Direito internacional sobre proteção de dados pessoais e suas implicações para o Vietnã

Sendo um dos países com as maiores taxas de desenvolvimento e adoção da internet no mundo , com quase 80% da população utilizando a internet, os dados pessoais de dois terços da população do Vietnã são armazenados, carregados, compartilhados e coletados online de diversas formas e com diferentes níveis de detalhamento.

Em 2022 e 2023, o Vietnã processou cinco casos criminais envolvendo a compra e venda de milhares de gigabytes de dados e bilhões de informações pessoais. Isso evidencia a necessidade urgente de aprimorar as leis de proteção de dados pessoais com base em pesquisas e referências ao direito internacional.

Direito internacional sobre a proteção de dados pessoais

O GDPR é considerado um grande avanço legal, criando o mecanismo mais rigoroso do mundo para a proteção de informações pessoais na atualidade.

O Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE) é considerado um importante avanço jurídico, criando o mecanismo mais rigoroso do mundo para a proteção de informações pessoais e aplicando-se a todas as organizações e empresas que processam dados pessoais de cidadãos da UE.

O RGPD aplica sanções uniformes para infrações cometidas por empresas em todo o bloco. Especificamente, a sanção máxima é de 2% da receita ou € 10 milhões para infrações menores e de 4% da receita ou € 20 milhões para infrações graves. Além das multas, as empresas que violarem o RGPD também podem estar sujeitas a outras sanções, como a obrigação de cessar as operações de processamento de dados ou de eliminar os dados que tenham sido processados ​​em violação do RGPD.

A autoridade da UE responsável pela proteção de dados pessoais é a Autoridade Supervisora ​​da Proteção de Dados da UE (EDPS) – um organismo independente cujos membros são advogados experientes, profissionais de TI e administradores.

A principal função desta agência é supervisionar o tratamento de dados pessoais nas instituições da UE e prestar consultoria sobre assuntos relacionados a dados pessoais. O RGPD também exige a criação de uma Autoridade de Proteção de Dados Pessoais em cada Estado-Membro, como uma Comissão Nacional de Proteção de Dados Pessoais (França, Irlanda, etc.) ou uma Inspeção de Proteção de Dados (Finlândia, Letônia, etc.).

Juntamente com o CEPD, a UE também criou a Comissão Europeia para a Proteção de Dados (CEPD), composta por representantes das agências nacionais de proteção de dados dos Estados-Membros e representantes da UE. A sua função é atuar como o principal órgão consultivo independente em matéria de proteção de dados pessoais, responsável pela aplicação consistente do RGPD em toda a União.

O RGPD prevê sanções dissuasivas rigorosas, tanto materiais como imateriais. Além disso, a agência da UE para a proteção de dados pessoais opera segundo um modelo de Comissão/Comissário, o que lhe confere autoridade e independência significativas para impor sanções às organizações que violem as normas de proteção de dados pessoais e para avaliar e decidir de forma independente sobre o tratamento de dados pessoais.

A Lei de Proteção de Informações Pessoais da China (PIPL), promulgada em 2021, é considerada a primeira lei abrangente de proteção de informações pessoais em nível nacional na China. A PIPL oferece uma visão relativamente unificada sobre dados pessoais/informações pessoais como informações destinadas a identificar ou reconhecer um indivíduo específico, visando especificamente indivíduos na China (Artigo 4, Capítulo 1 da PIPL). Simultaneamente, ela regula dados pessoais sensíveis, estabelecendo regras sobre os direitos e obrigações das partes em relação a grupos de dados mais específicos.

As penalidades por violações dos direitos de dados pessoais, de acordo com a regulamentação PIPL, são muito severas, incluindo remediação obrigatória, confisco de rendimentos ilícitos, suspensão de serviços, revogação de licenças de funcionamento ou comerciais e multas de até 50 milhões de RMB ou 5% da receita anual da organização no exercício fiscal anterior. Além disso, as violações também podem ser registradas no "histórico de crédito" da unidade de processamento no âmbito do sistema nacional de crédito social.

