Proteção de dados pessoais na europa e em outros blocos e países

A criação da Comunidade Econômica Europeia (CEE), cuja origem data de 1957, quando foi instituída pelo Tratado de Roma - o chamado «Mercado Comum» -, conduziu à necessidade de ser criada uma legislação unificada para o bloco, para o tratamento de dados, tendo em vista a diversidade jurídica de seus membros.

Os primeiros normativos sobre proteção de dados surgiram nas décadas de 1960 e 1970. Reinaldo Filho⁴ salienta que, embora o «direito à privacidade» (right to privacy) tenha se desenvolvido originalmente na jurisprudência e doutrina norte-americanas, são europeus os principais e mais completos conjuntos de leis sobre proteção de dados pessoais, que emergiram nessas décadas.

Assim, em 1970, o Estado alemão Hesse editou a chamada «Hessisches Datenschutzgesetz» (Ato de Proteção de Dados de Hesse)⁵, primeira lei sobre essa matéria. A Suécia conta com a «Sw. Datalagen» (Ato de Dados Sueco), editada em 1973, como menciona Öman⁶. Desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados pessoais. A Dinamarca regulamenta a questão da proteção de dados pelas leis 243 e 244, ambas de 8 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas. A França conta com a Lei 78-77, de 6 de janeiro de 1978. Espanha e Portugal consideram a privacidade como direito fundamental em suas constituições, bem como a Áustria. De acordo com Reinaldo Filho⁷ e Monteiro et al.⁸, a Espanha possui uma regra constitucional determinando a regulamentação da proteção da privacidade contra invasões da atividade informática (artigo 18, par. 1.º). A Constituição de Portugal de 1977 contempla, em seu artigo 35.º, a previsão do direito do cidadão de conhecer os dados que lhe são concernentes, de que esses dados sejam utilizados de acordo com a finalidade para o qual foram recolhidos e, ainda, de retificá-los (em caso de erro) e de atualizá-los.

A Organização para a Cooperação e Desenvolvimento Econômico (OCDE)⁹, desde 1980, trata da proteção da privacidade entre seus países-membros. As «Diretrizes da OCDE para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais» foram adotadas como recomendação do Conselho da OCDE, em apoio aos três princípios comuns aos países-membros da organização: democracia pluralista, respeito aos direitos humanos e economias de mercado aberto, entraram em vigor em 23 de setembro de 1980.

No ano de 1981, o Conselho da Europa aprovou a Convenção 108: «Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal»¹⁰, por considerar

«desejável alargar a proteção dos direitos e das liberdades fundamentais de todas as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em consideração o fluxo crescente, através das fronteiras, de dados de carácter pessoal susceptíveis de tratamento automatizado».

Posteriormente, a Diretiva 95/46/CE, aprovada pelo Parlamento Europeu em 1995, cuja versão consolidada data de 2003, vigorou até maio de 2018, diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Tal diretiva foi substituída pelo Regulamento n.° 2016/679, de 27 de abril de 2016, popularmente conhecido como «General Data Protection Regulation (GDPR)», a nova lei geral de proteção de dados da União Europeia¹¹.

Como retrata Klosowski¹², no caso dos Estados Unidos, somente três estados americanos contam com leis relativas à privacidade de dados: Califórnia (CCPA e suas emendas, CPRA), Virgínia (VCDPA) e Colorado (ColoPA). Independentemente do estado em que a empresa está localizada, os direitos que as leis fornecem aplicam-se apenas às pessoas que moram nesses estados.

A Lei de Privacidade do Consumidor da Califórnia (CCPA), considerada uma das leis de privacidade dos Estados Unidos mais abrangentes até hoje, entrou em vigor em 1 de janeiro de 2020. A CCPA impôs limitações significativas à coleta e venda de informações pessoais de um consumidor e fornece aos consumidores direitos expansivos em relação às suas informações pessoais. Como registra Lewis¹³, menos de um ano depois, em 3 de novembro de 2020, a maioria dos residentes da Califórnia votou a favor da Proposição 24, que incluía a Lei de Direitos de Privacidade da Califórnia (CPRA), cuja base está na extensa estrutura de direitos e obrigações de privacidade da CCPA, que entrou em vigor em 1.º de janeiro de 2023, expandindo e modificando os principais aspectos da CCPA.

