Voltar ao site principal
Voltar ao site principal

      Proteção de dados

      Módulo 4: Privacidade e Proteção de Dados

      A proteção de dados é uma das principais formas de efetivar o direito à privacidade. Pelo menos 36 estados africanos já promulgaram leis de proteção de dados, e outros estão em processo de fazê-lo.1Além de dar efetividade ao direito à privacidade, a legislação de proteção de dados também facilita o comércio entre os Estados, visto que muitas leis de proteção de dados restringem as transferências transfronteiriças de dados em circunstâncias nas quais o Estado que recebe as informações não oferece um nível adequado de proteção de dados. Em uma perspectiva mais positiva, as leis de proteção de dados permitem a transferência regulamentada de informações pessoais através das fronteiras, desde que ambas as jurisdições tenham implementado leis e procedimentos adequados de proteção de dados para resguardar os direitos dos titulares dos dados.

      Princípios fundamentais de proteção de dados

      As leis de proteção de dados visam proteger e salvaguardar o tratamento de informações pessoais (também chamadas de dados pessoais). Informações pessoais são geralmente definidas como qualquer informação relativa a uma pessoa singular identificada ou identificável — ou seja, o titular dos dados — que permita a sua identificação, direta ou indireta, em particular por referência a um número de identificação ou a um ou mais fatores específicos da sua identidade física, fisiológica, mental, económica, cultural ou social. O responsável pelo tratamento de dados, também designado por entidade responsável, pode ser uma entidade pública ou privada e é a pessoa singular ou coletiva responsável pelo tratamento dos dados pessoais do titular.

      Princípios fundamentais de proteção de dados

      As leis de proteção de dados mais abrangentes da África preveem um conjunto fundamental de princípios que podem ser resumidos da seguinte forma:2)

      • As informações pessoais devem ser tratadas de forma justa e legal e não devem ser processadas a menos que as condições estipuladas sejam atendidas.
      • As informações pessoais devem ser obtidas para uma finalidade específica (ou finalidades) e não devem ser processadas posteriormente de forma incompatível com essa finalidade.
      • Os dados pessoais devem ser adequados, pertinentes e não excessivos em relação à finalidade (ou finalidades) para as quais foram coletados.
      • As informações pessoais devem ser precisas e, quando necessário, mantidas atualizadas.
      • As informações pessoais não devem ser mantidas por mais tempo do que o necessário para a finalidade pretendida.
      • As informações pessoais devem ser tratadas de acordo com os direitos dos titulares dos dados previstos na legislação de proteção de dados.
      • O responsável pelo tratamento dos dados deve tomar as medidas técnicas e organizacionais adequadas contra o tratamento não autorizado ou ilícito de dados pessoais e contra a perda, destruição ou dano acidental dos dados pessoais.
      • Os dados pessoais não devem ser transferidos para outro país que não garanta um nível adequado de proteção aos direitos e liberdades dos titulares dos dados.

      Além disso, a maioria das leis de proteção de dados estabelece um órgão regulador para monitorar e fazer cumprir as disposições da lei: esse tipo de órgão regulador é frequentemente chamado de autoridade de proteção de dados (APD).

      Normas de direito internacional

      O Relator Especial das Nações Unidas sobre o Direito à Privacidade publicou um relatório em 2022 que oferece uma análise aprofundada dos princípios da legalidade, legitimidade, consentimento, transparência, finalidade, equidade, proporcionalidade, minimização, qualidade, responsabilidade e segurança no contexto da legislação de proteção de dados, servindo como um guia fundamental para o desenvolvimento e a harmonização das regulamentações de proteção de dados em todo o mundo.3)

      Em relação à proteção de informações pessoais, o Comentário Geral nº 16 sobre o Artigo 17 do Pacto Internacional dos Direitos Civis e Políticos (Comentário Geral nº 16) dispõe o seguinte:(4)

