UNIVERSIDADE ESTADUAL PAULISTA “JÚLIO MESQUITA FILHO”

FACULDADE DE CIÊNCIAS HUMANAS E SOCIAIS

PRISCILA MARIA DOS SANTOS

O IMPACTO DO GENERAL DATA PROTECTION REGULATION NAS RELAÇÕES

INTERNACIONAIS:
A histórica influência europeia na proteção de dados individuais ao redor do globo.

Franca
2019
 UNIVERSIDADE ESTADUAL PAULISTA “JÚLIO MESQUITA FILHO”
FACULDADE DE CIÊNCIAS HUMANAS E SOCIAIS

PRISCILA MARIA DOS SANTOS

O IMPACTO DO GENERAL DATA PROTECTION REGULATION NAS RELAÇÕES

INTERNACIONAIS:
A histórica influência europeia na proteção de dados individuais ao redor do globo.

Trabalho de Conclusão de Curso apresentado à

Universidade Estadual Paulista “Júlio de Mesquita
Filho”, Faculdade de Ciências Humanas e Sociais,
Campus de Franca, como pré-requisito para a
obtenção do Título de Bacharel em Relações
Internacionais.
Orientador: Prof. Dr. Eduardo Mei

Franca
2019
S237i
Santos, Priscila Maria dos

O IMPACTO DO GENERAL DATA PROTECTION REGULATION NAS

RELAÇÕES INTERNACIONAIS: : A histórica influência europeia na proteção de dados

individuais ao redor do globo. / Priscila Maria dos Santos. -- Franca, 2019
40 f.

Trabalho de conclusão de curso (Bacharelado - Relações Internacionais) -

Universidade Estadual Paulista (Unesp), Faculdade de Ciências Humanas e Sociais, Franca

Orientador: Eduardo Mei

1. Proteção de Dados. 2. Cibernética. 3. União Europeia. 4. Processamento eletrônico de

dados. 5. Segurança.. I. Título.

Sistema de geração automática de fichas catalográficas da Unesp. Biblioteca da Faculdade de Ciências

Humanas e Sociais, Franca. Dados fornecidos pelo autor(a).

Essa ficha não pode ser modificada.

 PRISCILA MARIA DOS SANTOS

O IMPACTO DO GENERAL DATA PROTECTION REGULATION NAS RELAÇÕES

INTERNACIONAIS:
A histórica influência europeia na proteção de dados individuais ao redor do globo.

Trabalho de Conclusão de Curso apresentado à Universidade Estadual Paulista “Júlio

de Mesquita Filho”, Faculdade de Ciências Humanas e Sociais, Campus de Franca,
como pré-requisito para a obtenção do Título de Bacharel em Relações Internacionais.

BANCA EXAMINADORA

Presidente:__________________________________________________________
Prof. Dr. Eduardo Mei

1º Examinador: ______________________________________________________
Prof. Dr. Marcelo Passini Mariano

2º Examinador:_______________________________________________________
Prof. Dr. Marcos Alves de Souza

Franca, ________ de _________________________ de 2019.

 Ao meu avô, Grimaldo Elias, onde quer que você esteja.
Por todo o amor, carinho, segurança e estabilidade que um pai pode proporcionar.
Eu não chegaria até aqui sem você.
 AGRADECIMENTOS

Minha sincera gratidão, a todos aqueles que direta ou indiretamente

contribuíram para elaboração e conclusão desse trabalho, e a minha família. A de
coração. Especialmente meu avô, Grimaldo Elias, que sempre incentivou e ajudou a
despertar a curiosidade em entender o funcionamento das coisas, e ao meu irmão,
Douglas Elias, por incentivar os diálogos de questionamento do mundo e por todo
apoio emocional e psicológico nesses anos de graduação e vida.
Agradeço também ao meu orientador, Eduardo Mei, pelo apoio e elucidação de
todo o caminho da concepção dessa pesquisa; e a minha grande amiga, e a melhor
irmã que jamais tive, Thaíla Gomes, que que me apoiou durante toda a graduação,
acima de qualquer distância.
E por último, mas não mentos importantes, ao meu Furão, que me ajudou a
superar e me distrair de algumas crises no percurso desse trabalho.
“É preciso que eu suporte duas ou três lagartas se eu quiser conhecer as
borboletas.”
(SAINT-EXUPÉRY, 2009, p. 34).
 RESUMO

