Resumo
O tema deste artigo é “Proteção de dados no Brasil e no Japão, breve estudo comparativo”. Investigou-se o seguinte problema: Considerando que o Act on the Protection of Personal Information, APPI, ou Ato em Proteção da Informação Pessoal, em tradução livre, pode ser considerada um dos mais robustos documentos legais para a proteção de dados pessoais existentes no mundo moderno, um questionamento pode ser feito sobre a existência ou não de uma correlação entre o APPI e a Lei Geral de Proteção de Dados, LGPD, “recém” implementada aqui no Brasil? Cogitou-se a hipótese de que “existe correlação e pontos em comum entre a legislação nipônica e a brasílica”. O objetivo geral é “analisar se o APPI e a LGPD têm pontos em comum e diferenças”. Os objetivos específicos são: “visão geral do APPI”; “visão geral da LGPD”; e, “similaridades e diferenças entre APPI e LGPD”. Este trabalho é importante para um operador do Direito devido a necessidade de se conhecer as similaridades e diferenças entre as leis de proteção de dados de países diferentes com a meta de garantir a conformidade com as leis aplicáveis e proteger os direitos dos titulares dos dados. Especialmente para operadores do direito internacional onde certamente haverá transferência de dados e entre pessoas ou empresas de países diversos, fato que deve respeitar o ordenamento pátrio do qual o dado se origina, armazena ou se destina. Trata-se de pesquisa teórica, bibliográfica, fundamentada em artigos científicos, lei, doutrina e, literatura especializada.
Palavras-chave: APPI. LGPD. Proteção de dados no Japão. Proteção de dados no Brasil
Abstract
The theme of this article is "Data Protection in Brazil and Japan, a Brief Comparative Study". The following problem was investigated: Considering that the Act on the Protection of Personal Information, APPI, can be considered one of the most robust legal documents for personal data protection in the modern world, a question can be raised about the existence or not of a correlation between the APPI and the recently implemented General Data Protection Law, LGPD, in Brazil. It was assumed that "there is a correlation and common points between Japanese and Brazilian legislation". The overall objective is to "analyze if the APPI and the LGPD have common points and differences". The specific objectives are "overview of the APPI"; "overview of the LGPD"; and, "similarities and differences between APPI and LGPD". This work is important for a law practitioner due to the need to know the similarities and differences between the data protection laws of different countries in order to ensure compliance with the applicable laws and protect the rights of data holders. Especially for international law practitioners where there will certainly be data transfer and between people or companies from different countries, which must respect the domestic law of the country where the data originates, stores or is intended. This is a theoretical, bibliographical research, based on scientific articles, law, doctrine, and specialized literature.
Keywords: APPI. LGPD. Data protection in Brazil. Data protection in Japan.
Introdução
O trabalho consiste no estudo dos textos legais de proteção de dados pessoais em vigor no Brasil e no Japão. Ao observar duas legislações em paralelo pode-se perceber suas similaridades e características destoantes e, possíveis contribuições para futuros desdobramentos legislativos.
Dado que a lei japonesa sobre a proteção de informações pessoais, conhecida como APPI, é considerada uma das mais robustas normas legais para proteção de dados no mundo atual, é possível se perguntar se há alguma relação entre o APPI e a Lei Geral de Proteção de Dados, recentemente implementada no Brasil. Desta feita, a pergunta basilar do presente estudo é “há correlação entre o APPI e a LGPD? ”.
Marques (2021) afirma que há comparabilidade entre os diplomas brasileiro e nipônico pelo fato de ambos possuírem nível de proteção de dados pessoais comparáveis ao oferecido pelo modelo europeu, ou seja, tanto o APPI quanto a LGPD atendem às determinações da União Europeia no que se refere aos padrões de proteção de dados.
É importante conhecer as similaridades e diferenças entre as leis de proteção de dados de países diferentes para garantir a conformidade com as leis aplicáveis e proteger os direitos dos titulares dos dados. Especialmente para operadores do direito internacional onde certamente haverá transferência de dados entre pessoas ou empresas de países diversos, fato que deve respeitar o ordenamento pátrio do qual o dado se origina, armazena ou se destina. Ademais, compreender as diferenças entre os normativos auxilia na identificação e previsão de possíveis riscos fazendo com que medidas adequadas de segurança e mitigação de problemas sejam adotadas para garantir a efetiva proteção dos dados.
