Você está na página 1de 14

Transferência internacional de dados pessoais:

uma análise crítica entre o regulamento geral de proteção de dados pessoais da União Europeia (RGPD) e a Lei Brasileira de Proteção de Dados Pessoais (LGPD)

International transfer of personal data: a critical analysis between the general data protection regulation of the European Union (GDPR) and the Brazilian General Data Protection Law (LGPD)

PAULO CÉSAR TAVARES FILHO

Pesquisador no DTE (UFPE). Graduado pela Universidade Católica de Pernambuco (UNICAP). Alumni da Escola de Governança da Internet (EGI) e Data Privacy Br. Advogado. Paulo.tavares@ezprivacy.com.br

LUIZ FERNANDO UEHARA

Pós-Graduado em Direito Internacional pela PUC-SP. Graduado pelo Mackenzie. Advogado. luizuehara@gmail.com.

RESUMO: Diante de um cenário em que os dados possuem valor econômico e o imperativo dos novos negócios faz crescer uma maior preocupação sobre a tutela dos dados pessoais, o estudo sobre o fluxo internacional de dados vem se tornando cada vez mais necessário. Nesse sentido, o presente trabalho analisa brevemente os elementos e princípios da transferência internacional de dados a fim de entender como vem sendo desenvolvido o inventário sistemático dessa matéria a nível global. Por fim, faz-se uma análise comparada sobre como o Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e a recém- sancionada Lei Brasileira de Proteção de Dados (LGPD) domesticaram o tema da transferência internacional de dados. PALAVRAS-CHAVE: Proteção de dados ‒ Transferência internacional de dados pessoais ‒ Regulamento Geral de Proteção de Dados (RGPD) ‒ Lei Brasileira de Proteção de Dados Pessoais (LGPD). ABSTRACT: In a world in which the data have economic value and the imperative of new form of businesses raise a greater concern regarding the protection of personal data, the study on the international data flow becomes imperative. To that end, this work briefly analyses the elements and principles of international data transfer in order to understand how, at global level, the systematic inventory of such matter is developing. Finally, a comparative analysis is made on how the European Data Protection General Regulation (GDPR) and the recently enacted Brazilian Data Protection Law (LGPD) dealt with the subject of international data transfer. KEYWORDS: Data protection ‒ International transfer of personal data ‒ General Regulation of Data Protection (RGPD) ‒ Brazilian Law of Protection of Personal Data.

1. Introdução

A proteção de dados pessoais é um mecanismo jurídico usualmente definido como o

direito do cidadão de controlar as suas próprias informações e decidir sobre elas 1 .

A partir disso, é importante ressaltar que o debate sobre uma efetiva tutela à proteção de

dados pessoais ocorre em um cenário internacional bastante conflituoso. Mesmo que alguns países sejam conscientes de que a proteção de dados pessoais é um direito fundamental autônomo, a exemplo do que consta na Carta de Direitos Fundamentais da Comunidade Europeia, ainda assim, é difícil equilibrar a balança de interesses que vão desde o respeito da presunção geral desse direito, a questões como interesses de mercado e exigências estatais no âmbito da segurança interna e internacional 2 . Por essa razão, novos textos normativos vêm sendo criados e debatidos para acompanhar as exigências de proteção da privacidade na guarda das informações pessoais tratadas por sistemas de informação. Assim, é importante destacar a existência de uma dimensão internacional na disciplina de proteção de dados pessoais, não apenas para se ter uma perspectiva global da matéria, mas porque uma normativa que trate do assunto deve incluir em seu escopo o fato de ser permeável

a influências externas de outras jurisdições, tendo em vista que a eficácia de uma lei de proteção de dados pessoais é diretamente proporcional a como se dá o processo de harmonização deste instrumento diante das legislações que tratam do tema. Em maio de 2018, o mundo presenciou a entrada em vigor do Regulamento Geral de Proteção de Dados Pessoais da União Europeia (RGPD). Tido como um dos mais importantes marcos regulatórios sobre o tema, impactou de forma expressiva a sociedade e o mercado de dados 3 , o que acabou influenciando fortemente a discussão e a criação de legislações semelhantes em outros países. Logo após, em agosto de 2018, levando em consideração o trabalho e esforço político de vários setores da sociedade 4 , o Presidente da República do Brasil sancionou a Lei Brasileira de Proteção de Dados Pessoais (LGPD). Dessa forma, diante do cenário apontado, o presente trabalho desenvolve uma leitura comparada entre o RGPD e a LGPD no tocante ao capítulo referente à transferência internacional de dados, identificando diferenças e semelhanças, bem como, o comportamento de tais instrumentos normativos diante dos desafios, no âmbito internacional, para a promoção da segurança jurídica no campo da proteção de dados pessoais.

