Escolar Documentos
Profissional Documentos
Cultura Documentos
Página 1 de 14
1. Introdução
A proteção de dados pessoais é um mecanismo jurídico usualmente definido como o
direito do cidadão de controlar as suas próprias informações e decidir sobre elas1.
A partir disso, é importante ressaltar que o debate sobre uma efetiva tutela à proteção de
dados pessoais ocorre em um cenário internacional bastante conflituoso. Mesmo que alguns
países sejam conscientes de que a proteção de dados pessoais é um direito fundamental
autônomo, a exemplo do que consta na Carta de Direitos Fundamentais da Comunidade
Europeia, ainda assim, é difícil equilibrar a balança de interesses que vão desde o respeito da
presunção geral desse direito, a questões como interesses de mercado e exigências estatais no
âmbito da segurança interna e internacional2.
Por essa razão, novos textos normativos vêm sendo criados e debatidos para acompanhar
as exigências de proteção da privacidade na guarda das informações pessoais tratadas por
sistemas de informação.
Assim, é importante destacar a existência de uma dimensão internacional na disciplina de
proteção de dados pessoais, não apenas para se ter uma perspectiva global da matéria, mas
porque uma normativa que trate do assunto deve incluir em seu escopo o fato de ser permeável
a influências externas de outras jurisdições, tendo em vista que a eficácia de uma lei de proteção
de dados pessoais é diretamente proporcional a como se dá o processo de harmonização deste
instrumento diante das legislações que tratam do tema.
Em maio de 2018, o mundo presenciou a entrada em vigor do Regulamento Geral de
Proteção de Dados Pessoais da União Europeia (RGPD). Tido como um dos mais importantes
marcos regulatórios sobre o tema, impactou de forma expressiva a sociedade e o mercado de
dados3, o que acabou influenciando fortemente a discussão e a criação de legislações
semelhantes em outros países.
Logo após, em agosto de 2018, levando em consideração o trabalho e esforço político de
vários setores da sociedade4, o Presidente da República do Brasil sancionou a Lei Brasileira de
Proteção de Dados Pessoais (LGPD).
Dessa forma, diante do cenário apontado, o presente trabalho desenvolve uma leitura
comparada entre o RGPD e a LGPD no tocante ao capítulo referente à transferência
internacional de dados, identificando diferenças e semelhanças, bem como, o comportamento
de tais instrumentos normativos diante dos desafios, no âmbito internacional, para a promoção
da segurança jurídica no campo da proteção de dados pessoais.
O estudo será dividido em duas etapas. Em um primeiro momento, para a determinação
do presente trabalho, será abordado o tema da dimensão internacional da proteção de dados
pessoais, onde será construído um inventário de elementos e princípios que vem instruindo o
debate sobre a regulação dos fluxos internacionais de dados pessoais.
1
KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê Gestor da
Internet, 2016. p. 82.
2
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. MORAES, Maria
Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008. p. 12.
3 Disponível em: [https://www.forbes.com/sites/chrisdenhart/2018/05/25/new-european-union-
data-law-gdpr-impacts-are-felt-by-largest-companies-google-facebook/#749d68084d36]. Acesso
em: 25.12.2018.
4 Disponível em:
[http://www.diariodepernambuco.com.br/app/noticia/politica/2018/08/17/interna_politica,760335/san
cionada-a-lei-de-protecao-de-dados-pessoais-mas-com-vetos-o-que-s.shtml]. Acesso em:
15.12.2018.
Página 2 de 14
Na sequência, será apresentada uma breve introdução ao Regulamento Europeu de
Proteção de Dados Pessoais, bem como à Lei Brasileira de Proteção de Dados Pessoais, para,
após isso, estruturar um panorama lógico sobre as diferenças e semelhanças na adjetivação da
transferência internacional de dados pessoais em seus respectivos dispositivos.
5 MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global
Institute. Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.