Enquanto no Brasil, o respeito à privacidade é um direito fundamental, nos Estados Unidos, a privacidade é interpretada comocommodity, ou seja, os dados pessoais são mercadoria passível de livre comercialização, salvo quando se trata dos menores de 13 anos e alguns setores específicos, estes regulados por normas setoriais. Conforme destacado por Stephens¹⁴, a CCPA, mesmo trazendo direitos aos titulares dos dados pessoais, não muda essa concepção, pois a venda de tais informações continua livre, salvo em caso de oposição.

Ainda tratando da legislação estadunidense a respeito de privacidade de dados, menciona-se a lei que trata da coleta de dados de crianças e adolescentes, a Children’s Online Privacy Protection Act (COPPA)¹⁵ entrou em vigor em 21 de abril de 2000.

Brancher¹⁶, em relação à abordagem que trata da regulação da proteção de dados, ao redor do mundo, explica que os modelos mais recorrentes são os de regulação setorial ou geral. O modelo setorial se baseia na propositura de legislações que regulam o tratamento de dados pessoais com foco em elementos específicos, em geral direcionadas, podendo focar no setor público ou no privado, a determinados setores do mercado e a categorias de titulares de dados distintos. O segundo modelo, o geral, propõe que um mesmo regime de proteção de dados se aplique a todos os tratamentos de dados pessoais independentemente de elementos específicos. Assim, todas as entidades, sejam públicas ou privadas, que tratem dados pessoais estarão, via de regra, sujeitas às mesmas obrigações, enquanto todo titular de dados terá acesso às mesmas garantias e direitos.

Quanto aos países que possuem legislação cujo modelo é o de regulação geral, em relação à proteção de dados pessoais destacam-se, além da União Europeia (UE), o Brasil, a Argentina e o Japão.

Na direção de uma regulação geral, Katz¹⁷ destaca que a China aprovou, em 20 de agosto de 2021, a Personal Information Protection Law (PIPL), que entrou em vigor em 1.º de novembro do mesmo ano. Ao realizar análise sobre a nova lei chinesa, à primeira vista, a PIPL é simplesmente um reflexo do GDPR da UE. Neste aspecto, a PIPL e a GDPR têm um escopo amplo, e, portanto, se aplicam a todas as empresas que lidam com dados de cidadãos chineses ou da UE, respectivamente, sejam empresas domésticas ou internacionais.

No entanto, como afirma Burgess¹⁸, o aspecto que representa o maior impacto da nova lei de privacidade da China é que ela representa um aumento severo de custos e uma série de restrições às operações de companhias externas na China, o que provocou o início do êxodo do país de grandes empresas de tecnologia.

No cenário da América do Sul, Monteiro et al.¹⁹ relatam que, dos 12 países pertencentes ao continente, somente Argentina, Chile, Colômbia, Peru, Uruguai, Paraguai e Guiana Francesa possuem leis gerais para a proteção dos dados dos titulares. Ainda no contexto sul-americano, entre os países que possuem leis setoriais sobre proteção de dados estão o Equador, a Bolívia, a Venezuela e a Guiana, restando o Suriname como único país do continente que ainda não possui lei específica sobre o tema. No entanto, em sua Constituição, no artigo 17, consta que todos possuem direito ao respeito à sua privacidade, à vida de sua família, sua residência, sua honra e sua boa reputação.

O Chile foi um dos primeiros países da América Latina a conceber a sua lei de proteção de dados, a Lei de Proteção de Dados de Caráter Pessoal²⁰, de agosto de 1999. A Argentina aprovou a Lei de Proteção de Dados Pessoais, em outubro de 2000²¹, contendo disposições e princípios gerais relativos à proteção de dados, e que, entre outros aspectos, deu ao país uma legislação que inclui em seu âmbito um órgão de controle denominado «Registro Nacional de Bases de Dados».