O estudo será dividido em duas etapas. Em um primeiro momento, para a determinação

do presente trabalho, será abordado o tema da dimensão internacional da proteção de dados pessoais, onde será construído um inventário de elementos e princípios que vem instruindo o debate sobre a regulação dos fluxos internacionais de dados pessoais.

1 KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê Gestor da Internet, 2016. p. 82.

2 RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. MORAES, Maria Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008. p. 12. 3 Disponível em: [https://www.forbes.com/sites/chrisdenhart/2018/05/25/new-european-union- data-law-gdpr-impacts-are-felt-by-largest-companies-google-facebook/#749d68084d36]. Acesso em: 25.12.2018.

em:

[http://www.diariodepernambuco.com.br/app/noticia/politica/2018/08/17/interna_politica,760335/san

cionada-a-lei-de-protecao-de-dados-pessoais-mas-com-vetos-o-que-s.shtml]. Acesso em:

15.12.2018.

4

Disponível

Na sequência, será apresentada uma breve introdução ao Regulamento Europeu de Proteção de Dados Pessoais, bem como à Lei Brasileira de Proteção de Dados Pessoais, para, após isso, estruturar um panorama lógico sobre as diferenças e semelhanças na adjetivação da transferência internacional de dados pessoais em seus respectivos dispositivos.

2. A dimensão internacional da proteção de dados pessoais ‒ componentes e princípios para a transferência internacional de dados pessoais

Atualmente, de acordo com o relatório do McKinsey Global Institute 5 , aproximadamente 12% (doze por cento) de todo o comércio de bens é realizado por meio do comércio eletrônico, que, fruto da estrutura descentralizada da Internet, proporciona a organização de modelos em que as transações informacionais são realizadas por intermédio de cruzamentos entre diversas jurisdições. Para tanto, a partir da crescente demanda por informação, diversos foram os instrumentos regulatórios criados com o objetivo de garantir uma adequada proteção de dados. Nesse aspecto, é de se considerar que uma menor tutela de dados pessoais em um determinado país pode comprometer toda a estrutura de segurança das informações que estão sendo transferidas, prejudicando, assim, os Estados que oferecem e se interessam por uma tutela mais completa dos dados pessoais. Esse contexto pode criar ambientes com elevado grau de insegurança jurídica aos titulares dos dados, uma vez que, em uma conjuntura na qual as leis de proteção de dados são muito diferentes entre si e oferecem níveis de proteção sem padrões precisos, a garantia do direito à proteção adequada dos dados pessoais pode se tornar inacessível. Por outro lado, essa conjuntura é muito aproveitada por empresas multinacionais que, para facilitar seus processos de transferência, tratamento, armazenamento e processamento de dados, adotam países conhecidos como data havens 6 para realizar suas atividades, de modo a operar seus negócios de forma menos onerosa, uma vez que esses países são caracterizados por não terem leis de proteção de dados ou disporem de leis mais brandas, que não oferecem garantias reais para a adequada tutela dos dados pessoais. Pode-se perceber claramente a intenção do legislador no caso do RGPD e da LGPD de cobrir esta lacuna apontada acima, haja vista a possibilidade de sua aplicação extraterritorial e, ademais, a exigência para que as empresas sejam obrigadas, quando se utilizem de fornecedores no exterior, a garantir aos titulares de dados um conjunto adequado de proteção no processamento de seus dados pessoais, especialmente diante do contexto de atuação global e pulverizado do comércio eletrônico e, principalmente, das plataformas digitais e redes sociais. Atualmente, como se pode ver na figura 1 abaixo, afora as legislações em processo de tramitação, várias foram as normas criadas para regular o tema da proteção de dados no âmbito doméstico de diversos países. Neste mapa, os países em azul possuem leis de proteção de dados pessoais, os países em vermelho possuem projetos de lei em tramitação a respeito e os países em sépia não possuem legislação específica sobre o tema:

5 MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global Institute. Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.