Outro importante fator a ser lembrado para a justificativa do presente estudo e pesquisa é o fato de que o Japão é um grande representante do polo asiático de desenvolvimento tecnológico e, dessa forma, um ator importante no fluxo de dados e, dentre eles, os pessoais. Marques (2021) apresenta o estudo da Global Innovation 1000 Study mostrando que em 2018, sete empresas japonesas figuraram entre as cem maiores empresas investidoras em pesquisa e desenvolvimento no mundo.
Sobre a relevância e importância do tema em tela para o ambiente acadêmico pode se verificar na possível contribuição para o desenvolvimento de políticas e tecnologias para a proteção de dados pessoais, melhor capacitação dos acadêmicos e ampliação de horizontes relacionados às adequações e conformidades internacionais.
Trata-se de uma pesquisa bibliográfica, teórica com fundamentos em artigos científicos e livros acadêmicos, bem como em leis e doutrinas e, quando necessário, informações colhidas de sites especializados sobre o tema.
Foram selecionados artigos científicos na plataforma Google Acadêmico e em sites diversos, em alguns casos foi necessária a utilização da ferramenta Sci-Hub, o que possibilitou o acesso, quase, irrestrito a artigos acadêmicos. As palavras-chave e expressões utilizadas na coleta do material teórico para o presente labor foram “APPI Act on the Protection of Personal Information”, “LGPD”, “APPI context” e, “LGPD contexto”, além delas a Lei nº 13.709, de 14 de agosto de 2018 e o Act No. 57, de 30 de maio de 2003 foram amplamente utilizadas na presente pesquisa
Act on the Protection of Personal Information - APPI
A constituição japonesa, em seu artigo 13 diz, em tradução livre, que todas as pessoas devem ser respeitadas como indivíduos, e acrescenta que, o direito das pessoas de viver, de liberdade e de buscar a felicidade deve ser de consideração suprema na legislação e em outros assuntos governamentais na medida em que não interfira no bem-estar público (Japão, 1946). Este normativo é utilizado pela doutrina como o reconhecimento da privacidade como um direto fundamental constitucional (Komukai, 2020).
A principal lei de proteção de dados no Japão é o Ato em Proteção da Informação Pessoal, ou somente APPI (acrônimo derivado da língua inglesa), promulgada em 2003, e tem como um dos seus propósitos proteger os direitos e interesses dos indivíduos (Japão, 2003), reforçando o que já está posto na Carta Magna japonesa.
Komukai (2020) comenta que o APPI estabelece uma política para proteção de dados e impõe obrigações para empresas e agentes que processam dados pessoais, definidas na lei como operadores de negócios de tratamento de informações pessoais ou, somente Operadores de Negócios.
O APPI conta com duas divisões, uma para o setor privado e outra para o setor público, e nesta existem, ao menos, três subdivisões.
O Artigo 2º do APPI classifica informação pessoal em três categorias principais, Komukai (2020) ajuda a compreender assas categorias, ao passo que a primeira se refere à informações pessoais, ou seja, àquelas informações gerais que podem identificar indivíduos específicos; a segunda diz respeito à dados pessoais; e, a terceira fala sobre dados pessoais retidos, onde o critério para determinar que um dado pessoal é considerado retido ou não é o lapso temporal de 6 meses.
A categoria mais ampla é "Informações Pessoais", que inclui informações relacionadas a uma pessoa viva, tais como nome, data de nascimento e outras descrições que permitem identificar esse indivíduo, desde que sejam fáceis de comparar com outras informações para determinar a identidade de alguém específico ou por meio de um código de identificação único (Japão, 2003).
Conforme Ishiara (2022), o APPI foi drasticamente modificado em 2016 e, estas, vigoram desde maio de 2017. Antes da alteração, o APPI era aplicado apenas aos operadores de negócios que usavam qualquer banco de dados de informações pessoais contendo detalhes de mais de 5000 pessoas em qualquer dia nos últimos 6 meses, mas, com as alterações este limitador foi superado.