Na Colômbia, vigora a Lei Estatutária N.º 1581 de 17 de outubro de 2012²², cujo objetivo «é desenvolver o direito constitucional de que todas as pessoas têm de conhecer, atualizar e retificar as informações que delas tenham sido recolhidas em bases de dados ou arquivos». O Peru conta com a Lei N.º 29.733/2011 (lei de proteção de dados pessoais)²³, cujo objetivo é «garantir o direito fundamental à proteção dos dados pessoais, previsto no artigo 2 n.º 6, da Constituição Política do Peru, através de seu adequado tratamento, em um quadro de respeito aos demais direitos fundamentais».

No Uruguai, a Lei N.º 18.331, de 11 de agosto de 2008, reconhece a proteção de dados pessoais como um direito fundamental incluído na Constituição do país, cria a Unidade Reguladora de Controle de Dados Pessoais (URCDP), como órgão que garante o direito e institui um regime baseado em princípios e direitos. O país dispõe ainda de um «Guía sobre Protección de Datos Personales en Uruguay»²⁴.

Conforme consta na Red Iberoamericana de Protección de Datos²⁵, o Paraguai não dispõe de uma lei geral de proteção de dados, contando apenas com a Lei N.º 1.682/2001, que regula a informação privada, a qual consiste em um dispositivo genérico sobre o tema e que aborda de forma ampla quais dados podem ser tratados e como isso pode ocorrer, além de estabelecer sanções para as organizações que descumpram tais disposições.

O Equador não possuía, até 2021, uma legislação específica sobre a proteção de dados. Em 26 de maio de 2021, foi publicada a Ley Orgánica de Protección de Datos Personales²⁶. A sua finalidade é garantir o direito à proteção de dados pessoais, o que inclui o acesso e decisão sobre informações e dados desta natureza, bem como a respetiva proteção.

No âmbito do Mercosul, um marco para a proteção de dados foi assinado no Dia Internacional da Proteção de Dados Pessoais, dia 28 de janeiro de 2021, entre Brasil, Argentina, Paraguai e Uruguai, estados partes do bloco. Trata-se do Acordo sobre Comércio Eletrônico do Mercosul²⁷, aprovado por meio da Decisão 15/20 do Conselho do Mercado Comum. O acordo, em seu artigo 6.º, trata, especificamente, da proteção de dados pessoais.

A padronização do arcabouço jurídico de proteção de dados pessoais em todo o mundo vem sendo pesquisada por organismos de cooperação internacional, por meio de grupos de estudo sobre temas relevantes e trocas de informações sobre práticas internas e leis nacionais pelas autoridades. Entre esses grupos, destaca-se o Grupo de Trabalho sobre Segurança e Privacidade na Economia Digital, da OCDE²⁸. O grupo reúne especialistas em políticas de governos membros e parceiros da OCDE, bem como empresas, sociedade civil e comunidade técnica da internet para compartilhar experiências sobre melhores abordagens de segurança e privacidade em um ambiente aberto e globalmente interconectado.

Proteção de dados pessoais no Brasil

A Constituição brasileira de 1988²⁹ menciona alguns pontos sobre proteção de dados. Em seu artigo 5.º, a Carta Magna faz menção à privacidade dos brasileiros: «são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação».

Não obstante, uma das importantes decorrências da LGPD³⁰ é a promulgação, em 10 de fevereiro de 2022, da Emenda Constitucional 115³¹, que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais previstos na Constituição Federal. O texto também fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

No início dos anos 1990, surge no Brasil o Código de Defesa do Consumidor³², que definiu regras para as relações entre empresas e clientes, que possui uma seção específica sobre cadastros e banco de dados e, ainda, defende o direito do consumidor a acessar os dados que uma empresa possua sobre ele e solicitar sua correção, caso alguma informação esteja incorreta.