Com a popularização da internet e das redes sociais, e os escândalos envolvendo

vazamentos de dados pessoais nesse meio, a preocupação dos países em relação a
segurança desses dados vem se tornando cada vez maior. Nesse contexto, a União
Europeia que sempre demonstrou ser pioneira em relação a segurança da informação
e proteção de dados pessoais, apresentou uma resposta que remodelaria a maneira
com a qual a segurança da informação é tratada nos mais diversos setores. O
presente trabalho, busca por meio de uma contextualização histórica e análise
documental averiguar a amplitude dos impactos da aplicação do Regulamento Geral
de Proteção de Dados (GDPR, na sigla em inglês). Sua provável influência no Sistema
Internacional e, consequentemente, nas Relações Internacionais, por meio dos
impactos gerados para além de suas fronteiras, sejam eles sobre Estados ou quanto
a possíveis mudanças no posicionamento de empresas que lidam com o
processamento e armazenamento de dados pessoais ao redor do mundo.

Palavras-chave: Proteção de Dados; Cibernética; União Europeia; Processamento

eletrônico de dados; Segurança.
 ABSTRACT

With the popularization of the internet and social media, and the scandals involving
leaks of personal data in this environment, the concern of the countries regarding the
security of personal data is becoming bigger and bigger. In this context, the European
Union, which has always been a pioneer in information security and personal data
protection, has put forward a response that would reshape the way information security
is handled in the most diverse sectors. The present essay seeks, through historical
contextualization and documentary analysis, to ascertain the extent of the impacts of
the application of The General Data Protection Regulation (GDPR). Their probable
influence on the International System and, consequently, on International Relations,
through impacts generated beyond their frontiers, whether on States or on possible
changes in the positioning of companies dealing with the processing and storage of
personal data around the world.

Keywords: Data Protection; Cybernetics; European Union; Electronic data

processing; Security.
 LISTA DE ABREVIATURAS E SIGLAS

CCTV Closed-Circuit Television

CEDH Convenção Europeia dos Direitos do Homem
CJEU Court of Justice of the European Union
CNIL Commission Nationale de l'Informatique et des Libertés
DPA Data Protection Authorities
DPC Data Protection Commission
DPO Data Protection Officers
ePR The ePrivacy Regulation
EU European Union
EUA Estados Unidos da América
FTC Federal Trade Commission
GATT General Agreement on Tariffs and Trade
GDPR General Data Protection Regulation
GVBI Gesetzuno Veroronungsblatt
NSA National Security Agency
OCDE Organização para a Cooperação e Desenvolvimento
Econômico
OMC Organização Mundial do Comércio
PNR Passenger Name Record
UE União Europeia
 SUMÁRIO

1 INTRODUÇÃO .............................................................................................. 1

2 A RELAÇÃO EUROPEIA COM O DIREITO À PRIVACIDADE – UM

HISTÓRICO ......................................................................................................... 3
2.1 Iniciativas Nacionais ...................................................................................... 5
2.2 Principais Iniciativas multilaterais .................................................................. 5
2.2.1 As Recomendações da OCDE .................................................................. 6
2.2.2 Convenção 108 .......................................................................................... 6
2.3 Diretiva 95/46/EC: Uma empreitada em direção à aspirada consonância
europeia ............................................................................................................... 7
2.3.1 A Relação da Diretiva 95/46/EC com os países Estrangeiros ..................... 9
2.3.2 Acordo de Porto Seguro .............................................................................. 10
2.3.2 Considerações sobre a aplicação prática da Diretiva o ............................... 14

3 A NOVA REFORMA NAS NORMAS PARA PROTEÇÃO DE DADOS NA

UNIÃO EUROPEIA .............................................................................................. 15
3.1 As principais mudanças impostas pelo GDPR .............................................. 16

4 INFLUÊNCIAS E DESDOBRAMENTOS DO GDPR .................................... 23

4.1 O Caso Weltimmo, o colapso do Acordo de Porto Seguro e o novo Escudo de
Proteção da Privacidade UE-EUA ........................................................................ 23
4.2 Consequências Práticas do GDPR ............................................................... 28