      “A coleta e o armazenamento de informações pessoais em computadores, bancos de dados e outros dispositivos, seja por autoridades públicas, indivíduos ou entidades privadas, devem ser regulamentados por lei. Os Estados devem tomar medidas eficazes para garantir que as informações relativas à vida privada de uma pessoa não cheguem às mãos de pessoas não autorizadas por lei a recebê-las, processá-las e utilizá-las, e que nunca sejam utilizadas para fins incompatíveis com o Pacto. Para garantir a máxima proteção da sua vida privada, todo indivíduo deve ter o direito de verificar, de forma inteligível, se, e em caso afirmativo, quais dados pessoais estão armazenados em arquivos automatizados e para quais fins. Todo indivíduo deve também poder verificar quais autoridades públicas, indivíduos ou entidades privadas controlam ou podem controlar seus arquivos. Se esses arquivos contiverem dados pessoais incorretos ou tiverem sido coletados ou processados ​​em desacordo com as disposições da lei, todo indivíduo deve ter o direito de solicitar a sua retificação ou eliminação.”

      Em 2023, em resposta à coleta rápida e generalizada de informações pessoais, supostamente para combater a pandemia de COVID-19 entre 2020 e 2022, o Representante Especial da ONU sobre Privacidade publicou um relatório detalhando a implementação dos princípios de limitação de finalidade, exclusão de dados e responsabilização demonstrada ou proativa no tratamento de dados pessoais coletados por entidades públicas no contexto da pandemia.5)

      Normas de direito regional

      Existem diversos instrumentos regionais africanos que tratam da proteção de dados:

      • Convenção da União Africana (UA) sobre Segurança Cibernética e Proteção de Dados Pessoais de 2014(6) (o Convenção de MalaboEste instrumento, destinado a nível continental, inclui disposições relativas à proteção de dados, transações eletrónicas, cibercrimes e cibersegurança. As disposições relativas à proteção de dados constam do Capítulo II e contêm as condições para o tratamento lícito de informações pessoais, bem como os direitos conferidos aos titulares dos dados. Após finalmente receber a ratificação do 15.º Estado necessário, a Convenção de Malabo entrou em vigor em 2023.7)
      • Quadro Jurídico da EAC para Leis Cibernéticas 2008(8) (Quadro Jurídico da EACEste instrumento abrange tópicos relacionados à proteção de dados, comércio eletrônico, segurança de dados e proteção do consumidor. Não se destina a ser uma lei modelo, mas sim a fornecer orientações e recomendações aos Estados para subsidiar o desenvolvimento de suas leis. A proteção de dados é abordada brevemente no parágrafo 2.5 do Quadro Jurídico da EAC, como parte da Fase I, adotada pelo Conselho de Ministros da EAC em 2010.9)
      • Lei Suplementar sobre a Proteção de Dados Pessoais na CEDEAO 2010(10) (Ato Suplementar da CEDEAOEste instrumento foi concebido para ser transposto diretamente para o contexto nacional dos Estados da África Ocidental e estabelece detalhadamente as condições para o tratamento lícito de dados pessoais e os direitos dos titulares dos dados. É importante salientar que também é juridicamente vinculativo para os Estados da CEDEAO. A CEDEAO também adotou o Diretiva sobre o Combate ao Cibercrime Em 2011, num esforço para harmonizar a legislação dos Estados-Membros em matéria de cibercrime.
      • Lei Modelo de Proteção de Dados da SADC de 2013(11) (Lei Modelo da SADCEsta é uma lei modelo que pode ser adaptada aos contextos nacionais dos estados da África Austral. Ela busca assegurar a harmonização das políticas de tecnologias da informação e comunicação (TIC) e reconhece que os avanços nas TIC impactam a proteção de dados pessoais, inclusive em atividades governamentais e comerciais. A lei também aborda a denúncia de irregularidades, prevendo que a autoridade de proteção de dados deve estabelecer regras para reger o sistema de denúncias que preservem os princípios da proteção de dados, incluindo os princípios da imparcialidade, legalidade, especificação da finalidade, proporcionalidade e transparência.

      Além de garantir o direito à privacidade, as leis de proteção de dados também costumam facilitar o direito de acesso à informação, permitindo que os titulares dos dados solicitem e tenham acesso às informações que o controlador possui sobre eles. Esse mecanismo permite que os titulares dos dados verifiquem se suas informações pessoais estão sendo processadas em conformidade com as leis de proteção de dados aplicáveis ​​e se seus direitos estão sendo respeitados.