6 BYGRAVE, Lee. Approaching Its Rationale: Logic and Limits. Kluwer Law International, 2002.
p. 79.
Página 3 de 14
Figura 1 – Relação dos países com as leis de proteção de dados pessoais7
Fontes: BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN. 4 set. 2018.
Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.
Dessa forma, a análise de uma proteção adequada aos dados pessoais perpassa,
naturalmente8, pela construção de um contexto global onde instrumentos normativos tratam a
matéria de forma harmônica, respeitando critérios que vão desde a proteção dos dados pessoais
dos indivíduos, até a conservação de um ambiente que preze a criação, desenvolvimento e
inovação dos diversos setores da economia.
O resultado, na esfera internacional, é possível de se observar na criação de princípios a
serem seguidos por determinados blocos econômicos de países. Estes são responsáveis por
traçar caminhos para que seus membros desenvolvam níveis adequados de proteção de dados,
diante dos desafios do fluxo internacional de informações. Como exemplo, podem ser citadas
as diretrizes documentadas pela Organização para Cooperação e Desenvolvimento Econômico
– OCDE9 e o Privacy Framework da Cooperação Econômica Ásia-Pacífico – APEC10.
Por outro lado, a complexidade da matéria não se apresenta apenas na multiplicidade dos
documentos que procuram estabelecer diretrizes ou leis domésticas de países que buscam
proteger os dados dos seus cidadãos nas transferências de dados a países terceiros, mas também
na própria definição ou conjunto de situações que envolvem processos de transferência de
dados. Nesse aspecto, é importante destacar a tabela abaixo desenvolvida por Dan Jerker
7 BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN,
4 set. 2018. Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.
8 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.
p. 312.
9
Disponível em:
[http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflow
sofpersonaldata.htm].
10
OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução
nossa. Acesso em: 10.09.2018.
Página 4 de 14
Svantesson11, que procura demonstrar o rol numeroso e complexo de tipos de transferência de
dados que ocorrem diariamente:
11
OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.
OECD. Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.
12
SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data
Privacy Law, 2011.Tradução nossa. p. 182.
Página 5 de 14
Transferência internacional de dados em (1) Adam coloca informações sobre o
Comunicações pessoais não intencionais estado atual da saúde de Cecilia em um site.
13 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data
Privacy Law, 2011. p. 182.
Página 6 de 14
2.1.1. O componente autorregulatório
No trato de questões relacionadas à transferência internacional de dados, o componente
autorregulatório pode ser percebido pela observação do modelo norte-americano.
Assim, tal componente é constituído quando associações comerciais ou conglomerados
empresariais estabelecem, entre si, conjuntos de regras relativas à criação de diretrizes sobre
como se dará a administração do ciclo de vida dos dados, o que inclui a transferência de
informações, coleta, processamento e exclusão14.
Ao tratar do assunto, Rubinstein15 assinala que tal modelo pode ser disposto de três formas
distintas:
1. um grupo de indústrias que emite diretrizes ou um código de conduta que
rege as práticas de privacidade dos membros;
2. aplicação pelo grupo da indústria, ou talvez um mecanismo de resolução
de disputas administrado por um terceiro independente, mas nenhum remédio
legal aplicável (além do poder inerente da FTC de processar as empresas por
práticas comerciais desleais e enganosas, incluindo deturpação de suas Políticas
de privacidade); e
3. regras processuais relacionadas à alteração de diretrizes existentes e
assuntos internos relacionados.
No entanto, tal conjuntura é vista por muitos como um modelo falho16, uma vez que não
tem criado incentivos para a participação adequada da indústria, além de oferecer mecanismos
ineficazes de cumprimento, fiscalização e transparência nos seus processos. É um componente
visto como uma tentativa de evasão à regulação governamental17, apesar de ser incentivado
pelo RGPD e pela LGPD, em alinhamento que seria conduzido pelas autoridades de proteção
de dados.