5 CONSIDERAÇÕES FINAIS .......................................................................... 32

REFERÊNCIAS ............................................................................................. 36
 1

1 INTRODUÇÃO

As duas décadas finais do século XX e as iniciais do século XXI demarcaram o

que provavelmente possamos chamar de maior momento de inovação tecnológica da
história. O advento da internet é, se não a mais útil, uma das ferramentas mais úteis
para o ser humano. Tal instrumento estabeleceu infinitas possibilidades para a troca
de informação em tempo real ao redor do globo. Sua disseminação em larga escala e
o volume de dados produzidos pelos usuários escalonou de forma brutal desde sua
criação até a atualidade. Para se ter uma base, segundo Castells (2003):

“[...] no final de 1995, o primeiro ano de uso disseminado do world wide web
[a rede “www”], havia cerca de 16 milhões de usuários de redes de
comunicação por computador no mundo. No início de 2001, eles eram mais
de 400 milhões” (CASTELLS, 2003, [8] p.).

Segundo estatísticas da União Internacional de Telecomunicações

(Internacional Telecommunications Union - ITU) estimava-se para o final de 2018 que
o número de usuários ao redor do mundo estaria na casa de 3,9 bilhões (ONU. ITU
World Telecommunication/ICT Indicators database, 2018). Especialmente em se
tratando da União Europeia a situação não é tão diferente: em 1995, apenas 1% de
sua população possuía acesso à internet (EU GDPR PORTAL, 2018b), já em 2005 o
número de usuários era de 279 milhões, e em 2017 contabilizou-se 501 milhões de
usuários no continente europeu (ONU. ITU World Telecommunication/ICT Indicators
database, 2018).
O uso das redes sociais, serviços de nuvens, e-mails, dentre outras
ferramentas só tende a crescer, e com ele o volume de Big Data gerado. O Big Data,
nada mais é do que uma volumosa quantidade de informações e dados, tanto
estruturados quanto não-estruturados, que são lançados direta e indiretamente na
web pelos usuários. Esses dados (informações pessoais), são passiveis de
processamento, e podem ser utilizados pelas empresas para uma triagem de suas
tomadas de decisões e posições. Mas também podem ser usados de má fé para
vigilância e processamentos de forma excessiva, o que demonstra a necessidade de
uma boa fiscalização visando impedir a prática ilegal de processamento e
armazenagem.
 2

Apesar da internet per se ter se originado nos EUA (Castells, 2003), a Europa
vem demonstrando uma preocupação positiva com a privacidade de dados desde a
disseminação da world wide web, despontando como importante ator no que tange a
defesa e securitização do tema através da história. O presente trabalho se propões
então a se debruçar sobre questão da relação europeia e a normatização dessa
defesa a privacidade de dados.
Em um momento no qual a internet demonstra ser um ambiente tão propício
para a proliferação da vigilância digital e do uso indevido do processamento e
armazenamento de dados, tanto por parte de Estados como por parte de empresas,
quais medidas a União Europeia vem tomando em prol da segurança de dados
pessoais nas redes sociais?
Na tentativa de encontrarmos uma resposta para tal pergunta, nos utilizaremos
de uma contextualização histórica do desenvolvimento das legislações na Europa,
bem como de uma análise documental das próprias normas, focando principalmente
nas implementações propostas pelo Regulamento Geral sobre a Proteção de Dados
2016/679, no inglês General Data Protection Regulation (GDPR).
Por fim, considerando o caráter integrativo do Sistema Internacional,
buscaremos fazer um levantamento das consequências práticas decorrentes do
GDPR, tanto no interior do bloco, quanto a nível de alcance para com os Estados e
grandes empresas de tecnologia ao redor do globo.
Dessa maneira, trataremos no item dois da relação histórica inicial da Europa
com o tema de privacidade de dados. Abordaremos rapidamente as primeiras
iniciativas individuais dos Estados-membros, e passaremos a um panorama dos
esforços multilaterais dos quais a comunidade europeia participou como grupo, e por
fim passaremos a uma análise do primeiro grande aparato normativo sobre
privacidade de dados individuais proposto pelo conselho europeu, apresentando
algumas de suas falhas e inovações.
No item três trataremos da maior reforma legislativa no que tange a privacidade
de dados, o GDPR, suas alterações chave e os direitos assegurados por ela. Ao passo
que, no item quatro, investigaremos dois importantes acontecimentos que inspiraram
a instauração direta de algumas concepções no regulamento, para a correção de
conteúdos sensíveis quanto a privacidade de dados ligados a casos práticos,
seguindo então para as consequências do GDPR após sua entrada em vigor.
 3

Finalmente no item cinco exporemos um breve balanço de nossas

considerações sobre a implementação e impacto da empreitada europeia em defesa
da privacidade de dados individuais.