      Mapeando o estado da proteção de dados na África.

      Dada a importância da legislação de proteção de dados na proteção do direito à privacidade na era digital, bem como a rápida evolução da legislação e regulamentação nesta área, pode ser difícil manter-se atualizado sobre o estado da proteção de dados em África. Proteção de Dados na África É um recurso online aberto que visa fornecer uma análise detalhada da governança da proteção de dados em todo o continente, mapeando e analisando a legislação vigente nos 55 Estados-membros da União Africana. Em fevereiro de 2024, o recurso indicava que 36 dos 55 Estados reconhecidos pela UA haviam aprovado legislação de proteção de dados, com três projetos de lei também em análise.

      Desafios emergentes para a proteção de dados

      Com a aprovação de leis de proteção de dados em mais países do continente, os riscos e desafios de regulamentar e proteger a privacidade na era digital também se tornaram mais complexos. Muitos países, principalmente os da África Ocidental, aprovaram suas leis há algum tempo.12levantando preocupações de que elas possam não ser mais adequadas aos desafios da era moderna. Na África do Sul, por exemplo, a Lei de Proteção de Informações Pessoais foi aprovada em 2013, mas só entrou em vigor em julho de 2020, com um período adicional de tolerância para o cumprimento integral. Isso gerou preocupações entre os críticos de que a lei já precise de emendas para se manter atualizada com novas questões, como a IA (Inteligência Artificial).13)

      Além disso, os desafios de aplicação dessas novas leis de proteção de dados tornaram-se cada vez mais evidentes. Por exemplo, pesquisas constataram que as leis de 14 países preveem que a autoridade de proteção de dados seja estabelecida dentro de outro órgão público, como um ministério do governo, ou receba instruções deste, o que levanta questões sobre a independência regulatória.14Constatou-se que 11 países não possuíam proteções adequadas para impedir a remoção indevida de membros da Autoridade por motivos políticos ou outros.15)

      Desafios da aplicação da lei: um exemplo do Quênia

      Muitas autoridades de proteção de dados em todo o continente têm tido dificuldades em responsabilizar de forma significativa os infratores da legislação de proteção de dados, particularmente as poderosas corporações multinacionais.  

      Por exemplo, em 2023, a Tools for Humanity lançou um projeto piloto com uma nova criptomoeda chamada Worldcoin, que pagava às pessoas uma pequena quantia em criptomoeda para que seus dados biométricos fossem coletados, resultando em milhares de participantes aproveitando a oportunidade.16) com pouquíssimas informações sobre como os dados seriam usados. Em maio, Do Quênia O Gabinete do Comissário para a Proteção de Dados (OPDC) ordenou à empresa que interrompesse o processamento,(17Uma ordem que, segundo relatos, foi ignorada. A empresa só interrompeu a coleta de dados quando, em agosto, o Ministério do Interior ordenou a suspensão das operações da Worldcoin no país, alegando preocupações com a proteção de dados.18A OPDC posteriormente iniciou um processo judicial contra a Tools for Humanity no Tribunal Superior.19)  

      Isso demonstra os desafios que as autoridades de proteção de dados enfrentam para responsabilizar essas poderosas empresas internacionais.

      Outro obstáculo ao avanço da proteção de dados no continente é o escopo limitado das leis de proteção de dados, muitas das quais contêm amplas isenções relacionadas à segurança nacional ou ao setor privado, o que compromete sua eficácia. Nesse sentido, é importante destacar também o histórico de abusos das justificativas de segurança nacional no continente, conforme detalhado em Módulo 9 desta série.