Em relação às atividades que tratam de telecomunicações e internet, no Brasil, existe uma separação funcional, estabelecida em lei. A regulação das redes de telecomunicações se encontra sob responsabilidade da Agência Nacional de Telecomunicações (Anatel), enquanto a regulação dos serviços relacionados com as atividades de internet é realizada de forma distribuída, sendo que diferentes atores têm diferentes responsabilidades, conforme suas próprias atribuições.

Os principais dispositivos legais que tratam dos assuntos relacionados às telecomunicações são: a Norma 004/1995 - que tem como objetivo regular o uso de meios da Rede Pública de Telecomunicações para o provimento e utilização de Serviços de Conexão à Internet³³ - e a Lei N.º 9.472/1997 (denominada Lei Geral de Telecomunicações)³⁴ - que «Dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador».

Apontadas tais considerações, Schmidt³⁵ lembra que, até o ano de 2012, o Brasil não dispunha de leis para punir os crimes cibernéticos próprios [aqueles em que o bem jurídico protegido pela norma penal é a inviolabilidade das informações automatizadas (dados)]. O país dispunha somente de legislação para tratar crimes cibernéticos impróprios (aqueles que atingem um bem jurídico comum, como o patrimônio, e utilizam os sistemas informáticos apenas comoanimus operandi, ou seja, um novo meio de execução).

Tendo em vista fatos ocorridos no ano de 2012, em que ataques do tipo «DDoS» (ataques distribuídos de negação de serviço) foram perpetrados asitesdo Governo e ocorreu a divulgação de fotos íntimas da atriz Carolina Dieckmann, houve urgência na aprovação de duas leis, que cobriam algumas lacunas, entre aquelas existentes no ordenamento jurídico do país em relação a essa matéria. São elas: a Lei 12.735/201215, conhecida como «Lei Azeredo», por ter sido proposta pelo ex-senador; e a Lei 12.737/201216, conhecida como «Lei Carolina Dieckmann», após o vazamento de fotos íntimas da atriz na internet em 2012.

No entanto, o Marco Civil da Internet³⁶, conhecido como a «Constituição da Internet», é considerado uma das mais importantes leis brasileiras. Um longo e conturbado percurso foi percorrido até a aprovação dessa lei, sendo finalmente sancionada pela Presidente da República em 23 de abril de 2014, após aprovada em 22 de abril de 2014, pelo Senado Federal, durante a abertura do Encontro Global Multissetorial sobre o Futuro da Governança da Internet - NET Mundial, em São Paulo, que reuniu representantes de mais de 80 países. Em 2016, o Marco Civil da Internet foi regulamentado pelo Decreto N.º 8.771, de 11 de maio de 2016³⁷.

Bem antes da criação da LGPD, a necessidade de uma lei de proteção de dados já se discutia no país. Em novembro de 2010 foi iniciado no Brasil o debate sobre a proteção de dados pessoais, visando elaborar uma lei específica sobre o tema. Até abril de 2011, o Ministério da Justiça manteve um blogue para colher manifestações na plataforma Cultura Digital, do Ministério da Cultura.

Em junho de 2012, foi apresentado na Câmara dos Deputados um projeto de lei que dispunha sobre o tratamento de dados pessoais, que foi produto das discussões do V Congresso Brasileiro da Indústria da Comunicação. Ainda em 2012, foi apresentado, no Senado, outro projeto de lei do Senado para estabelecer princípios, garantias e obrigações referentes à proteção de dados pessoais. Em janeiro de 2015, o Ministério da Justiça lançou consulta pública para discutir a proteção de dados pessoais armazenados em centrais dentro ou fora do país.

Não se pode deixar de mencionar o episódio das denúncias de Edward Snowden sobre espionagem cibernética em larga escala, o que conduziu à instauração da Comissão Parlamentar de Inquérito da Espionagem Cibernética no Senado Federal, criada em 17 de julho de 2013, para apurar denúncias de interceptação de dados pelo governo dos Estados Unidos. O relatório da Comissão Parlamentar³⁸, publicado em abril de 2014, apontou um diagnóstico bastante contundente do panorama da cibersegurança brasileira e apresentou diversas recomendações para a melhoria da segurança cibernética no Brasil, entre elas: «o país deve discutir e elaborar uma Política Nacional de Segurança Cibernética».