6 BYGRAVE, Lee. Approaching Its Rationale: Logic and Limits. Kluwer Law International, 2002.

p. 79.

Figura 1 – Relação dos países com as leis de proteção de dados pessoais 7

dos países com as leis de proteção de dados pessoais 7 Fontes: BASINAR, David. National Comprehensive

Fontes: BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN. 4 set. 2018. Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.

Dessa forma, a análise de uma proteção adequada aos dados pessoais perpassa, naturalmente 8 , pela construção de um contexto global onde instrumentos normativos tratam a matéria de forma harmônica, respeitando critérios que vão desde a proteção dos dados pessoais dos indivíduos, até a conservação de um ambiente que preze a criação, desenvolvimento e inovação dos diversos setores da economia. O resultado, na esfera internacional, é possível de se observar na criação de princípios a serem seguidos por determinados blocos econômicos de países. Estes são responsáveis por traçar caminhos para que seus membros desenvolvam níveis adequados de proteção de dados, diante dos desafios do fluxo internacional de informações. Como exemplo, podem ser citadas as diretrizes documentadas pela Organização para Cooperação e Desenvolvimento Econômico – OCDE 9 e o Privacy Framework da Cooperação Econômica Ásia-Pacífico – APEC 10 . Por outro lado, a complexidade da matéria não se apresenta apenas na multiplicidade dos documentos que procuram estabelecer diretrizes ou leis domésticas de países que buscam proteger os dados dos seus cidadãos nas transferências de dados a países terceiros, mas também na própria definição ou conjunto de situações que envolvem processos de transferência de dados. Nesse aspecto, é importante destacar a tabela abaixo desenvolvida por Dan Jerker

7 BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN, 4 set. 2018. Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.

8 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.

p. 312.

em:

[http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflow sofpersonaldata.htm]. 10 OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução nossa. Acesso em: 10.09.2018.

9 Disponível

Svantesson 11 , que procura demonstrar o rol numeroso e complexo de tipos de transferência de dados que ocorrem diariamente:

Tabela 1 – Rol de tipos de transferência de dados que ocorrem diariamente 12

TIPOS DE TRANSFERÊNCIAS

EXEMPLOS

 

(1) Adam envia um e-mail para Bert (que mora em outro país) descrevendo seu atual estado de saúde.

Transferência internacional de dados em Comunicações pessoais intencionais

(2) Adam envia um e-mail para Bert (que mora em outro país) descrevendo o estado atual da saúde da amiga de Adam, Cecilia.

Comunicação intencional entre consumidores em uma transferência internacional de dados

(1) Adam compra um produto de um site em outro país e, ao fazer isso, fornece informações pessoais.

 

(1) Adam envia um e-mail para Donna (que mora no mesmo país que Adam) descrevendo seu atual estado de saúde. Donna usa um sistema de e-mail onde os e-mails são armazenados em um servidor fora daquele país.

Bastidores de comunicações pessoais em uma transferência internacional de dados

(2) Adam envia um e-mail para Donna (que mora no mesmo país que Adam). Donna usa o Gmail do Google e as informações pessoais de Adam são coletadas e transferidas para os servidores do Google fora do país.

11 OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. OECD. Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.

12 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data Privacy Law, 2011.Tradução nossa. p. 182.

Transferência internacional de dados em Comunicações pessoais não intencionais

(1) Adam coloca informações sobre o estado atual da saúde de Cecilia em um site.

(2) Adam usa um mecanismo de busca para encontrar informações sobre uma doença

particular. A pesquisa é registrada em seu endereço IP pelo provedor do mecanismo de pesquisa localizado em outro país.

em

   

(1)

O

banco

de

Adam

exporta

suas

informações

pessoais

para

outro

país

por

Transferência para fins comerciais

internacional

de

dados

motivos comerciais.

 
 

(2) A empresa A no estado A vende uma lista de e-mails, contendo informações pessoais de pessoas no estado A, para uma empresa B no estado B.

Bastidores da transferência internacional de dados para fins comerciais

Ao navegar pela rede, os cookies são instalados no computador de Adam pelo

website A. Esses cookies são usados pelo site

 

B

(em um país diferente) para coletar

informações sobre os hábitos de navegação de

Adam.