      Baixar módulo

      Notas de rodapé

      1. Consulte https://dataprotection.africa/ para obter mais informações. Voltar
      2. Escritório do Comissário de Informação, 'Um guia para os princípios de proteção de dados' (acessível em https://ico.org.uk/for-organisations/guide-to-data-protection/data-protection-principles/). Voltar
      3. Representante Especial da ONU sobre Privacidade, 'Promoção e proteção dos direitos humanos: questões de direitos humanos, incluindo abordagens alternativas para melhorar o gozo efetivo dos direitos humanos e das liberdades fundamentais' (2022) (acessível em https://documents.un.org/doc/undoc/gen/n22/594/48/pdf/n2259448.pdf?token=u1h0GXrW9xSVX7VFHW&fe=true). Voltar
      4. ACNUDH, 'Comentário Geral do CCPR nº 16: Artigo 17 (Direito à Privacidade)' (1988) (acessível em https://www.refworld.org/legal/general/hrc/1988/en/27539) no parágrafo 10. Voltar
      5. Relatório do Relator Especial da ONU sobre Privacidade, 'A/HRC/52/37: Implementação dos princípios da limitação da finalidade, eliminação de dados e responsabilização demonstrada ou proativa no tratamento de dados pessoais recolhidos por entidades públicas no contexto da pandemia de COVID-19 – Relatório do Relator Especial sobre o direito à privacidade' (2023) (acessível em https://www.ohchr.org/en/documents/thematic-reports/ahrc5237-implementation-principles-purpose-limitation-deletion-data-and). Voltar
      6. UA, 'Convenção da União Africana sobre Segurança Cibernética e Proteção de Dados Pessoais' (2014) (acessível em https://au.int/sites/default/files/treaties/29560-treaty-0048_-_african_union_convention_on_cyber_security_and_personal_data_protection_e.pdf). Voltar
      7. ALT Advisory, 'África: Convenção de Malabo da UA deve entrar em vigor após nove anos' (2023) (acessível em https://altadvisory.africa/2023/05/19/malabo-convention-set-to-enter-force/). Voltar
      8. EAC, 'EAC Legal Framework for Cyberlaws' (20228) (acessível em http://repository.eac.int:8080/bitstream/handle/11671/1815/EAC Framework for Cyberlaws.pdf?sequence=1&isAllowed=y). Voltar
      9. UNCTAD, 'Harmonizando leis e regulamentos cibernéticos: a experiência da Comunidade da África Oriental' (2012) (acessível em https://au.int/sites/default/files/newsevents/workingdocuments/27223-wd-harmonizing_cyberlaws_regulations_the_experience_of_eac1.pdf). Voltar
      10. CEDEAO, 'Ato Suplementar A/SA.1/01/10 sobre a Proteção de Dados Pessoais na CEDEAO' (2010) (acessível em http://www.statewatch.org/news/2013/mar/ecowas-dp-act.pdf). Voltar
      11. HIPSSA, 'Proteção de Dados: Lei Modelo da SADC' (2013) (acessível em https://www.itu.int/en/ITU-D/Projects/ITU-EC-ACP/HIPSSA/Documents/FINAL DOCUMENTS/FINAL DOCS ENGLISH/sadc_model_law_data_protection.pdf). Voltar
      12. Data Protection Africa, 'Standing Alone: ​​The Independence of African Data Protection Authorities' (2024) (acessível em https://dataprotection.africa/standing-alone-the-independence-of-african-data-protection-authorities/). Voltar
      13. IT Web, 'Os princípios da POPIA devem estar alinhados com a governança da IA, dizem especialistas', (2023) (acessível em https://www.itweb.co.za/article/popia-principles-must-align-with-ai-governance-say-experts/RgeVDvPRrn8MKJN3). Voltar
      14. Veja acima n 17. Voltar
      15. Id. Voltar
      16. Njenga, Schmitz, 'Worldcoin: Milhares de pessoas comparecem ao KICC para terem seus olhos escaneados por Ksh.7k' (2023) (acessível em https://www.citizen.digital/news/worlcoin-thousands-flock-kicc-to-have-eyeballs-scanned-for-ksh7k-n32464 3). Voltar
      17. TechCrunch, 'Worldcoin ignorou ordem inicial para interromper escaneamentos de íris no Quênia, mostram registros' (2023) (acessível em https://techcrunch.com/2023/08/15/worldcoin-in-kenya/?guccounter=1). Voltar
      18. Ministério do Interior do Quênia, 'Declaração sobre a Worldcoin' (2023) (acessível em https://twitter.com/InteriorKE/status/1686709534075629568). Voltar
      19. Veja acima n 22. Voltar