Produções com danças típicas, muita música, ação, emoção e drama. Amores impossíveis, sacrifícios, vilões e conflitos familiares. “Bollywood”, o nome como ficou conhecida a indústria cinematográfica indiana faz referência à Hollywood, responsável por filmes de orçamentos astronômicos nos Estados Unidos. O “B” vem da primeira letra da cidade de Bombaim, hoje chamada de Mumbai. Tomando por exemplo o cinema e observando também o jeito de se vestir e se alimentar, pode-se dizer que a Índia é especialista em adicionar um tempero extra naquilo que é convencional para o Ocidente. Com a nova legislação de proteção de dados, não foi diferente.
Em agosto de 2023, foi promulgada a Digital Personal Data Protection Act (DPDPA), legislação de proteção de dados da Índia. Embora a data de entrada em vigor da lei ainda esteja pendente de confirmação e detalhes da legislação não tenham sido totalmente definidos, a norma marca o fim de um longo período de debate e deliberação das disposições de proteção de dados pessoais da quinta maior economia do mundo. A DPDPA substitui um conjunto de regras na Lei de Tecnologia da Informação de 2000, reformada em 2008, e nas Regras de Tecnologia da Informação de 2011, regulamentos que orientavam, superficialmente, a proteção de dados pessoais no país. Considerando o papel que a Índia desempenha nas indústrias globalizadas, a nova lei terá grande impacto nas organizações de todo o mundo.
Para se alinhar aos padrões globais, a DPDPA foi modelada, em alguma medida, a partir do Regulamento Geral de Proteção de Dados europeu (GDPR) e, consequentemente, assemelha-se, em parte, à Lei Geral de Proteção de Dados brasileira (LGPD). No entanto, da análise das disposições da legislação indiana, torna-se evidente que a nova regulação não é uma mera transcrição das disposições europeias, mas, sim, uma masala, mistura de especiarias típicas da Índia.
Isto porque, de maneira geral, a DPDPA estabelece que sua aplicação abrange qualquer entidade que trate dados pessoais digitais em território indiano, excluindo os dados pessoais não digitalizados da aplicabilidade da lei. A norma, ainda, não faz distinção entre dados pessoais e dados pessoais sensíveis, sendo ambas as categorias de dados reguladas da mesma maneira e sujeitas às mesmas disposições.
No tocante às obrigações dos agentes de tratamento, é atribuído ao fiduciário de dados — que seria equivalente ao controlador de dados — a responsabilização pelo cumprimento de todas as obrigações impostas na legislação, sendo este, inclusive, responsável pelo tratamento de dados realizado pelos operadores de dados. A autoridade indiana de proteção de dados, por sua vez, possui competência para julgar reclamações e penalizar violações de dados, cabendo a atividade de regulamentação do tema de privacidade ao governo da Índia.
Essas, dentre outras, diferenças conceituais e principiológicas causam certa estranheza, pois em muito se afastam do regime europeu de proteção de dados pessoais e do comumente praticado pelas legislações de privacidade. Entretanto, o ponto crucial de diferenciação entre as legislações é a notável pretensão do legislador indiano de equilibrar as disposições de privacidade com a economia digital emergente na Índia. Tal intenção é evidenciada na adoção de diretrizes muito mais permissivas e flexíveis — se comparadas com o GDPR e a LGPD —, principalmente aquelas que possuem relação direta com o desenvolvimento tecnológico do país.
A regulação do fluxo transfronteiriço de dados é um dos pontos em que o DPDPA apresenta grande contraste com as disposições do GDPR e da LGPD. Enquanto a legislação europeia e brasileira exige que as transferências internacionais de dados pessoais sejam realizadas com salvaguardas adicionais, a legislação indiana, atualmente, não especifica medidas adicionais a serem adotadas.
Seguindo essa linha, a DPDPA não impõe a necessidade de observar o nível de adequação dos países envolvidos na transferência de dados, tampouco menciona a necessidade de ser aplicado qualquer mecanismo nesse procedimento, tais como uso de cláusulas-padrão contratuais, destoando do regime comumente estabelecido em outras regulações de privacidade.
Em contrapartida, a legislação estabelece que as transferências internacionais estão sujeitas a restrições setoriais e a outras leis que “proporcionam um maior grau de proteção ou restrição à transferência de dados pessoais”. Em outras palavras significa que as transferências internacionais podem estar sujeitas a restrições específicas do país e de determinado setor. Tal aproximação do instituto da transferência internacional de dados com um grão de curry é um dos pontos positivos da lei.
