Criação de um quadro jurídico para a proteção de dados pessoais

Dando continuidade à 43ª Sessão, na tarde do dia 11 de março, a Comissão Permanente da Assembleia Nacional pronunciou-se sobre o projeto de Lei de Proteção de Dados Pessoais.

7 princípios de proteção de dados pessoais

A petição do Governo afirma que, embora existam até 69 documentos legais diretamente relacionados à proteção de dados pessoais no Vietnã, todos eles ainda não chegaram a um consenso sobre o conceito e o conteúdo de dados pessoais e proteção de dados pessoais. Somente o Decreto nº 13/2023/ND-CP, de 17 de abril de 2024, do Governo, sobre proteção de dados pessoais, fornece uma definição desses dois conteúdos.

No entanto, trata-se apenas de um Decreto, não de uma Lei, e, portanto, precisa ser implementado de forma uniforme na prática. É necessário que haja uma Lei como "lei original", com princípios, contribuindo para a continuidade da institucionalização das disposições da Constituição e das leis sobre o direito à proteção da privacidade pessoal e dos direitos humanos.

O desenvolvimento da Lei de Proteção de Dados Pessoais visa aperfeiçoar o sistema legal de proteção de dados pessoais em nosso país, criar um corredor legal para a proteção de dados pessoais, melhorar a capacidade de proteção de dados pessoais para organizações e indivíduos nacionais para atingir níveis internacionais e regionais; promover o uso legal de dados pessoais para servir ao desenvolvimento socioeconômico .

O Projeto de Lei de Proteção de Dados Pessoais é composto por 7 capítulos e 69 artigos; regulamenta a proteção de dados pessoais e a responsabilidade das agências, organizações e indivíduos relevantes para proteger dados pessoais com 7 conteúdos principais, especificamente:

Unificar a terminologia e desenvolver alguns conceitos importantes sobre proteção de dados pessoais, tais como: dados pessoais; proteção de dados pessoais; esclarecer os conceitos e conteúdos de dados pessoais básicos, dados pessoais sensíveis, dados não pessoais, desidentificação de dados pessoais; identificar de forma precisa e completa as atividades de processamento de dados pessoais; as funções das partes nas atividades de processamento.

Desenvolver 7 princípios de proteção de dados pessoais, incluindo: legalidade, transparência, finalidade, limitação, precisão, segurança, tempo de armazenamento limitado e responsabilidade.

Especifica os direitos e obrigações dos titulares dos dados.

Regulamentos sobre condições de proteção de dados pessoais para organizações que fornecem serviços de processamento de dados pessoais; serviços que fornecem organizações de proteção de dados pessoais e especialistas em proteção de dados pessoais; serviços de classificação de crédito para proteção de dados pessoais; e serviços que certificam a elegibilidade para capacidade de proteção de dados pessoais.

Exige uma avaliação do impacto do processamento de dados pessoais e da transferência de dados pessoais para o exterior como um compromisso legal com as atividades de processamento de dados pessoais. Para ser consistente com o desenvolvimento da ciência e tecnologia e os tipos atuais de empresas, o projeto não estipula uma forma de pré-inspeção (registro), mas realiza uma pós-inspeção (verificação, avaliação) do processamento de dados pessoais e da transferência transfronteiriça de dados pessoais.

Regulamentação completa sobre medidas básicas de proteção de dados pessoais, dados pessoais sensíveis, condições para garantir as atividades de proteção de dados pessoais, agências especializadas em proteção de dados pessoais e o Portal Nacional de Informações sobre Proteção de Dados Pessoais.

Regulamentos sobre a gestão estatal da proteção de dados pessoais, responsabilidades dos ministérios e agências relevantes na direção do Governo, unificando a implementação da gestão estatal da proteção de dados pessoais; o Ministério da Segurança Pública é a agência focal responsável perante o Governo pela implementação da gestão estatal de dados pessoais, exceto no âmbito do Ministério da Defesa Nacional; responsabilidades do controlador de dados pessoais, processador de dados, controlador e processador de dados, terceiros, organizações e indivíduos relevantes.

Revisar e complementar atos proibidos

Em sua análise preliminar do projeto de lei, a Comissão de Defesa Nacional, Segurança e Relações Exteriores da Assembleia Nacional afirmou que os dados pessoais desempenham um papel particularmente importante, são uma fonte estratégica de dados e têm um impacto direto e abrangente na política, economia, sociedade, defesa, segurança e relações exteriores de um país. No entanto, a proteção de dados pessoais tem sido negligente no passado, permitindo a coleta, os ataques, a apropriação e o comércio ilegal de dados pessoais.

Presidente do Comitê de Defesa Nacional, Segurança e Relações Exteriores, Le Tan Toi.

Embora existam atualmente muitos documentos legais relacionados à proteção de dados pessoais, o conteúdo ainda é disperso e inconsistente. O Decreto nº 13/2023/ND-CP, de 17 de abril de 2024, do Governo, sobre proteção de dados pessoais, entrou em vigor inicialmente, mas é um documento de natureza infralegal, não garante valor jurídico, não é consistente com as disposições da Constituição e não é suficientemente forte para prevenir e remediar violações.

Portanto, o desenvolvimento da Lei de Proteção de Dados Pessoais é extremamente necessário, atendendo aos requisitos de proteção de dados pessoais; prevenindo atos de violação de dados pessoais; aumentando a responsabilidade de agências, organizações e indivíduos; garantindo valor legal para implementação unificada.

Em relação aos atos proibidos (Artigo 7), o Presidente do Comitê, Le Tan Toi, afirmou que alguns pareceres sugeriram a revisão e a complementação de outros atos proibidos para abranger integralmente cada grupo de atividades e cada tipo de sujeito que protege dados pessoais. Houve pareceres sugerindo a complementação de atos proibidos relacionados a cinco formas de compra e venda de dados pessoais, conforme consta na petição do Governo.

Em relação à proteção de dados pessoais em serviços de marketing e publicidade, o Comitê Permanente da Comissão de Defesa Nacional, Segurança e Relações Exteriores concorda basicamente com essa regulamentação. No entanto, há opiniões de que a regulamentação que proíbe a contratação de terceiros não é viável e adequada para a prática, visto que o setor de marketing e publicidade depende do ecossistema digital.

Há sugestões de que um terceiro pode ser autorizado a fazê-lo se a confidencialidade for garantida, houver um contrato com responsabilidades claras e deve haver disposições transitórias semelhantes às disposições sobre Organizações de Proteção de Dados Pessoais e Especialistas em Proteção de Dados Pessoais no Artigo 68 do projeto de Lei.

Além disso, a agência de inspeção também propôs revisar cuidadosamente os regulamentos sobre organizações de proteção de dados pessoais (Artigo 39), especialistas em proteção de dados pessoais (Artigo 40), serviços empresariais de organizações de proteção de dados pessoais, especialistas em proteção de dados pessoais (Artigo 41) para garantir os requisitos de gestão estatal e incentivar a criatividade, liberar todas as forças produtivas e abrir todos os recursos para o desenvolvimento; cortar e simplificar completamente os procedimentos administrativos, as condições de investimento para produção e negócios, reduzir os custos de conformidade e criar as condições mais favoráveis ​​para pessoas e empresas.