2 A RELAÇÃO EUROPEIA COM O DIREITO À PRIVACIDADE – UM HISTÓRICO.

Desde que a internet começou a apresentar uma propagação mais global,

permitindo a troca de informações entre os “nós”1 de rede de lugares cada vez mais
distantes, a União Europeia (UE) já demonstrava uma grande preocupação com o
“direito à privacidade” (right to privacy). Ainda que a percepção deste conceito tenha
sua gênese no aparato jurídico estadunidense (CASTELLS, 2003; REINALDO FILHO,
2013), o velho continente parece ter se sobressaído, logo de largada, em relação à
complexidade das medidas de regulamentações no que tange à captação de dados
dos usuários e seu processamento, visando desta maneira proteger a sua privacidade.
Todavia, em se tratando de um objeto em constante evolução, como é o caso
da internet, o próprio aparato jurídico encontrou dificuldades que muitas vezes só
foram contornadas com os “updates” da própria norma. Tendo os legisladores,
aprendido com as situações práticas da aplicabilidade daquilo anteriormente decidido.
Desde o surgimento da rede houve constante mutação da sua capacidade
informacional, ou da forma com que os dados são processados. Observar essas
revoluções, na atualidade, é escrupulosamente necessário para entendermos os
princípios que regem os aparatos mais importantes que preceituam o tema dentro – e
por influência da importância política do ator, até mesmo fora – da União Europeia.

2.1 Iniciativas Nacionais

Conforme apontam Reinaldo Filho (2013) e Riccardi (1983), desde a década

de 1970 legislações nacionais sobre a privacidade de dados já eram editadas; sendo
o estado federado (Länder) de Hesse, na Alemanha, o pioneiro dentre os europeus a
normatizar a pauta já no primeiro ano da década (Ato de Proteção de Dados de 07 de

1
Segundo a definição de Manuel Castells (2003), a rede de internet é composta por uma série de nós
(nodes, no inglês) interconectados. Esses nós são os pontos em que uma curva de rede se conecta a
outra. Essa interconexão gera uma malha as mais diversas malhas de rede ao redor do globo, as quais
podem ser usadas para os mais diversos fluxos e que irmão caracterizar propriamente a função daquele
“nó”.
 4

outubro de 1970, Gesetzuno Veroronungsblatt [GVBI] 625), seguido pela Suécia com
o Datalegen (Lei 289 de 11 de maio de 1973). Subsequentemente, novamente na
Alemanha, o estado federado de Rhein-Pfalz também aprovou o Ato de Proteção de
Dados de 24 de Janeiro de 1974 (GVBI 31), antes mesmo da legislação federal
publicada em 1977, que opunha-se ao uso ilícito de dados pessoais. A seguir, a
Dinamarca presidiu a questão, promulgando em 08 de julho de 1978 as Leis 243 e
244, cujo arcabouço se estendia à proteção de dados não só das pessoas físicas,
bem como das jurídicas. Também em 78, a França veio em assistência ao direito à
privacidade de dados pessoais com a Lei 78-77, de 06 de janeiro de 1978.
Não podemos deixar de assinalar ainda os casos particulares da Espanha e
Portugal, cujas constituições federais já versavam sobre o tema. Tendo, no caso da
Espanha, o art. 18 par. 1° resoluções sobre a proteção à privacidade em detrimento
de “invasões da atividade informática”. Já a Constituição Portuguesa, datada de 1977,
possui uma redação ainda mais intrincada, prevendo em seu art. 35 “o direito do
cidadão de conhecer os dados que lhe são concernentes”, e ainda deliberando que
tais dados “sejam utilizados de acordo com a finalidade para a qual foram recolhidos”
e até mesmo estabelece a possibilidade de retificação, em caso de erro, e sua
atualização (REINALDO FILHO, 2013).
Posteriormente outros países da Comunidade Europeia acabaram por publicar
normas de proteção à privacidade e regimentos do adequado processamento de
dados pessoais, os quais no geral, segundo Fred H. Cate (apud REINALDO FILHO,
2013, p. 01), caracterizam-se essencialmente por quatro aspectos, sendo eles:

a) aplicam-se em geral aos setores públicos e privados;

b) aplicam-se a um largo leque de atividades, incluindo a coleta de dados,
armazenamento, uso e disseminação;
c) elas impõem obrigações a qualquer pessoa que se envolva em alguma
dessas atividades;
d) têm em geral poucas limitações setoriais, isto é, aplicam-se indistintamente
a qualquer categoria de dados.

Observa-se assim, que o interesse sobre a securitização de dados pessoais e

preocupação com o direito à privacidade existem dentro da UE há algumas décadas.
Todavia, embora essa semente tivesse germinado cedo dentro da Europa, ela se
encontrava em variados estágios de desenvolvimento de acordo com a legislação de
cada país, tornando-se necessário empenhar-se na criação de algumas medidas para
a consonância da aplicabilidade das leis dentro do bloco.
 5

2.2 Principais Iniciativas multilaterais.

Percebemos, com o decorrer das décadas de 1970 e 1980, uma modificação

na agenda de segurança internacional, de forma a incluir a ascendente questão da
“noopolitik”, termo cunhado por John Arquilla e David Ronfeldt, que se refere às
matérias políticas originárias da “noosfera”, ou seja, o ambiente de informação global.
Este inclui o ciberespaço e todos os demais sistemas de informação, sejam eles
dentro da rede global ou não e, atualmente, aplicável desde as redes sociais, até a
mídia clássica (CASTELLS, 2003).
Dessa forma, o termo se presta a pontos além da cibernética:

A noopolitik pode ser contraposta à realpolitik, a abordagem tradicional em

termos de promoção do Estado na arena internacional, mediante negociação,
força, ou uso potencial de força. A realpolitik não desaparece na Era da
Informação. Mas permanece centrada no Estado, numa era organizada em
torno de redes, inclusive redes de Estados. Num mundo caracterizado por
interdependência global e moldado pela informação e a comunicação, a
capacidade de atuar sobre fluxos de informação, e sobre mensagens da
mídia, torna-se uma ferramenta essencial para a promoção de um programa
político. (CASTELLS, 2003, [164] p.)

Isso posto, a proteção da rede passa a ter visibilidade na agenda mundial, visto
que, conforme nos explica Castells (2003) a segurança de um nó em específico,
mesmo de expressivo poder, apenas será tão acentuada quanto a totalidade da
segurança da rede que, via de regra, não possui uma média tão resistente.
Além disso, em seu curto – quando comparadas a outras tecnologias –, porém
efervescente histórico de desenvolvimentos inovativos, a internet gerou uma
necessidade de escalonamento do aparato legal dos temas que a ela se referem. Não
sendo diferente em relação a segurança de dados. Assim, gerando consequências no
mundo cinético, na realpolitik, conforme a própria rede evolui, moldando e sendo
moldada pela forma com que interagimos com ela.
Analisaremos em seguida a gradual evolução histórica das legislações
multilaterais em matéria de proteção de dados, das quais originaram-se os
instrumentos legislativos vigentes, que serão tratados no capítulo 3.

2.2.1 As Recomendações da OCDE

 6

Com a progressiva importância e paulatino crescimento do poder de

processamento automatizado de dados, além da gradual inserção da tecnologia da
informação transpassando vários setores da vida econômica e social, a Organização
para a Cooperação e Desenvolvimento Econômico (OCDE) estabeleceu em 1980 a
publicação de Diretrizes relativas à política internacional sobre a proteção da
privacidade e dos fluxos transfronteiriços de dados pessoais (Guidelines on the
Protection of Privacy and Transborder Flows of Personal Data, em inglês), buscando
resguardar “o respeito à privacidade e a proteção dos dados pessoais em linha”.
(OECD, 2002, p. 02).
Na data de sua publicação, logo de início a organização já louvava o fato de
que mais da metade dos países membros da OCDE já haviam promulgado leis de
proteção à privacidade ou estavam em vias de fazê-lo (OECD, 1980). Não obstante,
por se tratarem de orientações, Soft Law, de caráter não vinculante, as mesmas não
possuíam de fato nenhum poder coercitivo sobre seus Estados-membros, admitindo
uma extensa inconstância na implementação dessas no corpo jurídico interno dos
Estados (EUROFOUND, 2011). Retornando assim, a questão da qual partimos
anteriormente da repetida carência de uma conciliação internacional em sua
legislação.