 

Transferência de dados no âmbito da cooperação jurídica internacional

As autoridades do Estado A exportam informações pessoais sobre Adam para as autoridades do Estado B.

_

Fonte: SVANTESSON, Dan Jerker B. The regulation of cross-border data flows.

International Data Privacy Law, 2011. Tradução nossa. p. 182.

Assim, diante desse arcabouço de situações e a partir da análise de esquemas regulatórios que influenciaram o debate internacional da proteção de dados pessoais, Svantesson 13 identificou uma série de componentes e princípios acerca da matéria e que serão detalhados abaixo.

13 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data Privacy Law, 2011. p. 182.

2.1.1. O componente autorregulatório

No trato de questões relacionadas à transferência internacional de dados, o componente autorregulatório pode ser percebido pela observação do modelo norte-americano. Assim, tal componente é constituído quando associações comerciais ou conglomerados empresariais estabelecem, entre si, conjuntos de regras relativas à criação de diretrizes sobre como se dará a administração do ciclo de vida dos dados, o que inclui a transferência de informações, coleta, processamento e exclusão 14 . Ao tratar do assunto, Rubinstein 15 assinala que tal modelo pode ser disposto de três formas distintas:

1. um grupo de indústrias que emite diretrizes ou um código de conduta que

rege as práticas de privacidade dos membros;

2. aplicação pelo grupo da indústria, ou talvez um mecanismo de resolução

de disputas administrado por um terceiro independente, mas nenhum remédio legal aplicável (além do poder inerente da FTC de processar as empresas por práticas comerciais desleais e enganosas, incluindo deturpação de suas Políticas de privacidade); e

3. regras processuais relacionadas à alteração de diretrizes existentes e assuntos internos relacionados. No entanto, tal conjuntura é vista por muitos como um modelo falho 16 , uma vez que não tem criado incentivos para a participação adequada da indústria, além de oferecer mecanismos ineficazes de cumprimento, fiscalização e transparência nos seus processos. É um componente visto como uma tentativa de evasão à regulação governamental 17 , apesar de ser incentivado pelo RGPD e pela LGPD, em alinhamento que seria conduzido pelas autoridades de proteção de dados.

2.1.2. Componente do controle transfronteiriço

O componente do controle transfronteiriço pode ser percebido da leitura de sistemas como os da União Europeia e o sugerido nas diretrizes da OCDE. Está presente em legislações que apenas permitem que ocorram fluxos internacionais de dados com terceiros que atendam os requisitos de adequação vigentes nas normas do país exportador. Nesse ponto, Svantesson 18 conclui que qualquer modelo sólido de regulamentação de fluxo de dados a nível internacional deve prover disposições sobre o controle transfronteiriço de dados, uma vez que a transferência de dados envolve questões de controle por parte das instituições governamentais.

14 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A journal of Law and Policy, v. 6, Issue 3, 2010. p. 363.

15 Idem, tradução nossa.

16 Ibidem, p. 357. 17 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A Journal of Law and Policy, v. 6, Issue 3, 2010. p. 357.

18 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data Privacy Law, 2011. p. 191.

Por outro lado, afirma que restrições impostas ao fluxo de dados não podem restringir de forma inadequada a necessidade da sociedade em torno das trocas informacionais. 19

2.1.3. O componente da responsabilidade do exportador

O Princípio da Responsabilidade é uma característica marcante no modelo traçado pelo Privacy Framework da APEC 20 . Todavia, disposições desse tipo, que impõem determinadas responsabilidades ao exportador para uma adequada transferência de dados entre fronteiras, existem desde a década de 70, a exemplo da Lei de Dados Sueca de 1973 21 . Segundo Svantesson 22 , a responsabilização do exportador pela forma como os dados são utilizados por terceiros traz benefícios e deve ser encarada como uma camada necessária para a adequada proteção de dados, uma vez que estabelece uma relação de cuidado e observação aos procedimentos de segurança das partes que estão recebendo os dados, o que pode ser visto como uma forma responsável de promover o fluxo transfronteiriço de dados 23 . Por outro lado, é importante pontuar a necessidade da existência de regras que tratem do ônus da prova em dispositivos que preveem a responsabilização do exportador, uma vez que tal princípio sozinho não garante o controle do titular sobre a utilização dos seus dados entre fronteiras. Isso pode servir como garantia de que, em casos de vazamentos de dados, o titular dos dados não fique na posição vulnerável de ter que provar uma violação ocorrida no escopo de outros países ou jurisdições 24 .