Patil e Gurtoo (2020) desenvolvem o tema da revisão do APPI dizendo que ela ampliou a definição de Informações Pessoais para incluir dados sensíveis, como impressões digitais, reconhecimento facial, número de passaporte, carteira de habilitação e identificadores únicos, além de informações básicas, como nome, endereço e data de nascimento. A nova definição também inclui informações confidenciais, como raça, religião, histórico médico e dados pessoais que possam levar a discriminação ou preconceitos injustificáveis. A lei estabelece normas para o uso de informações não identificáveis, exigindo que elas sejam tornadas anônimas e proibindo a reidentificação. A lei também regulamenta a transferência de dados pessoais para partes estrangeiras, permitindo tal transferência apenas com o consentimento prévio do titular dos dados ou se a parte estrangeira possuir regulamentos de proteção de dados equivalentes aos do Japão ou conforme padrões estabelecidos pela Comissão de Proteção da Informação Pessoal, PPC.
Patil e Gurtoo (2020) também explicam que o APPI inclui disposições para aplicação extraterritorial e cooperação internacional para a proteção de dados pessoais. Para garantir o uso correto de informações pessoais, a PPC possui a capacidade de monitorar o fluxo desses dados em redes.
Ishiara (2020) comenta que existe um processo de avaliação sistemática da lei de proteção de dados pessoais no Japão a cada três anos. Durante a revisão, a lei é examinada para determinar se ainda atende às necessidades atuais de proteção de dados pessoais ou se precisa ser atualizada e melhorada. A revisão pode incluir a alteração de definições de Informações Pessoais, regras de coleta, uso e transferência de dados, bem como medidas de segurança e proteção de dados. O objetivo da revisão trianual é garantir que a lei de proteção de dados pessoais do Japão esteja sempre atualizada e proteja adequadamente as informações pessoais dos cidadãos.
Lei Geral de Proteção de Dados - LGPD
A Lei Geral de Proteção de Dados, LGPD, é baseada em princípios como finalidade adequada, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção e não discriminação, todos guiados pelo princípio da boa-fé. Esta lei é complementada pelos princípios estabelecidos na Constituição de 1988 e se apoia em outras áreas de direito, como direito civil, penal e de defesa do consumidor, conforme ensinam Sarlet e Ruaro (2021).
Sarlet e Ruaro (2021) ainda complementam que a aprovação da LGPD colocou o Brasil entre mais de 100 países que possuem instituições responsáveis por proteger a privacidade e o uso de dados. Este grupo geralmente trabalha em rede para garantir medidas de segurança na transferência de dados em todo o mundo. A LGPD cria regras claras para o uso, proteção e transferência de dados pessoais tanto no setor público quanto no privado, definindo as responsabilidades e as penalidades para cada parte envolvida. Em caso de incidentes, as multas podem chegar a até 50 milhões de reais.
De acordo com Tepedino (2020), a Lei Geral de Proteção de Dados é um instrumento fundamental para proteger os direitos das pessoas. Ela permite que as pessoas tenham controle sobre seus dados, estabelece obrigações e responsabilidades para os controladores de dados e garante a segurança na circulação de informações. A lei visa prevenir danos à privacidade e evitar tratamentos abusivos de informações, bem como vazamentos de dados, priorizando a proteção da pessoa humana e a segurança no tratamento de dados pessoais.
O primeiro instrumento legal de tutela dos dados pessoais é o consentimento, que é obtido pelos agentes de tratamento antes da coleta e revelação de quaisquer informações pessoais. De acordo com o artigo 5º da LGPD, esse consentimento deve ser livre, informado e inequívoco, além de ser direcionado a uma finalidade específica. Ele é uma ferramenta crucial para proteger os direitos do titular dos dados em um cenário tecnológico cada vez mais preocupante, no qual as empresas públicas e privadas coletam em massa informações pessoais e as mercantilizam sem transparência (Tepedino, 2020).
A nova lei exige que o consentimento seja interpretado de maneira restrita, de modo que a autorização concedida não possa ser estendida para meios, períodos futuros, finalidades, pessoas ou contextos diferentes do que foi informado ao titular. É importante que o titular dos dados tenha total controle sobre suas informações pessoais e que elas não sejam tratadas de forma abusiva ou compartilhadas sem seu conhecimento. O consentimento é, portanto, uma garantia para a privacidade e a segurança de dados pessoais.
Convergências e Divergências entre APPI e LGPD
A presente sessão buscará cotejar a LGPD em relação ao APPI com o objetivo de compreender se há semelhança ou diferenças entre as legislações, ressalta-se que o objetivo não é analisar a totalidade dos normativos legais, mas sim apontar pontos de destaque que possam ser utilizados como motivadores de estudos posteriores.