Dessa forma, embora, por ora, ainda não haja uma lista dos países que terão a transferência internacional de dados restringida, dada a intenção do legislador de impulsionar o papel que a Índia desempenha na economia global, é muito provável que as regulações complementares não imponham restrições rigorosas à transferência internacional de dados, de modo a não bloquear o fluxo internacional de dados do país.
Outra disparidade presente na DPDPA é a inaplicabilidade da legislação sobre os dados manifestamente públicos, desde que tenham sido publicizados: 1) pelo titular dos dados como, por exemplo, opiniões tornadas públicas por uma rede social do titular; ou 2) por outra pessoa sob a obrigação legal de publicar os dados, decorrendo a publicidade do cumprimento de lei. Essa previsão permite que empresas extraiam dados digitais disponíveis publicamente, como em operações de web scrapping, sem que seja necessário observar diretrizes de proteção de dados pessoais.
A flexibilização no tratamento dos dados pessoais manifestamente públicos facilita, por exemplo, o treinamento de modelos de inteligência artificial e algoritmos de decisões automatizadas, que desenvolvem as tecnologias através da análise de grandes volumes de dados publicizados na internet. O incentivo ao desenvolvimento da inteligência artificial na Índia com medidas mais brandas faz parte da estratégia do país de se tornar superpotência dessa tecnologia. Mas não só. A nova tecnologia tem o potencial de contribuir com cerca de 1,4 pontos percentuais no PIB do país.
Em sequência, chama a atenção a decisão do regulamento em autorizar o governo indiano a isentar qualquer categoria de controladores de dados — considerado a natureza e o volume de dados tratados — de cumprir com as obrigações de conformidade da legislação, apontando especificamente que a classe das ‘’startups’’ pode ser uma daquelas em que os negócios poderiam ser isentos de cumprimento de certas disposições. Atualmente, a Índia é o segundo país com maior número de startups no mundo e, certamente, a concessão desse benefício auxilia na manutenção do território como uma alternativa atraente em escala global para o desenvolvimento de empresas.
No entanto, vale mencionar que, apesar de incomum em legislações de privacidade, o tratamento diferenciado e a redução da carga regulatória para empresas de pequeno porte — inclusive startups — não é uma inovação da legislação indiana. No Brasil, essa medida também foi praticada através da Resolução CD/ANPD nº 2 da Autoridade Nacional de Proteção de Dados que, visando facilitar a atuação destas empresas e estimular a inovação no país, permitiu a flexibilização do cumprimento de obrigações e a adoção de procedimentos simplificados para estes agentes de tratamento.
Comparando com as demais leis de privacidade, é evidente que a DPDPA apresenta flexibilizações que podem mitigar a garantia da privacidade individual dos titulares de dados. Essa postura pode levantar questionamentos acerca de sua efetividade, já que o objetivo principal de uma lei de proteção de dados é, justamente, resguardar o direito à privacidade dos indivíduos, sendo, portanto, questionável o fato de o viés econômico se sobrepor a tais garantias em determinados temas.
No entanto, essa perspectiva econômica guarda relação estreita com a garantia à privacidade, inclusive, na legislação nacional, que preceitua em seu artigo 2º, V, que o desenvolvimento econômico e tecnológico e a inovação são fundamentos da LGPD. Evidentemente, tais fundamentos dialogam umbilicalmente com o progresso de uma sociedade, à medida que a sociedade que consegue ter a abertura necessária para manipular dados, inovar e gerar novos modelos de negócios, produtos e serviços, automaticamente provoca o desenvolvimento e alavanca a economia. Dessa forma, o desenvolvimento econômico e o direito à privacidade caminham juntos, sendo, assim, ambos cruciais para uma estratégia de progresso na era digital.
Deve-se destacar, ademais, que a DPDPA atual não pode ser vista como o ponto final da jornada. A legislação ainda está sujeita a novas regulamentações, que serão importantes, se não determinantes, sobre como as principais disposições da DPDPA ganham vida em uma perspectiva operacional. É evidente que a lei marca uma abordagem distinta para a proteção de dados pessoais, na medida em que tenta regular de forma mais prática e atenta ao contexto cultural do país em relação às tecnologias emergentes. O que se espera dos atos futuros, é que estabeleçam uma estrutura capaz de equilibrar o direito à garantia da privacidade individual com os benefícios ao setor de tecnologia da Índia, sem perder de vista o principal objetivo das legislações de privacidade.
Embora influenciada por modelos internacionais, a lei mantém sua identidade. Nesse sentido, acompanharemos atenta e curiosamente os próximos passos de mais um exemplo da irreverência indiana, certos de que a legislação representará um grande avanço ao desenvolvimento da tecnologia. Se for bem-sucedida em aparar suas arestas, representará também uma grande conquista, digna do Oscar — hoje, reservado para as superproduções regulatórias do bloco europeu.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login