da

transferência internacional de dados

Diante dos componentes analisados acima, Svantesson 25 estabelece quatro importantes princípios para a regulação da transferência internacional de dados:

Princípio da regulação dos fluxos de dados a partir de um viés tecnológico

neutro: A razão para a efetivação de uma abordagem tecnológica neutra é garantir que novas leis não precisem ser aprovadas toda vez que uma nova tecnologia for desenvolvida. Dessa forma, a importância de tal princípio reflete no fato de que as normas prevejam os riscos impostos pela inutilidade de regras desatualizadas e aplicáveis a contextos inadequados 26 .

Princípio do controle transfronteiriço: Toda e qualquer regulação que verse

sobre a transferência internacional de dados deve prever disposições que permitam o controle do exportador sobre os métodos de adequação para que a parte receptora possa receber os dados exportados. Tais disposições devem levar em consideração questões como (i) o consentimento do titular dos dados para a transferência; (ii) situações onde a transferência de dados é exigida por lei, o que dá mais segurança jurídica as partes que estão exportando os dados; (iii) permissibilidade das transferências de dados internacionais quando isso for de importância vital para o

2.1.4.

Os

quatro

princípios

fundamentais

da

regulação

19 Idem. 20 OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução nossa. Acesso em: 10.09.2018.

21 Ibidem, p. 193.

22 Idem.

23 SVANTESSON, Dan Jerker B. Op. cit., p. 193.

24 Idem.

25 SVANTESSON, Dan Jerker B. Op. cit., p. 194.

26 Idem.

indivíduo ou o público em geral, mesmo em casos onde não seja possível obter o consentimento do titular antes da transferência; (iv) permitir o fluxo de dados quando a proteção de dados for fornecida no local para o qual os dados são exportados, o que pode estimular tais atores a desenvolver políticas sólidas de privacidade e encorajar os exportadores a dar prioridade aos locais de processamento de dados que protejam tais dados de maneira adequada 27 . Princípio do não abuso: Ao estruturar um framework para a proteção dos fluxos internacionais de dados, as legislações devem levar em consideração a finalidade do processamento, o seu contexto, o grau de propagação e as consequências prováveis que tal fluxo pode ocasionar ao titular dos dados, de forma a avaliar se tais fatos podem ser constituídos ou não como abuso aos direitos instituídos 28 . Princípio da Responsabilidade: Na regulação dos fluxos de dados transfronteiriço, a responsabilidade do exportador deve funcionar como uma camada adicional de proteção para o titular dos dados, não podendo ser encarada como uma alternativa ao controle transfronteiriço. Da mesma forma, tal princípio deve trabalhar lado a lado com disposições que levem em consideração o princípio do não abuso 29 .

Dessa forma, da leitura dos princípios propostos por Svantesson, é possível concluir que a regulação da transferência internacional de dados deve ser desenvolvida a partir de um viés tecnologicamente neutro, que leve em consideração que o fluxo de dados só deverá ocorrer a partir da obediência a requisitos específicos, onde o direito dos indivíduos seja devidamente respeitado. Além disso, de forma a manter o escopo de proteção, assegurar que o exportador permaneça em uma posição de responsabilidade e que sejam realizadas avaliações de risco periódicas para identificar se a transferência de dados pode trazer algum ônus ao titular. Assim, a partir da apresentação desse guia de componentes e princípios reunidos por Svantesson, foi possível analisar o arcabouço conceitual impresso nas recentes regras para o fluxo internacional de dados pessoais. Desse modo, passaremos a uma breve introdução do Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais do Brasil (LGDP), para, finalmente, analisar as semelhanças e diferenças entre os dois instrumentos no tocante ao tema da transferência internacional de dados pessoais.