Por seu turno, a aprovação, pela UE do Regulamento Geral de Proteção de Dados Pessoais (GDPR)³⁹, em abril de 2016, veio a precipitar os fatos, pois, dentre as exigências do GDPR, todos os países e organizações que pretendessem manter relações comerciais com a UE deveriam dispor de uma legislação de proteção de dados pessoais em conformidade com o que determinava o regulamento.

Após diversas ações e tratativas, em julho de 2018, o Projeto de Lei da Câmara 53/2018 foi finalmente aprovado no Plenário do Senado, gerando a Lei N.º 13.709/2018 (Lei Geral de Proteção de Dados)⁴⁰. Estava previsto que o início da vigência seria em dezoito meses a contar da publicação. Esta lei inaugura, no Brasil, um sistema de proteção de dados, proporcionando princípios basilares para salvaguardar os dados pessoais de seus respectivos titulares.

LGPD: aspectos a destacar, implementação na administração pública federal e sua relação com a segurança da informação e a governança cibernética

Em muitos aspectos, a LGPD contempla boas práticas em riscos e segurança da informação, esta última, cujas boas práticas e controles são norteados pela Norma ABNT NBR ISO/IEC 27002, que contempla as melhores técnicas mundialmente reconhecidas sobre o assunto. Além desse ponto, a LGPD, da mesma forma que o GDPR, tem aplicação extraterritorial, pois, as empresas estrangeiras que oferecem serviços ao mercado nacional e possuem filial no Brasil, precisam estar adequadas à lei, tendo em vista que essas organizações tratam dados de brasileiros.

Em relação à implementação na Administração Pública Federal, Zimmer⁴¹ apresenta os resultados de uma pesquisa realizada pela PRODESP (empresa de informática do Governo do Estado de São Paulo) em 2020, com o objetivo de identificar como a administração pública estava percebendo o início da vigência da lei, sendo evidenciado que ainda existe um longo caminho no aculturamento de tratamento de dados e segurança da informação. Ao todo foram consultados 133 órgãos e entidades da administração. Nesse estudo, 42% das entidades declararam não ter práticas relacionadas à governança, privacidade e segurança da informação, 60% não utilizam meios eletrônicos ao tratar dados, e 33% declaram ainda utilizar meios físicos.

Com o objetivo de implementar a LGPD no âmbito da Administração Pública Federal, além de fortalecer a segurança da informação e promover melhorias na governança cibernética no país, foi criado o Programa de Privacidade e Segurança da Informação (PPSI)⁴², que se caracteriza como um conjunto de projetos e processos de adequação nas áreas de privacidade e segurança da informação, o qual tem como valores: a maturidade, a resiliência, a efetividade, a colaboração e a inteligência.

No sentido de viabilizar a implementação do PPSI, foram disponibilizados diversos guias, modelos e ferramentas para os órgãos e entidades, entre os quais se destacam⁴³: aCartilha do PPSI, umModelo de Política de Proteção de Dados Pessoaise umModelo de Política de Desenvolvimento de Pessoas em Privacidade e Segurança da Informação. Além destas publicações, foram disponibilizadas pela Diretoria de Privacidade e Segurança da Informação diversos outros guias operacionais.

Ressalte-se, ainda, que a vigência da LGPD acabou por afetar todos os setores do país, não somente o setor público, tornando a segurança cibernética um tema cada vez mais urgente. Neste sentido, cabe registrar a importância da publicação da PNCiber - Política Nacional de Cibersegurança, instituída pelo Decreto N.º 11.856, de 26 de dezembro de 2023⁴⁴. Com a PNCiber foi também instituído o Comitê Nacional de Cibersegurança (CNCiber), no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com o objetivo de acompanhar a implementação e a evolução da PNCiber.

