Assim como a maioria das nações civilizadas do mundo, a Índia e seus 1,3 bilhões de habitantes correm em busca de uma lei nacional que consolide os direitos e deveres dos usuários e das empresas que habitam a Internet. Por lá, tramita desde 2019 a PDP Law (Personal Data Protection), ainda em fase de implementação e regulamentação.
Nesse ínterim, cerca de 4,5 milhões de clientes da Air India, do mundo todo, tiveram seus dados roubados, entre nomes, números de cartão de crédito e dados de passaporte. O anúncio, feito pela própria companhia, foi em meados de maio, sobre um episódio de fevereiro de 2021.
Em nota, a Air India informou que entrou em contato com as agências reguladoras, que está investigando o caso e melhorando a infraestrutura de segurança de seus sistemas, além de ter notificado emissoras de cartões de crédito e de estar redefinindo senhas de seus programas. O vazamento também afetou os clientes de outras empresas de aviação, membros do grupo Star Alliance, como a Lufthansa, Air New Zealand, Singapore Airlines, Scandinavian Airlines, Cathay Pacific, Jeju Air, Malaysia Airlines e Finnair.
Casos como esse, num ambiente em que as passagens são compradas majoritariamente por meio virtual, mostram que os cuidados com os dados dos usuários precisam ser cada vez mais rigorosos. “As companhias aéreas são responsáveis pela proteção dos dados pessoais dos passageiros, podendo os mesmos pedirem indenização por danos causados. As leis que tratam da proteção de dados, inclusive a nossa Lei Geral de Proteção de Dados (LGPD), por exemplo, estabelece a importância da transparência acerca do compartilhamento dos dados, bem como a necessidade de um eficiente e moderno mecanismo de segurança de informação”, destaca a advogada Thaissa Garcia, especialista em Direito Digital no escritório Albuquerque Melo.
Thaissa ressalta ainda que, embora no caso da Índia uma lei específica sobre a proteção de dados ainda não tenha sido aprovada, mesmo após este direito ter sido elevado à categoria de “direito fundamental”, o regime de proteção de dados possui extraterritorialidade. “Importante destacar que as leis de proteção de dados possuem extraterritorialidade, portanto o tratamento de dados de passageiros estrangeiros e/ou venda de serviços em outros países impõe que as empresas respeitem leis de proteção de dados além da lei local. Quando se trata de companhia aérea, tal situação fica ainda mais evidente”.
Na União Europeia, o Regulamento Geral sobre a Proteção de Dados (RGPD ou GDPR, em inglês), está em vigor desde maio de 2018. A legislação é utilizada como base no mundo todo, mas nem todos os países aderem aos seus requisitos. Segundo informações da United Nations Conference on Trade and Development (UNCTD), organização intergovernamental ligada à ONU, 66% dos países no mundo possuem legislação relacionada a proteção de dados e privacidade nas redes; 10% possuem legislação em elaboração ou em tramitação; 19% não possuem nenhuma legislação e 10% não disponibilizam dados relacionados ao tema.
Aprovada em agosto de 2018, a LGPD está vigente no Brasil desde setembro do ano passado e, a partir de 1° de agosto de 2021, a Agência Nacional de Proteção de Dados (ANPD) poderá aplicar sanções, investigar e aplicar notificações e/ou multas. “As penalidades vão desde advertência à suspensão e até mesmo proibição do tratamento de dados e multas que podem chegar a 2% do faturamento líquido, limitada a R$ 50 milhões”, ressalta a advogada.
Dicas para as empresas se adequarem à LGPD:
– Realizar mapeamento do ciclo de vida dos dados pessoais (fluxos de coleta, manipulação, armazenamento e compartilhamento);
– Promover análise dos riscos, além de manter um programa efetivo de privacidade;
– Analisar, elaborar e revisar documentos, como políticas e avisos de privacidade, contratos, anexos contratuais, termos de uso e demais instrumentos;
– Promover treinamentos e divulgação das ações de privacidade e compliance;
– Comunicar, em caso de risco ou dano relevante, tanto a Agência Nacional de Proteção de Dados como titulares de dados.
