmo ecossistema de gestão, e as informações dos funcionários podem ser facilmente acessadas a partir de um sistema comum.

No entanto, segundo a lei vietnamita, cada empresa (incluindo matrizes e subsidiárias) é considerada uma entidade legal separada e independente, portanto, a transferência de dados pessoais de funcionários por empresas no mesmo ecossistema para atender ao processo de gestão interna da empresa também pode ser considerada uma violação da responsabilidade da empresa de proteger dados pessoais.

Por outro lado, atualmente, muitas empresas estão enfrentando dificuldades na implementação do Decreto e ainda não concluíram o mecanismo e as regulamentações para gerenciar e proteger os dados pessoais dos funcionários de acordo com o Decreto.

Em segundo lugar, não é consistente com as normas legais que regem as operações de instituições de crédito. Atualmente, as operações de instituições de crédito são regulamentadas por normas jurídicas especializadas, como: Lei das Instituições de Crédito de 2010 (alterada e complementada em 2014); Lei Antilavagem de Dinheiro; Decreto 117/2018/ND-CP sobre a manutenção da confidencialidade e o fornecimento de informações de clientes de instituições de crédito e filiais de bancos estrangeiros; Circular 09/2020/TT-NHNN do Banco do Estado, que regulamenta a segurança dos sistemas de informação em operações bancárias em nível inferior ao da Lei.

Por outro lado, para atividades bancárias, o processamento de dados afeta dados pessoais, como: Coletar, registrar, analisar, confirmar, armazenar, editar, publicar, combinar, acessar, recuperar, recuperar, criptografar, descriptografar, copiar, compartilhar, transmitir, fornecer, transferir, excluir, destruir dados pessoais ou outras ações relacionadas são essenciais para fornecer serviços aos clientes e gerenciar riscos nas atividades bancárias, garantindo a segurança do sistema monetário, portanto, muitas atividades de processamento de dados pessoais de clientes não podem e não exigem o consentimento dos clientes, enquanto a Cláusula 2, Artigo 3 e Cláusula 1, Artigo 9 do Decreto estipulam que os titulares têm o direito de saber sobre o processamento de seus dados pessoais, exceto nos casos em que outras Leis disponham de outra forma.

Ou na Cláusula 2, o Artigo 9 estipula que o titular tem o direito de não consentir com o processamento de seus dados pessoais; o titular tem o direito de excluir, acessar, solicitar restrição de processamento de dados e se opor ao processamento de dados, exceto nos casos em que outras Leis tenham outras disposições no Artigo 9. Assim, será confuso e inadequado se o Decreto for aplicado rigidamente e sem orientação unificada.

Além disso, a prestação de serviços e produtos por instituições de crédito é realizada de acordo com muitos processos em um único produto. Cada processo em um produto inclui muitas etapas diferentes e está relacionado à coleta, avaliação, análise e fornecimento de dados em arquivos de clientes muito grandes. O Decreto exige que o Controlador e o Processador de Dados Pessoais obtenham o consentimento do titular dos dados (cliente) em todos os procedimentos de processamento ao conduzir quaisquer atividades de processamento de dados (Artigo 11); e antes de conduzir atividades de processamento de dados, o titular dos dados pessoais deve ser notificado (Artigo 13). Isso continua sendo outro obstáculo às operações das instituições de crédito.

Além disso, as instituições de crédito devem ajustar seus sistemas de tecnologia da informação e outros documentos de subleis relacionados às operações das instituições de crédito; os modelos de contratos e acordos devem ser revisados ​​para cumprir o Decreto, criando dificuldades significativas para as operações bancárias.

Terceiro, uma parte da população não entende e não tem consciência da proteção de seus dados pessoais, então eles compartilham facilmente informações pessoais em plataformas de redes sociais, permitindo involuntariamente que pessoas mal-intencionadas tirem proveito delas para propósitos ruins.

Algumas pessoas não veem claramente o valor da proteção de dados pessoais como garantia da privacidade pessoal e também têm medo de fornecer informações pessoais, dificultando que as autoridades realizem a gestão estatal da proteção de dados pessoais, bem como atuem na investigação e no tratamento de violações da lei de proteção de dados pessoais.

Além disso, a situação de compra e venda de dados pessoais e o risco de vazamento de informações geram consequências graves, afetando questões socioeconômicas. Fenômenos fraudulentos e anúncios de spam por meio de chamadas e mensagens ainda são complexos e afetam a vida das pessoas.

A segurança dos dados pessoais é de particular importância, pois, se forem roubados, podem ocorrer perdas econômicas e sociais, afetando diretamente os direitos e interesses legítimos de agências, organizações, empresas e indivíduos. (Fonte: Shutterstock)

Colocando o Decreto em prática

O Vietnã é um dos países com maior velocidade de desenvolvimento e aplicação da internet do mundo, com mais de 70 milhões de usuários. Dados pessoais de mais de 2/3 da população do nosso país foram e continuam sendo armazenados, publicados, compartilhados e coletados no ambiente digital, o ciberespaço, com diferentes formas e níveis de detalhamento.

O Decreto é um avanço na garantia dos direitos humanos na transformação digital, superando deficiências e inadequações na prática de garantir, proteger e assegurar dados pessoais e aumentando a responsabilidade de agências, organizações e indivíduos nacionais e estrangeiros diretamente envolvidos ou relacionados a atividades de processamento de dados pessoais no Vietnã.

Para que o Decreto seja realmente eficaz na prática, é necessário focar nas seguintes questões:

Em primeiro lugar, aumentar a responsabilidade das empresas na proteção dos direitos dos trabalhadores. Ao utilizar a mão de obra, as empresas devem coletar e armazenar informações dos funcionários. Para atender aos objetivos da gestão trabalhista, empregadores e empresas recebem e gerenciam muitas informações pessoais dos funcionários, mas se a gestão e o processamento das informações forem descuidados, isso levará a consequências imprevisíveis.

As empresas precisam estudar e avaliar cuidadosamente os impactos gerais do Decreto, revisar e atualizar prontamente os procedimentos e instruções para o tratamento de dados pessoais de acordo com os novos regulamentos; considerar o estabelecimento de mecanismos e a criação de regulamentos de governança com base nas disposições do Decreto; manter e cumprir esses mecanismos e regulamentos durante todo o processo operacional.

Em segundo lugar, eliminar as dificuldades para as atividades de crédito das instituições de crédito . O Banco do Estado precisa coordenar-se estreitamente com os ministérios relevantes, especialmente o Ministério da Segurança Pública, para fornecer orientações unificadas sobre a proteção de dados pessoais no setor de crédito, garantindo a promoção da responsabilidade operacional das instituições de crédito na proteção dos dados dos clientes e atendendo a requisitos e tarefas específicas.

Em terceiro lugar, para que o Decreto entre realmente em vigor, é necessário um bom trabalho de divulgação e educação jurídica. Em particular, é necessário destacar a necessidade de promulgar o Decreto com o objetivo supremo de respeitar e proteger os direitos civis e humanos. E, acima de tudo, o titular dos dados pessoais deve, ele próprio, compreender profundamente e aumentar a sua consciência e responsabilidade na proteção de dados pessoais.