Criar um quadro legal para a proteção de dados pessoais.

Dando continuidade à pauta da 43ª Sessão, na tarde de 11 de março, a Comissão Permanente da Assembleia Nacional emitiu seu parecer sobre o projeto de Lei de Proteção de Dados Pessoais.

7 princípios para a proteção de dados pessoais

O relatório do Governo afirma claramente que, embora existam 69 documentos legais diretamente relacionados à proteção de dados pessoais no Vietnã, nenhum deles é consistente na definição de dados pessoais e proteção de dados pessoais. Apenas o Decreto Governamental nº 13/2023/ND-CP, de 17 de abril de 2024, sobre proteção de dados pessoais, fornece definições para esses dois aspectos.

Contudo, trata-se apenas de um Decreto, não de uma Lei, pelo que necessita de ser implementado de forma consistente na prática. É necessária uma Lei como "lei fundamental", um documento fundamentado que contribua para a institucionalização das disposições da Constituição e das leis relativas ao direito à proteção da privacidade pessoal e aos direitos humanos.

O objetivo da elaboração da Lei de Proteção de Dados Pessoais é aperfeiçoar o sistema jurídico de proteção de dados pessoais em nosso país, criar um arcabouço legal para a proteção de dados pessoais, aprimorar a capacidade de organizações e indivíduos nacionais de proteger dados pessoais para atingir padrões internacionais e regionais e promover o uso lícito de dados pessoais a serviço do desenvolvimento socioeconômico .

O projeto de Lei sobre Proteção de Dados Pessoais é composto por 7 capítulos e 69 artigos; ele regulamenta a proteção de dados pessoais e as responsabilidades das agências, organizações e indivíduos relevantes na proteção de dados pessoais, com 7 conteúdos principais, especificamente:

Padronizar a terminologia e estabelecer vários conceitos-chave relativos à proteção de dados pessoais, tais como: dados pessoais; proteção de dados pessoais; esclarecer o conceito e o significado de dados pessoais básicos, dados pessoais sensíveis, dados não pessoais e desidentificação de dados pessoais; definir de forma precisa e abrangente as atividades de tratamento de dados pessoais; e as funções das partes envolvidas nas atividades de tratamento.

Foram estabelecidos sete princípios para a proteção de dados pessoais, incluindo: legalidade, transparência, uso adequado, limitação, exatidão, segurança, prazos de retenção e responsabilização.

Regulamentos que definem os direitos e as obrigações dos titulares dos dados.

Regulamentos sobre as condições de proteção de dados pessoais para organizações que prestam serviços de processamento de dados pessoais; serviços que fornecem organizações de proteção de dados pessoais e especialistas em proteção de dados pessoais; serviços de avaliação de crédito em proteção de dados pessoais; e serviços de certificação de competências em proteção de dados pessoais.

A proposta exige uma avaliação do impacto do processamento e da transferência de dados pessoais para o exterior como um compromisso juridicamente vinculativo em relação às atividades de processamento de dados pessoais. Para acompanhar os avanços da ciência e da tecnologia e os tipos de negócios atuais, a proposta não estipula aprovação prévia (registro), mas implementa a aprovação posterior (inspeção e avaliação) do processamento de dados pessoais e da transferência internacional de dados.

Regulamentos completos sobre medidas básicas de proteção de dados pessoais, dados pessoais sensíveis, condições para garantir atividades de proteção de dados pessoais, agências especializadas em proteção de dados pessoais e o Portal Nacional de Proteção de Dados Pessoais.

As normas sobre a gestão estatal da proteção de dados pessoais, bem como as responsabilidades dos ministérios e agências competentes, visam a implementação unificada da gestão estatal da proteção de dados pessoais pelo Governo. O Ministério da Segurança Pública é o órgão central responsável perante o Governo pela gestão estatal de dados pessoais, excluindo-se a competência do Ministério da Defesa Nacional. As responsabilidades abrangem o controlador de dados, o processador de dados, o controlador e o processador de dados, terceiros, organizações e indivíduos envolvidos.

Rever e complementar a lista de atos proibidos.

Em sua análise preliminar do projeto de lei, a Comissão de Defesa Nacional, Segurança e Relações Exteriores da Assembleia Nacional declarou que os dados pessoais desempenham um papel particularmente importante, servindo como uma fonte estratégica de dados que impacta direta e amplamente a política, a economia, a sociedade, a defesa nacional, a segurança e as relações exteriores de uma nação. No entanto, a proteção de dados pessoais tem sido negligenciada nos últimos tempos, permitindo a coleta, o ataque, a apropriação e a venda ilegais desses dados.

Presidente da Comissão de Defesa Nacional, Segurança e Relações Exteriores, Le Tan Toi.

Embora existam atualmente muitos documentos legais relacionados à proteção de dados pessoais, seu conteúdo é fragmentado e inconsistente. O Decreto Governamental nº 13/2023/ND-CP, de 17 de abril de 2024, sobre a proteção de dados pessoais, demonstrou inicialmente alguma eficácia, mas, como documento de natureza sub-legal, carece de validade jurídica, não é compatível com as disposições da Constituição e não é suficientemente robusto para prevenir e lidar com violações.

Portanto, a elaboração de um projeto de Lei sobre Proteção de Dados Pessoais é absolutamente necessária para atender aos requisitos de proteção de dados pessoais; prevenir atos de violação de dados pessoais; reforçar a responsabilidade de agências, organizações e indivíduos; e garantir a validade jurídica para uma implementação consistente.

Com relação aos atos proibidos (Artigo 7), o Presidente do Comitê, Le Tan Toi, afirmou que algumas opiniões sugeriram a revisão e complementação de outros atos proibidos para garantir a abrangência da legislação, considerando cada grupo de atividades e cada tipo de entidade que protege dados pessoais. Algumas opiniões sugeriram a inclusão de atos proibidos relacionados às cinco formas de compra e venda de dados pessoais mencionadas na proposta do Governo.

Em relação à proteção de dados pessoais em serviços de marketing e publicidade, o Comitê Permanente do Comitê de Defesa Nacional, Segurança e Relações Exteriores concordou, em geral, com essa regulamentação. No entanto, alguns argumentaram que a regulamentação que proíbe a contratação de terceiros é impraticável e inconsistente com a realidade, visto que o setor de marketing e publicidade depende do ecossistema digital.

Alguns sugeriram que terceiros poderiam ser autorizados a realizar essa tarefa se a segurança for garantida, houver um contrato vinculativo que defina claramente as responsabilidades e houver uma cláusula transitória semelhante às disposições sobre Organizações de Proteção de Dados Pessoais e Especialistas em Proteção de Dados Pessoais no Artigo 68 do projeto de lei.

Além disso, a agência de revisão também propôs uma revisão completa das normas sobre a organização da proteção de dados pessoais (Artigo 39), dos especialistas em proteção de dados pessoais (Artigo 40) e da atividade de prestação de serviços e especialistas em proteção de dados pessoais (Artigo 41), a fim de garantir uma gestão estatal eficaz e o incentivo à inovação, liberando toda a capacidade produtiva e desbloqueando todos os recursos para o desenvolvimento; reduzindo e simplificando drasticamente os procedimentos administrativos e as condições para investimento, produção e negócios, reduzindo os custos de conformidade e criando as condições mais favoráveis ​​para cidadãos e empresas.