A regulamentação de segurança cibernética finalmente chegou às Ilhas Cayman e a vida está prestes a se tornar tudo, menos uma linda praia caribenha para empresas que precisarão cumprir a nova Lei de Proteção de Dados (LDPL).
De grande semelhança com a legislação europeia, o GDPR (General Data Protection Regulation) e a brasileira LGPD (Lei Geral de Proteção de Dados), a “Cayman’s Data Protection Law” regula as relações das empresas com os dados pessoais de seus clientes, bem como de seus funcionários (lembrando que a lei estabelece que os dados pessoais devem ser relacionados a uma pessoa natural viva ou dados dos quais a identidade dessa pessoa é conhecida ou identificável).
Abrangência da nova lei
A DPL regulará o processamento de todos os dados pessoais nas Ilhas Cayman. Elaborada em torno de um conjunto de princípios de privacidade reconhecidos internacionalmente, a nova lei que entrou em vigor em setembro de 2019 fornece uma estrutura de direitos e deveres projetados para dar às pessoas maior controle sobre seus dados pessoais e permanecerá como a lei de proteção de dados mais abrangente das Ilhas Cayman.
A DPL também se assemelha muito à LGPD, de forma que os dados pessoais devem ser processados de forma justa e de acordo com o ordenamento jurídico, devendo ser utilizados para uma finalidade legítima que tenha sido previamente notificada ao titular destes dados (de forma transparente).
Além disso, os dados pessoais só devem ser coletados se tiver algum propósito e devem ser eliminados com segurança quando esses propósitos forem cumpridos.
A DPL determina que se estes dados forem utilizados para novas finalidades, esse procedimento somente poderá acontecer se um novo consentimento for obtido (caso seja para “propósitos semelhantes” a lei não obriga um novo consentimento).
Vale a pena notar que existem requisitos adicionais, mais onerosos, para que um controlador de dados possa processar dados pessoais sensíveis. Refere-se a dados pessoais que consistem em: origem racial ou étnica, opiniões políticas, crenças religiosas ou outras semelhantes, filiação sindical, dados genéticos, condições de saúde física ou mental, informações sexuais e dados médicos.
Os titulares dos dados também devem ser informados de quaisquer países ou territórios fora das Ilhas Cayman para os quais seus dados pessoais podem ser transferidos (do mesmo modo que dispõe o artigo 33, inciso VIII da LGPD sobre Transferência Internacional).
Assim como a legislação brasileira, a DLP concede aos indivíduos o direito de acessar dados pessoais mantidos sobre eles e solicitar que quaisquer dados imprecisos sejam corrigidos, retificados ou excluídos (a DPL contém o “direito ao esquecimento” que se aplica quando um titular deseja ver seus dados serem deletados imediatamente).
Ou seja, os direitos dos titulares tanto na “Cayman’s Data Protection Law” quanto na LGPD são abrangentes e precisos para oferecer maior segurança aos titulares.
Outro fato interessante sobre a nova Lei é que ela determina a “minimização de dados”, que significa dizer que as empresas devem coletar os dados mínimos necessários para aquele fim específico.
A importância do programa de compliance de proteção de dados e as Ilhas Cayman
O ponto chave da DPL também é a implementação de um programa de compliance de proteção de dados capaz de criar dentro de uma empresa um regime de governança eficaz para aprovar, supervisionar, implementar e revisar as várias políticas existentes.
Essa cadeia de comandos deve vir da alta gestão para os diversos setores da companhia, incluindo o desenvolvimento de procedimentos internos, como relatórios e protocolos capazes de identificar possíveis “gaps” da organização e a medida para saná-los.
Assim como no Brasil a lei prevê a criação da Autoridade Nacional de Dados que será incumbida de fiscalizar e multar, caso necessário, as empresas que não estiverem de acordo com a LGPD, na lei das Ilhas Cayman há a previsão da instituição do “Office of the Ombudsman”, que desempenha papel semelhante ao da ANPD.
Punições incluem pena de prisão por até 5 anos
O descumprimento de ordens emitidas pelo Ombudsman pode resultar em multas de até Cl$100,000 (US$ 125,000) e prisão por um período de até 5 anos ou ambos (as violações da LGPD não são consideradas como crime, de modo que não há pena de restrição de liberdade, apenas punição pecuniária).