14 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A journal
of Law and Policy, v. 6, Issue 3, 2010. p. 363.
15 Idem, tradução nossa.
16 Ibidem, p. 357.
17 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A
Página 7 de 14
Por outro lado, afirma que restrições impostas ao fluxo de dados não podem restringir de
forma inadequada a necessidade da sociedade em torno das trocas informacionais.19
19 Idem.
20
OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução
nossa. Acesso em: 10.09.2018.
21 Ibidem, p. 193.
22 Idem.
23 SVANTESSON, Dan Jerker B. Op. cit., p. 193.
24 Idem.
25 SVANTESSON, Dan Jerker B. Op. cit., p. 194.
26 Idem.
Página 8 de 14
indivíduo ou o público em geral, mesmo em casos onde não seja possível obter o
consentimento do titular antes da transferência; (iv) permitir o fluxo de dados quando
a proteção de dados for fornecida no local para o qual os dados são exportados, o
que pode estimular tais atores a desenvolver políticas sólidas de privacidade e
encorajar os exportadores a dar prioridade aos locais de processamento de dados
que protejam tais dados de maneira adequada27.
• Princípio do não abuso: Ao estruturar um framework para a proteção dos fluxos
internacionais de dados, as legislações devem levar em consideração a finalidade do
processamento, o seu contexto, o grau de propagação e as consequências prováveis
que tal fluxo pode ocasionar ao titular dos dados, de forma a avaliar se tais fatos
podem ser constituídos ou não como abuso aos direitos instituídos28.
• Princípio da Responsabilidade: Na regulação dos fluxos de dados
transfronteiriço, a responsabilidade do exportador deve funcionar como uma camada
adicional de proteção para o titular dos dados, não podendo ser encarada como uma
alternativa ao controle transfronteiriço. Da mesma forma, tal princípio deve trabalhar
lado a lado com disposições que levem em consideração o princípio do não abuso29.
Dessa forma, da leitura dos princípios propostos por Svantesson, é possível concluir que
a regulação da transferência internacional de dados deve ser desenvolvida a partir de um viés
tecnologicamente neutro, que leve em consideração que o fluxo de dados só deverá ocorrer a
partir da obediência a requisitos específicos, onde o direito dos indivíduos seja devidamente
respeitado. Além disso, de forma a manter o escopo de proteção, assegurar que o exportador
permaneça em uma posição de responsabilidade e que sejam realizadas avaliações de risco
periódicas para identificar se a transferência de dados pode trazer algum ônus ao titular.
Assim, a partir da apresentação desse guia de componentes e princípios reunidos por
Svantesson, foi possível analisar o arcabouço conceitual impresso nas recentes regras para o
fluxo internacional de dados pessoais.
Desse modo, passaremos a uma breve introdução do Regulamento Geral de Proteção de
Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais do Brasil
(LGDP), para, finalmente, analisar as semelhanças e diferenças entre os dois instrumentos no
tocante ao tema da transferência internacional de dados pessoais.
27 Ibidem, p. 195.
28 Ibidem, p. 196.
29
Ibidem, p. 197.
Página 9 de 14
Diretiva 95/46/CE, cada Estado-Membro da União Europeia necessitava internalizar na sua
legislação doméstica, e isto acabava por suscitar diferentes garantias à proteção de dados nos
países europeus.30
Todavia, mesmo com o advento da revogação, o Regulamento manteve muitos dos
princípios da Diretiva 95/46/CE, a saber: “(3) (...) harmonizar a defesa dos direitos e das
liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados
e assegurar a livre circulação de dados pessoais entre os Estados-Membros”.31
Apesar disso, trouxe consigo um vasto rol de modificações, que se refletiram em
disposições que procuraram lidar com as questões trazidas pelos novos modelos surgidos pelo
advento da economia digital, bem como o desenvolvimento de novas tecnologias e como elas
se relacionam com os indivíduos. O Regulamento pode ser considerado, portanto, um
aperfeiçoamento legislativo no contexto da UE, que já possuía uma ampla cultura e
jurisprudência em privacidade e proteção de dados.