2.2.2 Convenção 108

Em busca desse consenso legal, surge então a Convenção 108, despontando

como “o primeiro instrumento internacional juridicamente vinculativo adotado no
domínio da proteção de dados”. (MILT, 2019). Publicado pelo Conselho da Europa em
1981, a Convenção para a Proteção de Indivíduos relativa ao Tratamento
Automatizado de Dados de Caráter Pessoal (Convention for the Protection of
Individuals with regard to Automatic Processing of Personal Data – Treaty No.108)
tinha como objetivo a proteção dos indivíduos de abusos decorrentes da coleta e
processamento de dados pessoais, ao mesmo tempo em que procura regulamentar o
fluxo transfronteiriço de destes (COUNCIL OF EUROPE, 1981).
De acordo com seu texto de abertura, a Convenção tenciona garantir a todas
as pessoas físicas “o respeito pelos seus direitos e liberdades fundamentais, e em
particular pelo seu direito à vida privada, no que diz respeito ao tratamento
 7

automatizado dos dados de caráter pessoal no que lhe concerne (‘data protection’)”.
(COUNCIL OF EUROPE, 1981, p. 1, tradução e grifo nosso).
Dessa maneira, a Convenção 108 acaba por reforçar um direito fundamental
previsto na Convenção Europeia dos Direitos do Homem (CEDH), expresso em seu
artigo 8°, referente ao direito ao respeito pela vida privada e familiar, categórico ao
afirmar que: “Qualquer pessoa tem direito ao respeito da sua vida privada e familiar,
do seu domicílio e da sua correspondência”. (COUNCIL OF EUROPE, [2013], p.11).
Apesar dos trunfos estabelecidos após 1985, data de sua promulgação, a
Convenção deixou a desejar em alguns aspectos. Por um lado, alguns países já
possuíam aparato legal quanto à proteção de dados pessoais pregressos à adesão
da mesma.
Por outro, devido à maneira com que foi engendrada, permitia aos países que
a ratificaram uma implementação variada de seus termos, e além disso, pecou em
não agregar ou especificar definições essenciais como, por exemplo, quanto ao grau
de segurança considerado “adequado” para a proteção de dados pessoais
(REINALDO FILHO, 2013).
Em consequência disto, coube a cada Estado-membro a diligência de
preencher as lacunas deixadas pelo tratado. Assim, instituindo suas próprias ideias e
juízos na adaptação das normas para seu Direito interno, reproduzindo mais uma vez
a heterogeneidade legislativa já praticamente consolidada como um signo para a
época.

2.3 Diretiva 95/46/EC: Uma empreitada em direção à aspirada consonância

europeia

Baseando-se no princípio de estreitamento dos povos europeus e os Estados

pertencentes à Comunidade europeia, sob influências das guidelines propostas pela
OCDE, e das experiências resultantes da Convenção 108, datando de 1995, e
vigorando a partir de 1998, a Diretiva 95/46/EC, almejava uma uniformização para
com as legislações dos países membros, visando a proteção da privacidade individual
na web, destarte, buscando uma regulamentação do processamento e livre
movimento dos dados pessoais (UNIÃO EUROPÉIA, 1995). Além disso, por ser uma
diretiva, funcionava como uma regulamentação comunitária vinculante, para os
Estados-membros da UE (SILVA, 2011).
 8

As imposições visavam defender as liberdades e os direitos fundamentais das

pessoas físicas, de qualquer povo da Comunidade, independentemente do seu país
e de sua origem. Sendo assim, ambicionava minguar as diferenças entre os Estados-
membros quanto ao nível de proteção de direitos de liberdade e privacidade, ao
mesmo tempo em que asseguraria a livre transmissão de dados entre os mesmos.
Consequentemente, exigia um fluxo de dados e nível de proteção equivalente para
todos os Estados da Comunidade como é apresentado em seu artigo primeiro:

1. Os Estados-membros assegurarão, em conformidade com a presente

directiva, a protecção das liberdades e dos direitos fundamentais das pessoas
singulares, nomeadamente do direito à vida privada, no que diz respeito ao
tratamento de dados pessoais.
2. Os Estados-membros não podem restringir ou proibir a livre circulação de
dados pessoais entre Estados-membros por razões relativas à protecção
assegurada por força do nº 1. (UNIÃO EUROPÉIA, 1995, p. 38)

A diretiva exigia de cada Estado-membro a constituição de uma agência de

proteção de dados, um recurso judicial, e uma autoridade pública independente, à
qual caberia o encargo de supervisionar o cumprimento da lei de proteção aos dados
pessoais, que deveriam ser editadas com relação ao processamento desses dados
(REINALDO FILHO, 2013; SILVA, 2011).
E, quebrando parte da cadeia de erros do Conselho 108, já em seu segundo
artigo estabelecia as definições deixadas de lado no aparato legal anterior,
concretizando uma posição clara do seu entendimento sobre diversos aspectos
essenciais ao tema, como por exemplo as definições de: ficheiro de dados pessoais,
responsáveis pelo tratamento, subcontratante, terceiro, destinatário e consentimento
da pessoa em causa, mas as mais importantes de serem ressaltadas, são as duas
primeiras designações do artigo:

a) « Dados pessoais », qualquer informação relativa a uma pessoa singular

identificada ou identificável (« pessoa em causa »); é considerado
identificável todo aquele que possa ser identificado, directa ou
indirectamente, nomeadamente por referência a um número de identificação
ou a um ou mais elementos específicos da sua identidade física, fisiológica,
psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais » (« tratamento »), qualquer operação ou
conjunto de operações efectuadas sobre dados pessoais, com ou sem meios
automatizados, tais como a recolha, registo, organização, conservação,
adaptação ou alteração, recuperação, consulta, utilização, comunicação por
transmissão, difusão ou qualquer outra forma de colocação à disposição, com
comparação ou interconexão, bem como o bloqueio, apagamento ou
destruição; (UNIÃO EUROPÉIA, 1995, p. 38-39)
 9

Compreende-se assim, que o domínio do conceito de “dados pessoais” se

estende não somente para informações textuais, como também para registros
fotográficos, sonoros, audiovisuais, inerentes a uma pessoa, e por pessoa,
entendemos que o conceito abrange em sua competência pessoas naturais em geral,
estando essas vivas ou não (REINALDO FILHO, 2013). Em se tratando da relação de
tratamento dos dados pessoais, a alínea, e posteriormente o artigo 3°, fazem questão
de ressaltar o fato de que são considerados tratamentos de dados pessoais aqueles
feitos de forma automatizada, parcialmente automatizada e, até mesmo, aqueles
feitos de maneira manual. A diretiva contempla não apenas a organização automática
do Big Data, mas qualquer procedimento não automatizado feito com esse, ou com
outros dados relativos à pessoa individual.
Dessa maneira, como é sugerido posteriormente na legislação, é determinada
vasta transparência no tratamento dos dados pessoais, sendo execrável seu
processamento de maneiras ilícitas, escusas, sem propósitos explícitos ou
divergentes daqueles inicialmente previstos. Além disso, a Diretiva exige que tais
dados deverão ser “adequados, pertinentes e não excessivos relativamente às
finalidades para que são recolhidos e para que são tratados posteriormente” (UNIÃO
EUROPÉIA, 1995, p. 40). Ademais, a norma prima também pela exatidão e
atualização, prevendo que aqueles dados inexatos ou incompletos devam ser
apagados ou retificados. Afora, ainda, a imposição de uma conservação adequada
“de forma a permitir a identificação das pessoas em causa apenas durante o período
necessário para a prossecução das finalidades para que foram recolhidos ou para que
são tratados posteriormente”. (EUR-LEX, 1995, p. 40).
Constata-se assim uma vasta gama de precauções, tanto na forma com que os
dados deveriam ser obtidos quanto na transparência do uso dos mesmos pelos
Estados-Membros.