Outras penalidades monetárias de até Cl$250,000 (US$ 312,500) também são possíveis sob a lei.
Quadro comparativo
Analisando a GDPR, a “Cayman’s Data Protection Law” e a LGPD, podemos observar algumas divergências:
ASSUNTO | GDPR | DPL | LGPD |
Marketing direto | O responsável pelo tratamento deve informar os indivíduos de seu direito de se opor “no momento da primeira comunicação”. | Não existe esse requisito, mas o indivíduo tem o direito de, a qualquer momento, exigir que um Controlador de dados pare de processar seus Dados Pessoais para fins de marketing direto. | O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. |
Consentimento | Para que qualquer consentimento seja válido, é preciso que seja óbvio para o titular dos dados para que seus dados serão usados no momento da coleta de dados e o controlador precisa ser capaz de mostrar claramente como o consentimento foi obtido e quando foi obtido. | O consentimento pode ser implícito a partir das ações do titular dos dados. | O consentimento na LGPD é uma das hipóteses para o tratamento de dados pessoais do titular. É importante destacar que o tratamento só pode ocorrer se cumprir um dos requisitos previstos no art. 7º da Lei. |
Tratamento de processadores de dados | Estabelece requisitos mais detalhados que se aplicam ao relacionamento controlador/processador e também torna os processadores de dados sujeitos a regulamentação, além de proibir os processadores de dados de processar dados pessoais, exceto se as instruções vierem do controlador de dados. O GDPR também estende as obrigações de segurança de dados aos processadores de dados. | Afirma que se deve exigir que o processador de dados nivele suas políticas e procedimentos para lidar com dados pessoais para garantir a conformidade com a DPL. O uso de subcontratados pelo provedor de serviços deve ser proibido sem a aprovação prévia do controlador. | O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. |
Nomeação de um responsável pela proteção de dados | Estabelece que a nomeação de um DPO será obrigatória apenas quando o controlador de dados for uma autoridade pública ou as atividades principais do controlador de dados consistiram em operações de processamento que requerem: (i) monitoramento regular e sistemático dos titulares de dados em larga escala; ou (ii) processamento em larga escala de dados pessoais sensíveis. | Não exige a nomeação de um oficial de proteção de dados (DPO) dentro de uma organização. | A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. |
Multas e penalidades | Prevê dois níveis de sanções, com multas máximas de até 20 milhões de euros ou 4% do faturamento anual. | O responsável pelo tratamento é responsável por uma multa de até Cl$100,000 (US$ 125,000) ou prisão por um período de 5 anos ou ambos. Ordens de penalidade monetária no valor de até Cl$250,000 (US$ 312,500) também podem ser emitidas contra um controlador de dados sob a DPL. | Os agentes de tratamento de dados, em razão das infrações cometidas ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração. |
Quem será impactado pela nova lei na Ilhas Cayman
A lei se aplica aos controladores de dados (empresas que decidem por que e como os dados são processados) e processadores de dados (aqueles que de fato fazem o processamento) estabelecidos nas Ilhas Cayman ou em outros locais, mas que de alguma forma processam dados pessoais no país.
As empresas com clientes ou investidores de Cayman devem considerar a atualização de suas políticas e procedimentos para se alinharem com a DPL. Por exemplo, a DPL não define período fixo de retenção de dados, os controladores de dados decidiram por si mesmos qual é o período mais adequado, dependendo da natureza do titular dos dados e da necessidade.
Ademais, as empresas devem cumprir a DPL se for um controlador de dados que é uma empresa ou parceria nas Ilhas Cayman, uma empresa estrangeira registrada nas Ilhas Cayman ou uma empresa que opera nas Ilhas Cayman que processa dados pessoais no contexto de sua criação nas Ilhas Cayman.
O indivíduo ao qual os dados pessoais estão relacionados não precisa estar nas Ilhas Cayman ou ser cidadão das Ilhas Cayman. Porém, se você é um controlador de dados que processa dados pessoais nas Ilhas Cayman, independentemente de onde esteja estabelecido, também deve cumprir a DPL e nomear um representante local.