Como consta na Nota Técnica SSIC/GSI N.º 01/2023, que apresenta a exposição de motivos para o projeto de lei que visa o estabelecimento da PNCiber:

«A PNCiber é uma proposta voltada a unificar a “colcha de retalhos” regulatória existente no país, minimizar o crescente número de incidentes que acometem o país, gerando enormes prejuízos para a sociedade brasileira, buscar diminuir o débito tecnológico nacional no setor, e ampliar a participação brasileira na cooperação internacional sobre a temática»⁴⁵.

A exemplo do que ocorreu com a LGPD, cuja influência veio da GDPR europeia, a PNCiber, conforme consta na mesma nota técnica referenciada, recebeu forte influência do modelo proposto pelo Parlamento Europeu, a Diretiva 2022/2555, também conhecida como NIS2⁴⁶, publicada em 14 de dezembro de 2022, a qual tem como objetivo alcançar um «elevado nível comum de cibersegurança na União» e que apresenta um conjunto de medidas cuja adoção pelos Estados-Membros da UE é obrigatória até 17 de outubro de 2024.

Em relação à implementação da LGPD nas organizações da Administração Pública Federal, foi realizada, pelo TCU, em 2022, uma auditoria para avaliar as ações governamentais e os riscos à proteção de dados pessoais, a qual originou o Acórdão 1384/2022 - TCU - Plenário⁴⁷, que apresenta uma extensa lista de recomendações ao governo. A análise abrangeu 382 organizações federais e foram verificadas iniciativas e medidas implementadas para o cumprimento das exigências estabelecidas na lei.

Assim, observa-se que o avanço na governança cibernética no país vem sendo buscado, em especial após a aprovação da LGPD. Um conjunto de leis e decretos vem regulando o setor cibernético no país. Destaca-se entre estes a Estratégia Nacional de Segurança Cibernética, e-Ciber⁴⁸ (que apresenta como visão para o Brasil: «Tornar-se país de excelência em segurança cibernética») e a PNCiber - Política Nacional de Cibersegurança, conforme abordado.

Pela pesquisa realizada, além dos aspectos já considerados, observa-se que tanto a LGPD quanto a PNCiber conduzem a uma necessidade de melhoria da governança cibernética nas instituições públicas e privadas. Tal fato pode favorecer a queda dos quantitativos de incidentes de segurança consumados, pois visualiza-se que, em face da obrigatoriedade de cumprimento das regulações mencionadas, além da imposição de multas em caso de descumprimento de regras postas nas mesmas, uma maior conscientização da alta administração das instituições é esperada, possibilitando o crescimento dos investimentos na área cibernética, conduzindo a uma evolução natural do país, como um todo, na proteção contra as ameaças cibernéticas.

Bibliografia

Legislação nacional

Alemanha

«HESSISCHES DATENSCHUTZGESETZ». 19 de fevereiro de 1999. Consultado em: 29 de setembro de 2020. Disponível em: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/HDSG.pdf.

Argentina

Ley N. 25.326. Disposiciones Generales. Principios generales relativos a la protección de datos. 4 de outubro de 2000. Consultado em: 29 de setembro de 2020. Disponível em: https://www.oas.org/juridico/pdfs/arg_ley25326.pdf.

Brasil

CONSTITUIÇÃO DA República Federativa do Brasil. Brasília, DF: Senado Federal, 1988. Consultado em: 10 de outubro de 2021. Disponível em: https://www2.senado.leg.br/bdsf/handle/id/508200.

«COMISSÃO PARLAMENTAR de Inquérito - CPI da espionagem: Relatório Final N.º 1, de 2014». Senado Federal. Brasília, DF. Consultado em: 24 de setembro de 2021. Disponível em: https://www2.senado.leg.br/bdsf/handle/id/609904.

CÓDIGO DE Defesa do Consumidor e Normas Correlatas. 2.ª edição. Atualizado até setembro de 2017. Senado Federal. Brasília, DF. Consultado em: 10 de outubro de 2021. Disponível em: https://www2.senado.leg.br/bdsf/bitstream/handle/id/533814/cdc_e_normas_correlatas_2ed.pdf?sequence=1.