Por outro lado, a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) foi
sancionada no dia 13 de agosto de 2018, pelo Presidente da República do Brasil, e começará a
vigorar após o seu período de vacatio legis, que corresponde ao intervalo de 18 meses após a
sua sanção.
Para tanto, a Lei foi fruto de um processo legislativo introduzido em 2010, por meio de
consulta pública promovida pelo Ministério da Justiça e, por conseguinte, da propositura do PL
5.276/2016, anexado ao PL 4.060/2012, na Câmara dos Deputados que, a posteriori,
transformou-se no PLC 53/2018 aprovado no Senado Federal32.
A LGPD altera a Lei 12.965/2016 (Marco Civil da Internet), estruturando todo um
arcabouço jurídico voltado para a proteção dos dados pessoais dos cidadãos brasileiros. Dentre
as suas disposições, trata de estabelecer regras claras sobre todo o manejo dos dados pessoais
por entidades de todos os setores, além de fomentar o desenvolvimento econômico e a inovação
tecnológica no cenário nacional.33
Tendo em vista que no Brasil o tema da proteção de dados é tratado de forma esparsa na
legislação, o que acontecerá à partir da entrada em vigor da LGPD será a complementação ou
substituição de institutos antigos da jurisdição brasileira que não ofereciam garantias adequadas
aos direitos nela tutelados.
Assim, a estruturação de uma Lei Geral de Proteção de Dados Pessoais no contexto
brasileiro pode ser entendida como um vetor fundamental na promoção da segurança jurídica
nas transações que envolvem dados, uma vez que unifica regras e cria padrões a serem seguidos
na seara da privacidade e proteção de dados pessoais, levando o Brasil a um outro patamar na
matéria de privacidade e proteção de dados, mais adequado ao contexto internacional,
especialmente da OCDE, e mais similar ao da UE.
30
POLIDO, Fabrício Bertini Pasquot; et al. GDPR e suas repercussões no direito brasileiro:
Primeiras impressões de análise comparativa. Instituto de Referência em Internet e Sociedade, 2018.
p. 34.
31 União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de
abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre
a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:
[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.
32 JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota.
Página 10 de 14
4. Comparativo entre a LGPD e o RGPD no tocante ao capítulo da
transferência internacional de dados pessoais
A LGPD e o RGPD são dois instrumentos normativos que possuem escopos similares no
que diz respeito à aplicação do componente do controle transfronteiriço, tendo em vista que,
via de regra e sem necessidade de autorização específica, apenas permitem a ocorrência de
fluxos internacionais de dados pessoais com terceiros que atendam aos requisitos de adequação
vigentes nas suas respectivas normas.
No caso do RGPD, a aprovação de que um país está adequado, tem a ver com a
identificação, por parte da Comissão Europeia, de que o país terceiro protege os direitos dos
titulares dos dados pessoais, tanto no que diz respeito aos direitos humanos e liberdades
fundamentais, como às legislações setoriais e gerais pertinentes. Ademais, o país terceiro deverá
ter em funcionamento uma ou mais autoridades de supervisão independentes, bem como será
levado em consideração os compromissos internacionais assumidos por este.34
Para a LGPD, a aprovação da adequação de um país terceiro passará pelo crivo da
autoridade nacional, que levará em consideração: (i) as normas gerais e setoriais da legislação
em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a
observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos
nesta Lei; (iv) a adoção de medidas de segurança previstas em regulamento; (v) a existência de
garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais.35
No caso de ausência de um nível adequado, um rol de situações é apresentado na LGPD
e no RGPD, de modo a permitir que a transferência de dados aconteça. No fluxograma abaixo
é possível visualizar os critérios necessários para a transferência internacional acontecer quando
da ausência de nível adequado de proteção de dados, bem como as semelhanças e diferenças
entre a LGPD e o RGPD no tocante a esta questão:
Fonte: Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.