3. Breve introdução ao Regulamento Geral de Proteção de Dados Europeu (RGDP) e a Lei Brasileira de Proteção de Dados Pessoais (LGPD)

O Regulamento Geral de Proteção de Dados Pessoais da União Europeia foi aprovado em 27 de abril de 2016, revogando assim, a Diretiva 95/46/CE. Dessa forma, tal Regulamento trouxe inovações que começaram a valer a partir de 25 de maio de 2018. Seu direcionamento procurou unificar a proteção de dados na União Europeia com uma regra que fosse válida para todos os Estados-Membro, sem a necessidade de internacionalização das regras para que fosse válida em cada localidade. Tal situação representa uma evolução no contexto regulatório da privacidade e proteção de dados, pois até então, na

27 Ibidem, p. 195.

28 Ibidem, p. 196. 29 Ibidem, p. 197.

Diretiva 95/46/CE, cada Estado-Membro da União Europeia necessitava internalizar na sua

legislação doméstica, e isto acabava por suscitar diferentes garantias à proteção de dados nos países europeus. 30 Todavia, mesmo com o advento da revogação, o Regulamento manteve muitos dos

princípios da Diretiva 95/46/CE, a saber: “(3) (

liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros”. 31 Apesar disso, trouxe consigo um vasto rol de modificações, que se refletiram em disposições que procuraram lidar com as questões trazidas pelos novos modelos surgidos pelo advento da economia digital, bem como o desenvolvimento de novas tecnologias e como elas se relacionam com os indivíduos. O Regulamento pode ser considerado, portanto, um aperfeiçoamento legislativo no contexto da UE, que já possuía uma ampla cultura e jurisprudência em privacidade e proteção de dados. Por outro lado, a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) foi sancionada no dia 13 de agosto de 2018, pelo Presidente da República do Brasil, e começará a vigorar após o seu período de vacatio legis, que corresponde ao intervalo de 18 meses após a sua sanção. Para tanto, a Lei foi fruto de um processo legislativo introduzido em 2010, por meio de consulta pública promovida pelo Ministério da Justiça e, por conseguinte, da propositura do PL 5.276/2016, anexado ao PL 4.060/2012, na Câmara dos Deputados que, a posteriori, transformou-se no PLC 53/2018 aprovado no Senado Federal 32 . A LGPD altera a Lei 12.965/2016 (Marco Civil da Internet), estruturando todo um arcabouço jurídico voltado para a proteção dos dados pessoais dos cidadãos brasileiros. Dentre as suas disposições, trata de estabelecer regras claras sobre todo o manejo dos dados pessoais por entidades de todos os setores, além de fomentar o desenvolvimento econômico e a inovação tecnológica no cenário nacional. 33 Tendo em vista que no Brasil o tema da proteção de dados é tratado de forma esparsa na legislação, o que acontecerá à partir da entrada em vigor da LGPD será a complementação ou substituição de institutos antigos da jurisdição brasileira que não ofereciam garantias adequadas aos direitos nela tutelados. Assim, a estruturação de uma Lei Geral de Proteção de Dados Pessoais no contexto brasileiro pode ser entendida como um vetor fundamental na promoção da segurança jurídica nas transações que envolvem dados, uma vez que unifica regras e cria padrões a serem seguidos na seara da privacidade e proteção de dados pessoais, levando o Brasil a um outro patamar na matéria de privacidade e proteção de dados, mais adequado ao contexto internacional, especialmente da OCDE, e mais similar ao da UE.

harmonizar a defesa dos direitos e das

)

30 POLIDO, Fabrício Bertini Pasquot; et al. GDPR e suas repercussões no direito brasileiro:

Primeiras impressões de análise comparativa. Instituto de Referência em Internet e Sociedade, 2018. p. 34.

31 União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:

[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018. 32 JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota. Disponível em: [https://bit.ly/2LcR61P]. Acesso em: 15.09.2018.