DECRETO N.º 8.771, de 11 de maio de 2016. Regulamenta a Lei N.º 12.965, de 23 de abril de 2014. Presidência da República. Brasília, DF. Consultado em: 24 de setembro de 2022. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/D8771.htm.

DECRETO N.º 10.222, de 5 de fevereiro de 2020: Aprova a Estratégia Nacional de Segurança Cibernética. Presidência da República. Brasília, DF. Consultado em: 10 de outubro de 2021. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/d10222.htm.

DECRETO N.º 11.856, de 26 de dezembro de 2023. Institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança. Presidência da República. Brasília, DF. Consultado em: 10 de janeiro de 2024. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023- 2026/2023/decreto/D11856.htm.

EMENDA CONSTITUCIONAL N.º 115, de 10 de fevereiro de 2022: Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais. Presidência da República. Brasília, DF. Consultado em: 24 de setembro de 2023. Disponível em: https://www.planalto.gov.br/ccivil_ 03/constituicao/Emendas/Emc/emc115. htm#:~: text=EMENDA%20CONSTITUCIONAL%20N%C2%BA%20115%2C%20DE,e%20tratamento%20de%20dados%20pessoais.

LEI GERAL de Proteção de Dados Pessoais (LGPD), Dada pela Lei N.º 13.853, de 8 de julho de 2019. Atualizado até julho de 2019. Presidência da República. Brasília, DF. Consultado em: 10 de novembro de 2023. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.

LEI N.º 9.472, de 16 de julho de 1997: Dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador e outros aspectos institucionais. Presidência da República. Brasília, DF. Consultado em: 24 de setembro de 2021. Disponível em:https://www.planalto.gov.br/ccivil_03/leis/l9472.htm.

LEI N.º 12.965, de 23 de abril de 2014: Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Presidência da República. Brasília, DF. Consultado em: 24 de setembro de 2021. Disponível em:https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/ l12965.htm.

LISTA DE Alto Risco (LAR) da Administração Pública Federal. 1.ª edição. Brasília, DF: Tribunal de Contas da União. 22 de junho de 2022. Consultado em: 20 de fevereiro de 2024. Disponível em https://portal.tcu.gov.br/lista-de-alto-risco-na-administracao-publica-federal.htm.

«GUIAS E modelos do Programa de Privacidade e Segurança da Informação (PPSI)». Ministério da Gestão e da Inovação em Serviços Públicos. Governo Digital. Brasília, DF. Atualizado em: março de 2023. Consultado em: 10 de janeiro de 2024. Disponível em: https://www.gov.br/governodigital/pt-br/privacidade_e_seguranca/guias-e-modelos/pagina_guias_e_modelos.

«NOTA TÉCNICA SSIC/GSI N.º 01/2023. Assunto: Proposta de Projeto de Lei de Criação da Política Nacional de Cibersegurança». GSI. Brasília, DF. Consultado em: 10 de janeiro de 2024. Disponível em: https://www.gov.br/gsi/pt-br/ssic/audiencia-publica/PNCiberAudienciaPublicaProjetoBase.pdf.

PORTARIA N.º 148, de 38 de maio de 1995: Aprova a Norma N.º 004/95 - Uso da Rede Pública de Telecomunicações para acesso à Internet. Ministério das Comunicações. Agência Nacional de Telecomunicações. PORTAL Gov.br.Brasília, DF. Consultado em: 20 de setembro de 2021. Disponível em: https://informacoes.anatel.gov.br/legislacao/normas-do-mc/78-portaria-148.

PORTARIA SGD/MGI N.º 852, de 28 de março de 2023: Programa de Privacidade e Segurança da Informação (PPSI)». Ministério da Gestão e da Inovação em Serviços Públicos. Governo Digital. Brasília, DF. Consultado em: 10 de janeiro de 2023. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-sgd/mgi-n-852-de-28-de-marco-de-2023-473750908.

