Proposta de revisão das regras de proteção de dados do Chile: o que isso pode significar para sua empresa

O Congresso do Chile está perto de aprovar um projeto de lei que revisará a legislação de proteção de dados e abrirá caminho para a criação de uma agência de proteção de dados.

Aguardando a aprovação final no Senado, se promulgado, o projeto de lei teria implicações para as empresas e estabeleceria um esquema de penalidades em caso de descumprimento que poderia resultar em multas de até US$ 1,5 milhão.

Como o ônus de alinhar suas práticas com as novas regras recairia sobre as empresas, a revisão geraria oportunidades para especialistas capazes de ajudá-las a navegar com segurança pelo novo cenário regulatório.

Para saber mais e analisar algumas das implicações, a BNamericas realizou uma entrevista por e-mail com Roberto Opazo, diretor e fundador da Itzi, consultoria especializada em assessoria jurídica em proteção de dados e ativos intangíveis no Chile, Argentina e Espanha.

BNamericas: Qual é a situação a respeito do projeto de lei de proteção de dados pessoais?

Opazo: No Chile, hoje temos a lei nº 19.628 sobre privacidade de dados pessoais, que data de 1999 e sofreu pequenas modificações, mas que ainda não conseguiram estabelecer a robustez necessária para fazer cumprir os direitos ARCOP [acesso, retificação, cancelamento, oposição e portabilidade] consagrados na presente lei.

De fato, as normas, embora contenham uma série de conceitos mundialmente aceitos e empregados, não reconhecem procedimentos especiais ou um quadro institucional necessário, o que acaba tornando a legislação um acúmulo de conceitos e noções gerais de difícil aplicação. Não obstante, o Congresso do Chile está debatendo hoje uma poderosa atualização desta lei, um processo que está em sua fase final no Senado.

A magnitude desta modificação é tamanha que o nome da lei passará a ser “Lei de proteção de dados pessoais e criação da agência de proteção de dados”, o que nos dá uma visão dos fundamentos das novas regras de dados do Chile, que deixarão a estrutura em sincronia com as regras internacionais correspondentes, refletindo a abordagem adotada na Europa a respeito da relação entre uma pessoa e os dados pessoais.

BNamericas: Será necessário ter uma regulamentação complementar? Quando a lei poderá entrar em vigor integralmente?

Opazo: As novas regras hoje estão na terceira fase constitucional, ou seja, falta apenas o Senado aprovar o projeto de lei para que ele seja promulgado e entre para os livros de estatutos.

Uma vez que isso aconteça, as mesmas regras concedem um prazo de 24 meses para que a lei entre em vigor, para que os respectivos regulamentos sejam emitidos, para que a agência chilena de proteção de dados pessoais seja criada e para que as entidades se adaptem a essas novas regras.

Complementarmente, e como a experiência internacional tem ditado, as regras de proteção de dados pessoais não são suficientes por si só, mas requerem interpretações administrativas realizadas pelas respetivas autoridades, como fazem, por exemplo, as agências de proteção de dados na Europa. Não obstante, e complementando o que já foi comentado, uma lei de crimes cibernéticos foi publicada há algum tempo, e uma versão preliminar do marco de segurança cibernética que protege a infraestrutura crítica está sendo debatido no Chile.

BNamericas: Quais são os pilares centrais e o objetivo do projeto de lei de proteção de dados?

Opazo: O objetivo deste novo projeto de lei de proteção de dados pessoais é colocar a pessoa e seus direitos no centro da economia de dados, estimulando o ecossistema a tomar decisões sobre os dados respeitando os pilares fundamentais do projeto, que são: 1) direitos ARCOP; 2) consentimento; 3) institucionalidade; 4) procedimentos especiais de cumprimento de direitos; 5) sanções.

BNamericas: Qual é o escopo do projeto de lei, ou seja, empresas de todos os portes serão impactadas, assim como entidades do setor público?

Opazo: Eu apontaria o triplo impacto da lei:

1. Público: cria-se no Chile uma nova instituição chamada agência de proteção de dados pessoais, que será uma espécie de Sernac [órgão de defesa do consumidor], mas aprimorado, pois terá poderes de sanções que este último não possui. Acredito, a priori, que essa nova agência se tornará um exemplo para a modernização de outras instituições públicas que regulam a relação entre titulares de direitos e fornecedores de serviços/produtos.
2. Privado: as organizações privadas devem ser transparentes sobre como tratam os dados, qual é o objetivo desse tratamento e, claro, ter o consentimento do proprietário dos dados. Isso implica um processo de planejamento detalhado, pois gera-se um novo processo interno de identificação dos tipos de dados que são tratados dentro da empresa e como podem ser criados procedimentos eficazes de conformidade com o novo padrão.
3. Cultural: os titulares dos dados pessoais terão mais autonomia a respeito da custódia de seus dados pessoais, o que, acompanhado por uma instituição garantidora do cumprimento de seus direitos, gerará conscientização sobre a relevância do fato de os dados pessoais pertencerem ao titular, e não à organização que os processa.