33 Idem.

4. Comparativo entre a LGPD e o RGPD no tocante ao capítulo da transferência internacional de dados pessoais

A LGPD e o RGPD são dois instrumentos normativos que possuem escopos similares no que diz respeito à aplicação do componente do controle transfronteiriço, tendo em vista que, via de regra e sem necessidade de autorização específica, apenas permitem a ocorrência de fluxos internacionais de dados pessoais com terceiros que atendam aos requisitos de adequação vigentes nas suas respectivas normas. No caso do RGPD, a aprovação de que um país está adequado, tem a ver com a identificação, por parte da Comissão Europeia, de que o país terceiro protege os direitos dos titulares dos dados pessoais, tanto no que diz respeito aos direitos humanos e liberdades fundamentais, como às legislações setoriais e gerais pertinentes. Ademais, o país terceiro deverá ter em funcionamento uma ou mais autoridades de supervisão independentes, bem como será levado em consideração os compromissos internacionais assumidos por este. 34 Para a LGPD, a aprovação da adequação de um país terceiro passará pelo crivo da autoridade nacional, que levará em consideração: (i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei; (iv) a adoção de medidas de segurança previstas em regulamento; (v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais. 35 No caso de ausência de um nível adequado, um rol de situações é apresentado na LGPD

e no RGPD, de modo a permitir que a transferência de dados aconteça. No fluxograma abaixo

é possível visualizar os critérios necessários para a transferência internacional acontecer quando da ausência de nível adequado de proteção de dados, bem como as semelhanças e diferenças entre a LGPD e o RGPD no tocante a esta questão:

Figura 2 – Quadro comparativo entre a LGPD e o RGPD no tocante ao capítulo da transferência internacional de dados. 36

ao capítulo da transferência internacional de dados. 3 6 Fonte: Quadro comparativo desenvolvido pelos autores com

Fonte: Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.

34 USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p.115.

35 BRASIL. Lei 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.

36 Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.

Na imagem acima pode-se perceber que a LGPD e o RGPD têm muito em comum, quando tratam da estruturação de diretrizes para a transferência de dados pessoais em casos onde o país terceiro não possui um nível adequado de proteção de dados. Neste ponto, as leis apenas divergem em dois momentos, o primeiro diz respeito ao art. 49(1), g) da GDPR, que prevê a possibilidade de transferência internacional de dados a partir de um registo que se

destine a provar um interesse legítimo, e o segundo está no fato de a transferência, no tocante

à LGPD, poder se dar a partir de decisão judicial, o que está previsto no seu art. 7º, VI. Nos dois instrumentos é reconhecível a presença de capítulo específico quanto ao tema transferência internacional de dados, no entanto, é de se observar também, da literalidade das leis, a inexistência de uma definição sobre o que poderia ser considerado como transferência para países terceiros. Entretanto, nesse aspecto, é importante citar a jurisprudência do Tribunal de Justiça Europeu no caso sueco Bodil Lindqvist (C-101/01), de novembro de 2003 37 , onde determinado indivíduo de um Estado-membro da União Europeia apenas imputou informações pessoais em um site hospedado naquele Estado, para que a informação pudesse ser acessada por quaisquer terceiro conectado à Internet. Neste caso, o Tribunal desconsiderou a possibilidade de enquadrar essa operação como sendo uma transferência de dados pessoais para um país terceiro. 38

A partir desse caso, foi possível a construção de melhores respostas com relação ao que

poderia ser considerado ou não como uma transferência para países terceiros, o que permitiu chegar à conclusão de que há efetivamente transferência quando uma troca internacional de informações sobre indivíduos é realizada com a intenção de processar automaticamente essas informações pessoais depois de terem sido transferidas, mesmo que a transferência original não seja qualificada como processamento de dados pessoais. Ou seja, para fins da aplicação do RGPD, a transferência não é o mesmo que o mero trânsito dos dados pessoais, uma vez que é

o processamento no país terceiro que completa a “transferência”. 39 No caso da LGPD, a questão é mais nebulosa, tendo em vista a redação do seu art. 4º, IV 40 , que institui que a Lei não se aplica ao tratamento de dados pessoais em casos no qual o

tratamento dos dados for realizado fora do território nacional e que não seja (i) objeto de comunicação; (ii) uso compartilhado de dados com agentes de tratamento; (iii) objeto de transferência de dados com outro país, que não o originário, desde que tal país proporcione grau adequado de proteção de dados previsto na Lei.