Além disso, as unidades de processamento serão responsabilizadas por danos caso violem os direitos e interesses de organizações e indivíduos. As penalidades criminais para esses tipos de violações também estão especificamente estipuladas no Código Penal Chinês, que prevê responsabilidade criminal mais severa para aqueles que têm o dever de manter a confidencialidade, adiciona a forma de confisco de bens e estabelece a prisão perpétua como a pena máxima.

A Lei de Proteção de Dados Pessoais de Singapura (PDPA), aprovada em 2012 (e alterada em 2020), reconhece o direito à proteção de dados pessoais e a necessidade de as organizações coletarem, utilizarem e divulgarem informações para fins adequados às circunstâncias específicas.

A Lei de Proteção de Dados Pessoais (PDPA) também estipula penalidades financeiras rigorosas para violações de dados. Indivíduos que violarem a lei estarão sujeitos a multas ou prisão. O valor da multa depende da natureza e da gravidade da infração, variando de S$ 2.000 a S$ 100.000 (aproximadamente VND 1,6 bilhão) e/ou prisão de até 12 meses, ou até 3 anos em casos graves; para organizações e empresas infratoras, a penalidade pode chegar a 10% de sua receita anual.

A agência que desempenha um papel crucial na garantia do cumprimento da PDPA é a Comissão de Proteção de Dados Pessoais (PDPC). Esta agência especializada possui ampla autoridade e vasta capacidade de fiscalização, incluindo o poder de solicitar a indivíduos e organizações que forneçam informações e documentos relacionados ao processamento de dados pessoais, impor sanções financeiras por violações e tomar outras medidas corretivas.

A criação de uma agência dedicada, a Comissão de Proteção de Dados Pessoais de Singapura, que atua de forma independente e proativa na detecção e no tratamento de violações e na aplicação de sanções, é uma das condições para a proteção efetiva de dados pessoais em Singapura.

Recomendações para aprimorar as leis de proteção de dados pessoais no Vietnã.

Atualmente, no Vietname, existem 69 documentos legais diretamente relacionados com a questão da proteção de dados pessoais, regulamentados em diferentes documentos, incluindo a Constituição, o Código (4), a Lei (39), a Portaria (1), o Decreto (2), a Circular/Circular Conjunta (4), a Decisão do Ministro (1).

Esses documentos abordam essencialmente a questão da proteção de dados pessoais enfatizando o princípio da garantia da privacidade dos indivíduos; no entanto, contêm regulamentações diferentes em relação às informações relacionadas a dados pessoais, abordando questões como os direitos e obrigações dos indivíduos, o processamento de informações e os métodos de proteção de dados pessoais. A legislação vietnamita que regulamenta a proteção de dados pessoais alcançou resultados notáveis, em particular a publicação do Decreto nº 12/2023/ND-CP sobre proteção de dados pessoais, em 17 de abril de 2023 – um documento único que regulamenta essa questão em nosso país. Esses documentos legais criaram um arcabouço legal para a proteção de dados pessoais. Especificam os direitos dos titulares dos dados, bem como das partes responsáveis ​​pelo processamento, prescrevem sanções para violações da proteção de dados pessoais e identificam a agência especializada em proteção de dados pessoais como o Departamento de Segurança Cibernética e Prevenção de Crimes de Alta Tecnologia, vinculado ao Ministério da Segurança Pública ...

O Vietnã enfrenta inúmeros riscos, desafios e ameaças provenientes do ciberespaço, particularmente o vazamento e o roubo de informações e dados pessoais, causando danos significativos aos cidadãos e à sociedade.