RESOLUÇÃO CD/ANPD N.º 8, de 5 de setembro de 2023. Institui a Política de Governança de Processos da Autoridade Nacional de Proteção de Dados. Ministério da Justiça e Segurança Pública. Governo Digital. Autoridade Nacional de Proteção de Dados. Publicações da ANPD. Atualizado em: 20 de fevereiro de 2024. Consultado em: 25 de fevereiro de 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-8-de-5-de-setembro-de-2023-508638337.

«SECOM TCU. TCU verifica risco alto à privacidade de dados pessoais coletados pelo governo». PORTAL TCU. Brasília, DF. 21 de junho de 2022. Consultado em: 14 de setembro de 2022. Disponível em: https://portal.tcu.gov.br/imprensa/noticias/tcu-verifica-risco-alto-a-privacidade-de-dados-pessoais-coletados-pelo-governo.html.

Chile

LEY 19628, 28 de agosto de 1999. Proteccion de datos de caracter personal. Consultado em: 15 de agosto de 2021. Disponível em:http://www.bcn.cl/leychile/navegar?idNorma=141599&idParte=864270.

Colômbia

LEY ESTATUTARIA 1581 de 2012 (octubre 17). Por la cual se dictan disposiciones generales para la protección de datos personales. Bogotá. Consultado em: 19 de agosto de 2020. Disponível em: https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981.

Council of europe

«CONVENTION FOR the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108)». 28 de janeiro de 1981. Consultado em: 25 de setembro de 2021. Disponível em: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108.

Equador

LEY ORGÁNICA de protección de datos personales. Registro Oficial. Quinto Suplemento. Ao II - N.º 459, 26 de maio de 2021. Assembleia Nacional, República do Equador. Consultado em: 10 de julho de 2022. Disponível em: https://drive.google.com/file/d/1UhmqRQpkkBjWs5iGGiB_oOxKeR- daX2Ut/view.

Mercosul

«ACORDO SOBRE o Comércio Eletrônico do Mercosul». 2021. Consultado em: 10 de julho de 2022. Disponível em: https://www.gov.br/siscomex/pt-br/arquivos-e-imagens/2020/12/82753_dec_015-2020_pt_acordo-comercio-eletronico.pdf.

Organização para a Cooperação e Desenvolvimento Econômico - OCDE

«DIRETRIZES DA OCDE para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais». 2003. Consultado em: 2 de junho de 2022. Disponível em: https://www.oecd.org/sti/ieconomy/15590 254.pdf.

«SUMMARY OF the OECD Privacy Expert Roundtable». Working Party on Security and Privacy in the Digital Economy. 20 de maio de 2014. Consultado em: 2 de setembro de 2023. Disponível em: https://one.oecd.org/document/DSTI/ICCP/REG(2014)3/en/pdf.

PERU

LEY N.º 29.733, 3 julio 2011. Ley de protección de datos personales. Consultado em: 19 de agosto de 2021. Disponível em:Http://www.leyes.congreso.gob.pe/Documentos/Leyes/29733.pdf.

Red Iberoamericana de Protección de Datos

«LEGISLACIÓN - REPÚBLICA del Paraguay. Red IPD@2019». Consultado em: 12 de setembro de 2021. Disponível em: https://www.redipd.org/es/legislacion?nid=80.

União Europeia

DIRETIVA (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022. InJornal Oficial da União Europeia. 27 de dezembro de 2022. Consultado em: 27 de março de 2022. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32022L2555&from=EN.

REGULAMENTO (UE) 2016/679 do Parlamento Europeu do Conselho de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados). InJornal Oficial da União Europeia. 4 de maio de 2016. Consultado em: 15 de agosto de 2021. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN.

Uruguai

«GUÍA SOBRE Protección de datos personales en Uruguay». Unidad Reguladora y de Control de Datos Personales. 26 de setembro de 2023. Consultado em: 20 de novembro de 2023. Disponível em: https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/noticias/ guia-sobre-proteccion-datos-personales-uruguay#:~:text=En%20Uruguay%2C%20la%20Ley%20N,competencias%20necesarias%20para%20garantizar%20el.