O fato é que, nesse dispositivo, a LGPD estatui um rol taxativo de tipos de transferência

onde a Lei não seria aplicável, porém, tais situações precisam ser complementadas, uma vez

que não restou claro o que pode ser considerado, por exemplo, como “tratamento de dados com

o objetivo de comunicação”. Portanto, como a LGPD ainda não entrou em vigor e ainda não

existe jurisprudência que solidifique o entendimento sobre tais situações, é possível afirmar que existe um vácuo conceitual com relação ao que poderia ou não ser considerado como transferência para países terceiros, o que pode ser tido como uma diferença substancial entre as

duas legislações, tendo em vista a direção que a mudança de interpretação de um conceito tão basilar pode levar.

37 USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p. 121.

38 Ibidem, p. 125.

39 Idem.

40 BRASIL. Lei Nº 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.

Além da distinção citada acima, quanto ao componente da responsabilidade do exportador, o RGPD prevê em seu artigo 45(1) 41 , um procedimento de avaliação periódica capitaneado pela de adequação de países terceiros às suas normas, que deve acontecer, no mínimo, de quatro em quatro anos, e que deverá levar em consideração todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional para a garantia de um nível adequado de proteção de dados, o que não é abordado na LGPD. Apesar do caráter restritivo, que tem por base determinações de cunho geográfico, as duas normas possuem forte influência do Princípio da Responsabilidade, tendo em vista que as suas disposições obrigam entidades fora dos seus territórios e países terceiros a manter proteção contínua de dados pessoais transferidos para outras organizações, independentemente de sua localização geográfica. Dessa forma, utilizam mecanismos contratuais entre os cedentes e os importadores de dados, para estabelecer mecanismos de responsabilidade solidária entre esses. Por outro lado, com a sanção da LGPD vieram os vetos aos artigos que dispunham sobre

a criação da ANPD (Autoridade Nacional de Proteção de Dados). O órgão havia sido pensado no texto original da Lei para ser constituído com estrutura inovadora, contando com uma

Direção composta por três membros, além de um Conselho Nacional de Proteção de Dados e da Privacidade, esfera de caráter multissetorial (representantes do governo, do setor privado, da academia e da sociedade civil), formato moderno e que permite a construção de políticas públicas de forma rica e democrática, como a criação de campanhas de conscientização à sociedade e acompanhamento dedicado das atividades empresariais. Assim, apesar de, nas duas regulações, existirem mecanismos que prezam pela autonomia das partes, uma vez que estabelecem a possibilidade de criação de regras corporativas vinculantes no caso de um país, entidade ou organização terceira que não tenha se adequado ao mesmo nível de proteção presente nas normativas supracitadas, tais regras, ainda assim, sujeitam-se ao ordenamento público, uma vez que as autoridades competentes, por fazer valer tais Leis, podem interferir no conteúdo de tais dispositivos. Em 28 de dezembro de 2018, foi publicada, no Diário Oficial da União, a Medida Provısórıa 869, de 27 de dezembro de 2018, que, além de alterar alguns dispositivos da LGPD, criou a Autoridade Nacional de Proteção de Dados (“ANPD”), desta vez vinculada diretamente

à Presidência da República, cujos contornos de sua estrutura ainda não estão claros, porém

diferem da ideia originalmente traçada, de um órgão similar ao CADE, vinculada ao Ministério

da Justiça. Resta saber, por fim, como será interpretada pela UE a adequação do Brasil, tendo em vista a forma que será dada à ANPD caso a Medida Provisória ganhe caráter efetivo após a análise do Congresso Nacional.

Referências

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro:

Renovar, 2006. EUR-LEX. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados

41 União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:

[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.

pessoais e à livre circulação desses dados. EUR-Lex. Disponível em: [https://bit.ly/2zXITrJ]. Acesso em: 10.09.2018. JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota. Disponível em: [https://bit.ly/2LcR61P]. Acesso em: 15.09.2018. KUNER, Christopher. Regulation of Transborder Data Flows Under Data Protection and Privacy Law. OECD Digital Economy Papers, n. 187, SSRN, 2011. Disponível em:

[https://bit.ly/2E3ZgXO]. Acesso em: 22.09.2018. KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê Gestor da Internet, 2016.

MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global Institute, Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.

OECD. APEC privacy framework, dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução nossa. Acesso em: 10.09.2018.

OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. OECD. Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.

RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. In: MORAES, Maria Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008. RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A Journal of Law and Policy, v. 6, Issue 3, 2010. SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data Privacy Law, 2011. USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017.

p.115.

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em: [https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.