34
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p.115.
35
BRASIL. Lei 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.
36
Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.
Página 11 de 14
Na imagem acima pode-se perceber que a LGPD e o RGPD têm muito em comum,
quando tratam da estruturação de diretrizes para a transferência de dados pessoais em casos
onde o país terceiro não possui um nível adequado de proteção de dados. Neste ponto, as leis
apenas divergem em dois momentos, o primeiro diz respeito ao art. 49(1), g) da GDPR, que
prevê a possibilidade de transferência internacional de dados a partir de um registo que se
destine a provar um interesse legítimo, e o segundo está no fato de a transferência, no tocante
à LGPD, poder se dar a partir de decisão judicial, o que está previsto no seu art. 7º, VI.
Nos dois instrumentos é reconhecível a presença de capítulo específico quanto ao tema
transferência internacional de dados, no entanto, é de se observar também, da literalidade das
leis, a inexistência de uma definição sobre o que poderia ser considerado como transferência
para países terceiros.
Entretanto, nesse aspecto, é importante citar a jurisprudência do Tribunal de Justiça
Europeu no caso sueco Bodil Lindqvist (C-101/01), de novembro de 200337, onde determinado
indivíduo de um Estado-membro da União Europeia apenas imputou informações pessoais em
um site hospedado naquele Estado, para que a informação pudesse ser acessada por quaisquer
terceiro conectado à Internet. Neste caso, o Tribunal desconsiderou a possibilidade de
enquadrar essa operação como sendo uma transferência de dados pessoais para um país
terceiro.38
A partir desse caso, foi possível a construção de melhores respostas com relação ao que
poderia ser considerado ou não como uma transferência para países terceiros, o que permitiu
chegar à conclusão de que há efetivamente transferência quando uma troca internacional de
informações sobre indivíduos é realizada com a intenção de processar automaticamente essas
informações pessoais depois de terem sido transferidas, mesmo que a transferência original não
seja qualificada como processamento de dados pessoais. Ou seja, para fins da aplicação do
RGPD, a transferência não é o mesmo que o mero trânsito dos dados pessoais, uma vez que é
o processamento no país terceiro que completa a “transferência”.39
No caso da LGPD, a questão é mais nebulosa, tendo em vista a redação do seu art. 4º,
40
IV , que institui que a Lei não se aplica ao tratamento de dados pessoais em casos no qual o
tratamento dos dados for realizado fora do território nacional e que não seja (i) objeto de
comunicação; (ii) uso compartilhado de dados com agentes de tratamento; (iii) objeto de
transferência de dados com outro país, que não o originário, desde que tal país proporcione grau
adequado de proteção de dados previsto na Lei.
O fato é que, nesse dispositivo, a LGPD estatui um rol taxativo de tipos de transferência
onde a Lei não seria aplicável, porém, tais situações precisam ser complementadas, uma vez
que não restou claro o que pode ser considerado, por exemplo, como “tratamento de dados com
o objetivo de comunicação”. Portanto, como a LGPD ainda não entrou em vigor e ainda não
existe jurisprudência que solidifique o entendimento sobre tais situações, é possível afirmar que
existe um vácuo conceitual com relação ao que poderia ou não ser considerado como
transferência para países terceiros, o que pode ser tido como uma diferença substancial entre as
duas legislações, tendo em vista a direção que a mudança de interpretação de um conceito tão
basilar pode levar.
37
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p. 121.
38
Ibidem, p. 125.
39
Idem.
40
BRASIL. Lei Nº 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.
Página 12 de 14
Além da distinção citada acima, quanto ao componente da responsabilidade do
exportador, o RGPD prevê em seu artigo 45(1)41, um procedimento de avaliação periódica
capitaneado pela de adequação de países terceiros às suas normas, que deve acontecer, no
mínimo, de quatro em quatro anos, e que deverá levar em consideração todos os
desenvolvimentos pertinentes no país terceiro ou na organização internacional para a garantia
de um nível adequado de proteção de dados, o que não é abordado na LGPD.