No entanto, a implementação prática desses documentos também revelou muitas limitações, como o fato de que os documentos legais existentes se limitam ao nível de decreto, não atendendo à importância da proteção de dados pessoais; muitas disposições atuais são vagas e pouco claras, resultando na falta de orientações específicas para cada caso; e as penalidades ainda são muito leves e não suficientemente dissuasivas…

Diante dessa situação, o aprimoramento do arcabouço legal para a proteção de dados pessoais no Vietnã tem sido e continua sendo uma questão que exige atenção e pesquisa, com base nas experiências de outros países. Especificamente:

Em primeiro lugar, é necessário promulgar uma lei sobre proteção de dados pessoais . No contexto da Quarta Revolução Industrial, 80 países, em níveis regionais e nacionais, já promulgaram suas próprias leis de proteção de dados pessoais. O Vietnã precisa urgentemente pesquisar e promulgar uma lei geral e específica sobre dados, semelhante às leis de privacidade de dados da UE, China e Singapura, que defina as questões e os princípios fundamentais para a proteção de dados pessoais. A promulgação de uma lei específica sobre dados pessoais proporcionaria uma base legal crucial para a proteção desses dados, visto que as leis vigentes no Vietnã carecem de uniformidade em terminologia e conteúdo.

Em segundo lugar, as penalidades por violações da proteção de dados pessoais devem ser revistas e complementadas para serem mais severas, proporcionais à natureza e à gravidade das violações. Embora as penalidades por violações de dados pessoais em nosso país incluam sanções administrativas, civis e criminais, elas são geralmente bastante brandas e carecem de forte efeito dissuasor. O principal método atualmente ainda é a aplicação de sanções administrativas, mas estas estão dispersas em vários decretos com multas relativamente baixas, sendo a mais alta de 100 milhões de VND para pessoas físicas e 200 milhões de VND para organizações.

Embora os danos causados ​​por violações administrativas de dados pessoais não se limitem a perdas materiais, mas também afetem a honra e a dignidade, as sanções penais para essas violações encontram-se atualmente apenas nas disposições sobre privacidade, tecnologia da informação e segurança cibernética, especificamente nos artigos 159 e 288 do Código Penal vigente, com penas de prisão relativamente baixas, de no máximo 7 anos, e multas que não ultrapassam 1 bilhão de VND. Comparadas aos 20 milhões de euros da UE, ao 1 milhão de dólares de Singapura ou à prisão perpétua na China, essas penalidades ainda são muito baixas e desproporcionais para muitas infrações.

Ao mesmo tempo, é necessário regulamentar mais categorias de comportamentos que atualmente não são mencionados na lei, como a comercialização de dados em larga escala, o estabelecimento de sistemas para cometer violações de dados, as irregularidades em serviços de marketing, etc.

Em terceiro lugar, no que diz respeito ao modelo de uma agência de proteção de dados pessoais no Vietname : Atualmente, o Departamento de Cibersegurança e Prevenção de Crimes de Alta Tecnologia, subordinado ao Ministério da Segurança Pública, é a agência especializada em proteção de dados pessoais. Considerando as normas internacionais, poderíamos ponderar a criação de uma agência independente de proteção de dados pessoais responsável pela aplicação da Lei de Proteção de Dados Pessoais, pela realização de inspeções e auditorias, pela emissão de diretrizes, pela formulação de recomendações e pela aplicação de sanções em caso de violações.

Podemos aprender com esses modelos na UE ou em Singapura… para garantir que as atividades de aplicação da lei que protegem os dados pessoais sejam altamente eficazes, equilibrando a proteção dos direitos individuais e a garantia da segurança cibernética.

Proteger dados pessoais não é uma tarefa simples, especialmente no contexto da integração, onde ocorre monitoramento e coleta em larga escala de dados pessoais, e o sistema jurídico vietnamita que regulamenta essa questão ainda está em desenvolvimento e aprimoramento.

Estudar o direito internacional sobre esta questão, em conjunto com a situação prática no Vietname, ajudará a desenvolver rapidamente um quadro jurídico abrangente para a proteção de dados pessoais, que seja compatível com o direito internacional e efetivamente aplicado.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html