por: João Gonçalves Assunção, Advogado e Jessie Lin, Consultora
Na sequência da implementação do regulamento geral de protecção de dados (RGPD) na Europa, empresas em todo o mundo apressaram-se a implementar as medidas necessárias para ajustar os seus tratamentos de dados à nova regulamentação.
O RGPD aplica-se ao tratamento de dados pessoais, mesmo quando o responsável pelo tratamento ou o subcontratante se encontrem localizados em Macau, e quando o tratamento desses dados pessoais esteja relacionado com a oferta de bens ou serviços aos titulares dos dados localizados na União Europeia (UE), independentemente de ser necessário um pagamento, ou com a monitorização do comportamento de indivíduos na UE.
Portanto, ainda que uma empresa esteja sediada em Macau ou na China Continental e não tenha representação legal ou estabelecimento na UE, pode estar sujeita ao RGPD, caso processe dados pessoais nos termos acima descritos.
Na China Continental, a Lei da Segurança de Dados, recentemente aprovada no passado dia 10 de Junho, inclui uma definição de dados muito abrangente e terá um impacto em todos os sectores, nomeadamente operadores de redes sociais e plataformas de comércio eletrónico e, em geral, qualquer negócio que lide com o processamento de grandes quantidades de dados pessoais. Entre outras disposições, a Lei da Segurança de Dados impõe obrigações de implementação de medidas de segurança, avaliação de risco e relatórios de avaliação, especificação de uma pessoa responsável pela segurança de dados e autorização prévia das autoridades competentes na China antes de qualquer transferência de dados para outras jurisdições. As potenciais sanções variam consoante as regras infringidas, mas em circunstâncias graves, tais como o desvio de dados essenciais do Estado ou a ameaça à soberania nacional, podem ser aplicadas coimas até 10 milhões de yuan e o infractor pode ver revogada ou suspensa a licença para exercer a sua actividade comercial.
No que se refere especificamente à protecção de dados pessoais, a especificação de segurança da informação pessoal (“personal information security specification”) (a Especificação) aprovada em Maio de 2018, alterada e actualizada em Outubro de 2020 (GB/T 35273-2020) fornece directrizes recomendadas para o tratamento de dados pessoais, mas a sua observância por parte dos responsáveis de tratamento e subcontratantes não é obrigatória.
No entanto, a Especificação constitui um marco e uma importante fonte de informação no que respeita à privacidade dos dados na China, uma vez que é utilizada como:
Paralelamente ao RGPD, a China desenvolveu também um novo enquadramento legal aplicável à protecção de dados pessoais. Em Outubro de 2020, o primeiro projecto de lei da protecção da informação pessoal (vulgarmente conhecida pelas siglas correspondentes à versão inglesa – PIPL) foi divulgado para recolha de opinião pública. Prevê-se que, quando aprovada, esta lei tenha um forte impacto em diversos sectores, particularmente no comércio electrónico e nas empresas digitais.
As sanções propostas no PIPL implicam que as empresas infractoras possam ser sujeitas a multas até RMB1,000,000 e se a violação for considerada “grave”, a multa pode atingir RMB50,000,000 ou 5% das receitas anuais da empresa relativas ao exercício financeiro anterior.
Mas, quando aprovado, poderá o PIPL ser aplicável a uma empresa de Macau ou mesmo a uma empresa sediada na UE ou nos EUA?
Sim, pode! De forma semelhante à “aplicação extraterritorial” das normas previstas no RGPD, se uma empresa processar dados pessoais de indivíduos que se encontrem no território da China para fornecer produtos ou serviços a indivíduos na China ou para analisar e avaliar as actividades de indivíduos na China, o PIPL será aplicável.
O enquadramento legal relativo à protecção de dados pessoais em Macau foi fortemente inspirado na legislação então em vigor na EU, pois a Lei de Protecção de Dados Pessoais em Macau (Lei 8/2005) foi inspirada na lei portuguesa aprovada em 1998, que transpôs a Directiva 95/46/CE da UE.
Com o aumento das preocupações com a privacidade e segurança de dados a nível mundial, o Governo de Macau aprovou uma Lei de Cibersegurança, com o objectivo de proteger a rede de informação e os sistemas informáticos de infraestruturas críticas. Os mesmos motivos levaram também a Autoridade de Protecção de Dados de Macau a tornar-se mais activa em termos de fiscalização de tratamentos de dados pessoais. Por conseguinte, espera-se com grande expectativa que a Lei de Protecção de Dados Pessoais seja actualizada para enfrentar os novos desafios dos actuais e futuros desenvolvimentos tecnológicos.
Para as empresas que operam na China, a Lei de Cibersegurança, Lei da Segurança de Dados juntamente com o PIPL, quando aprovado, constituirá um quadro legal que regulará o tratamento de dados pessoais e as transferências internacionais de dados pessoais e não-pessoais. Para empresas com operações na China e na Europa o pleno cumprimento da GDPR e PIPL apresentará um novo desafio, exigindo a implementação das medidas necessárias para resolver eventuais lacunas nas suas Políticas de Privacidade de Dados e o cumprimento de todos os requisitos legais no que diz respeito ao processamento de dados pessoais.
Considerando as disposições legais relativas à privacidade desde a concepção e por defeito (privacy by design and privacy by default), os diferentes enquadramentos jurídicos aplicáveis à cibersegurança, comércio electrónico, privacidade e a tendência actual de alargamento do âmbito territorial pelas diferentes leis nacionais, as empresas envolvidas no desenvolvimento de aplicações, venda de produtos e prestação de serviços através de meios electrónicos e, em geral, todos os controladores e processadores de dados devem estar cientes das suas obrigações legais, actuais e futuras, no que diz respeito ao tratamento de dados pessoais.
Contacte-nos