Apesar do caráter restritivo, que tem por base determinações de cunho geográfico, as duas
normas possuem forte influência do Princípio da Responsabilidade, tendo em vista que as suas
disposições obrigam entidades fora dos seus territórios e países terceiros a manter proteção
contínua de dados pessoais transferidos para outras organizações, independentemente de sua
localização geográfica. Dessa forma, utilizam mecanismos contratuais entre os cedentes e os
importadores de dados, para estabelecer mecanismos de responsabilidade solidária entre esses.
Por outro lado, com a sanção da LGPD vieram os vetos aos artigos que dispunham sobre
a criação da ANPD (Autoridade Nacional de Proteção de Dados). O órgão havia sido pensado
no texto original da Lei para ser constituído com estrutura inovadora, contando com uma
Direção composta por três membros, além de um Conselho Nacional de Proteção de Dados e
da Privacidade, esfera de caráter multissetorial (representantes do governo, do setor privado, da
academia e da sociedade civil), formato moderno e que permite a construção de políticas
públicas de forma rica e democrática, como a criação de campanhas de conscientização à
sociedade e acompanhamento dedicado das atividades empresariais.
Assim, apesar de, nas duas regulações, existirem mecanismos que prezam pela autonomia
das partes, uma vez que estabelecem a possibilidade de criação de regras corporativas
vinculantes no caso de um país, entidade ou organização terceira que não tenha se adequado ao
mesmo nível de proteção presente nas normativas supracitadas, tais regras, ainda assim,
sujeitam-se ao ordenamento público, uma vez que as autoridades competentes, por fazer valer
tais Leis, podem interferir no conteúdo de tais dispositivos.
Em 28 de dezembro de 2018, foi publicada, no Diário Oficial da União, a Medida
Provısórıa 869, de 27 de dezembro de 2018, que, além de alterar alguns dispositivos da LGPD,
criou a Autoridade Nacional de Proteção de Dados (“ANPD”), desta vez vinculada diretamente
à Presidência da República, cujos contornos de sua estrutura ainda não estão claros, porém
diferem da ideia originalmente traçada, de um órgão similar ao CADE, vinculada ao Ministério
da Justiça.
Resta saber, por fim, como será interpretada pela UE a adequação do Brasil, tendo em
vista a forma que será dada à ANPD caso a Medida Provisória ganhe caráter efetivo após a
análise do Congresso Nacional.
Referências
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro:
Renovar, 2006.
EUR-LEX. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro
de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados
41
União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de
abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre
a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:
[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.
Página 13 de 14
pessoais e à livre circulação desses dados. EUR-Lex. Disponível em: [https://bit.ly/2zXITrJ].
Acesso em: 10.09.2018.
JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota.
Disponível em: [https://bit.ly/2LcR61P]. Acesso em: 15.09.2018.
KUNER, Christopher. Regulation of Transborder Data Flows Under Data Protection and
Privacy Law. OECD Digital Economy Papers, n. 187, SSRN, 2011. Disponível em:
[https://bit.ly/2E3ZgXO]. Acesso em: 22.09.2018.
KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê
Gestor da Internet, 2016.
MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global
Institute, Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.
OECD. APEC privacy framework, dez. 2005. Disponível em: [https://bit.ly/2NvqzKj].
Tradução nossa. Acesso em: 10.09.2018.
OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. OECD.
Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. In: MORAES,
Maria Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008.
RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes.
A Journal of Law and Policy, v. 6, Issue 3, 2010.
SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International
Data Privacy Law, 2011.
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017.
p.115.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento europeu e do Conselho
de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE
(Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016.
Disponível em: [https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.
Página 14 de 14