BNamericas: Quais setores da economia sofrerão o maior impacto da nova lei nos primeiros anos?

Opazo: Todos os setores. Hoje, depois da Covid-19, houve um processo de digitalização do mercado no Chile – assim como em todo o mundo –, o que implica o processamento e a troca de dados pessoais, portanto, o projeto que está chegando no Chile exige um processo obrigatório (por lei) de adaptação, e quem não se adaptar, pode receber sanções pecuniárias que chegam a 20.000 UTM [cerca de US$ 1,53 milhão], a maior penalidade econômica prevista em lei, e até mesmo a suspensão temporária do processamento de dados pessoais.

Por outro lado, vai gerar uma oportunidade para projetos já comprovados na Europa, por exemplo, organizações que tenham experiência e know-how verificáveis em processos de automação da gestão de dados pessoais internos, processos de levantamento de falhas de segurança e tudo aquilo que for relacionado à segurança cibernética. Sem dúvida, abre uma janela para o investimento estrangeiro no que diz respeito à proteção dos bens imateriais, em geral, não apenas dos dados pessoais.

BNamericas: Uma vez promulgada, a lei vai gerar forte demanda por profissionais e consultores especializados? O Chile está preparado para isso?

Opazo: O mercado já deu sinais da necessidade de um perfil ligado à gestão de dados pessoais, em especial profissionais com certificações ISO 27001, por exemplo, e muitas grandes empresas já iniciaram processos de recrutamento de profissionais ligados ao mundo da privacidade em ambientes digitais. Alguns centros de educação superior já oferecem cursos de pós-graduação em proteção de dados pessoais, mas, mesmo assim, considero que esses sinais, que são de fato um progresso, não permitem concluir a priori se o Chile está pronto.

BNamericas: Como será o esquema de sanções para as empresas que não cumprirem as normas?

Opazo: De acordo com as últimas alterações aprovadas, haverá diferentes níveis de infrações: leves, graves e gravíssimas. Assim, no caso de infrações graves, as multas são de 2% do faturamento da empresa no ano anterior, com o máximo estabelecido em 10.000 UTM. Enquanto isso, para infrações gravíssimas, as multas serão de 4% do faturamento da empresa do ano anterior, com o máximo de 20.000 UTM. Em caso de reincidência de infrações gravíssimas, o processamento dos dados pode até ser suspenso temporariamente.

BNamericas: O projeto de lei faz parte de um processo mais amplo de modernização do Estado?

Opazo: No Chile, há muitos anos se fala em modernização do Estado. Embora o projeto de lei que estamos discutindo não faça parte expressamente desse plano, sem dúvida a necessidade de as instituições públicas adequarem seus processos técnicos para proteger os dados dos cidadãos será importante. Não obstante, tal como na Espanha, a administração pública não está sujeita a sanções por razões que à primeira vista parecem óbvias.

BNamericas: Como a lei deixaria o Chile em comparação com outros países da América Latina, em termos de ser o mais avançado na proteção de dados?

Opazo: O Chile foi pioneiro na região por ser o primeiro país latino-americano a promulgar uma lei de proteção de dados pessoais, a lei nº 19.628 sobre a proteção da vida privada de 1999, mas ficou atrás de outros países da região por não estar em conformidade com os padrões europeus.

Embora Argentina e Uruguai sejam países considerados como tendo um padrão adequado de processamento de dados de acordo com os parâmetros europeus, mais de 10 anos se passaram desde essas declarações, o que os obrigou a repensar seu modelo regulatório. Por outro lado, assim como o Chile foi pioneiro na promulgação de sua lei de proteção de dados com base em regulamentos europeus em 1999, o Brasil foi o primeiro país da região a promulgar uma lei de proteção de dados pessoais diretamente inspirada no modelo europeu GDPR de 2016: a lei geral de proteção de dados, LGPD (nº 13.709/2018). Dessa forma, o Chile se juntaria ao Brasil ao contar com um marco regulatório com os ajustes exigidos pelo GDPR europeu.