Titulares de Dados
Tanto o APPI quanto a LGPD apresentam conceito acerca da definição de quem são os Titulares de Dados, na legislação brasileira, no artigo 5º, V; já na legislação nipônica, no artigo 2º, 8. Marques (2021) aponta que em ambos textos legais o conceito de titular é semelhante pois, o titular é o ser humano cujos dados pessoais permitem a identificação ou tornam-no identificável quando processados.
Direito à Retificação
Ambos os dispositivos discorrem sobre este direito, a LGPD em seu artigo 18, III e, o APPI em seu artigo 29, 1. Nos dois casos o direito à retificação está garantido o que garante a confiabilidade e a atualização dos dados existentes.
Direito à Revogação
Neste caso em especial a legislação brasileira garante mais do que a legislação japonesa. Nas duas leis há a previsão expressa, enquanto que a legislação do Japão, em seu artigo 30, 1 e 5, faz a exigência de que os dados sejam eliminados pelo controlador em determinadas situações a LGPD, no artigo 18, IX não delimita o direito.
Direito à Portabilidade de Dados
Na visão de Marques (2021) somente a legislação brasileira assegura o direito à portabilidade de dados, o direito está posto no artigo 18, V. Neste caso, a lei brasileira também dá ao titular o direito de transferir seus dados para outro provedor de serviços ou produtos mediante solicitação direta o que pode ser objeto de evolução na legislação japonesa nas futuras revisões trianuais.
Considerações Finais
A presente pesquisa teve como objetivo identificar similaridades e diferenças entre a Lei Geral de Proteção de Dados do Brasil e o Ato em Proteção da Informação Pessoal do Japão. Da investigação observou-se que há pontos em comum e que existem características individuais nos dois textos legais.
Concluiu-se, portanto, que realmente há correlação entre o APPI e a LGPD, o que significa que pode existir transferência de dados pessoais entre os países sem maiores transtornos e que ainda existe espaço para o amadurecimento das duas normas de proteção de dados. Espera-se do trabalho ora apresentado que os operadores do Direito, em especial os operadores do Direito Internacional possam estar familiarizados com as legislações de proteção de dados de ambos os países visando maior facilidade no trato de dados armazenados em qualquer um dos países.
Referências Bibliográficas
Brasil. Casa Civil. (2018). Lei Geral de Proteção de Dados. Lei nº 13.709. Disponível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 20 de janeiro de 2023.
Ishiara, T. (2022). The Privacy, Data Protection and Cybersecurity Law Review: Japan. Site The Law Reviews. Disponível em https://thelawreviews.co.uk/title/the-privacy-dataprotection-and-cybersecurity-law-review/japan. Acessado em 15 de janeiro de 2023
Japão. (1946). The Constitution of Japan. Disponível em https://www.japaneselawtranslation.go.jp/ja/laws/view/174. Acessado em 20 de janeiro de 2023.
Japão. (2003). Act on the Protection of Personal Information. Disponível em https://www.japaneselawtranslation.go.jp/en/laws/view/2781/en. Acessado em 15 de janeiro de 2023.
Komukai, T. (2020). Data Protection in the Internet: Japanese National Report. Data Protection in the Internet, 38. 253-269.
Marques, A. V. C. de C. (2021). A relação entre a lei brasileira 13.709/18 e o arcabouço jurídico para proteção de dados pessoais do Japão e da Coreia do Sul a partir do modelo TLICS. Monografia Final de Curso, Faculdade de Direito, Universidade de Brasília, Brasília, DF.
Moraes, M. C. B (2019). LGPD: um novo regime de responsabilização civil dito “proativo”. Civilistica.com. Disponível em https://civilistica.emnuvens.com.br/redc/article/view/448/377. Acessado em 15 de janeiro de 2023.
Patil, R. & Gurtoo, A. (2020). Overview of Personal Data Protection Laws, Regulations and Policies Globally. IISc CSP Working Paper Series.
Sarlet, G. B. S., & Ruaro, R. L. (2021). A proteção de dados sensíveis no sistema normativo brasileiro sob o enfoque da Lei Geral de Proteção de Dados ( LGPD). Revista Direitos Fundamentais & Democracia, 26 (2), 81-106.
Tepedino, G. (2020). Desafios da Lei Geral de Proteção de Dados ( LGPD). Revista Brasileira de Direito Civil. 26. 11-15.