2.3.1 A Relação da Diretiva 95/46/EC com os países Estrangeiros

Além da busca pela harmonização do aparato legal dos países membros, que
deveriam adotar medidas em conformidade a regras estabelecidas pelo Conselho, a
legislação também concernia à interação de terceiros com o bloco. Se por um lado
estipulava um nível de proteção de dados equivalente entre seus membros, em se
 10

tratando da interação com terceiros, o Conselho designou um nível mínimo de

proteção e normativas para processamento dos dados pessoais originários da EU.
Designou-se assim um “nível adequado de proteção” a ser atingido pelo Estado
que pleiteasse manter os fluxos de informações e processamento de dados pessoais
com o bloco. Os critérios de adequação de um país terceiro passavam por um crivo
mais amplo do que aquele aplicado aos Estados-membros da UE. Ao recorrer à
tamanha amplitude de parâmetros, a diretriz não pode escapar da inevitabilidade de
uma análise caso-a-caso, a qual seguia os princípios previstos no Artigo 25.2:

A adequação do nível de protecção oferecido por um país terceiro será

apreciada em função de todas as circunstâncias que rodeiem a transferência
ou o conjunto de transferências de dados; em especial, serão tidas em
consideração a natureza dos dados, a finalidade e a duração do tratamento
ou tratamentos projectados, os países de origem e de destino final, as regras
de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como
as regras profissionais e as medidas de segurança que são respeitadas
nesse país. (EUR-LEX, 1995, p. 45-46).

A partir de tais parâmetros o Conselho Europeu estabeleceria, ou não, o

consenso de que o país teria atingido a condição imposta. Em caso positivo o fluxo de
dados seria mantido e deveria continuar a ser inspecionado pela autoridade local
designada; em caso de negativa, haveria um bloqueio no fluxo de dados (UNIÃO
EUROPÉIA, 1995).
Considerando-se a necessidade de tal aprovação, uma peculiaridade pode ser
observada: a grande maioria dos Estados que obtiveram a titularidade de adequação
está disposta geograficamente nas adjacências da própria UE (SILVA, 2011). Apenas
alguns poucos países estão fora desse círculo, dentre eles, ressaltaremos aqui,
devido a sua importância para futuras normas europeias, o caso do Acordo de Porto
Seguro (Safe-Harbour Agreement) entre a UE e os EUA, que se manteve vigente até
2015 e cujos motivos e desdobramentos do cancelamento analisaremos na próxima
sessão.

2.3.2 Acordo de Porto Seguro

Como citado anteriormente, o direito à privacidade apresenta algumas

diferenças quando comparamos UE e EUA. Contudo, as diferenciações entre o bloco
e a potência americana vão além de sua essência em relação a amplitude desse
direito.
 11

A leste do Atlântico encontramos um sistema de proteção de dados pessoais

extensivo – como procuramos mostrar por meio de seu histórico –, que acabou por
fazer com que cada Estado-membro implementasse uma legislação própria
estabelecendo certa coesão comunitária dentro da União Europeia. Já a oeste, temos
um vigente sistema fragmentado, detentor de uma miríade de leis especiais, variando
tanto em nível federal quanto estadual “que regulam o processamento de informação
pessoal em circunstâncias específicas por determinadas entidades responsáveis por
esse tratamento”. (SILVA, 2011, p. 339, tradução nossa).
De maneira semelhante à União Europeia, o direito à privacidade
estadunidense é estabelecido pela Carta Magna, todavia, enquanto a Carta dos
Direitos Fundamentais da UE estabelece nitidamente os direitos à privacidade, como
citado anteriormente, a Constituição estadunidense não o faz de forma expressa,
sendo uma derivação da primeira, quarta e décima quarta emendas, onde se lê:

EMENDA I: O Congresso não legislará no sentido de estabelecer uma

religião, ou proibindo o livre exercício dos cultos; ou cerceando a liberdade
de palavra, ou de imprensa, ou o direito do povo de se reunir pacificamente,
e de dirigir ao Governo petições para a reparação de seus agravos.
[...]
EMENDA IV: O direito do povo à inviolabilidade de suas pessoas, casas,
papéis e haveres contra busca e apreensão arbitrárias não poderá ser
infringido; e nenhum mandado será expedido a não ser mediante indícios de
culpabilidade confirmados por juramento ou declaração, e particularmente
com a descrição do local da busca e a indicação das pessoas ou coisas a
serem apreendidas.
[...]
EMENDA XIV (1868) - Seção 1 Todas as pessoas nascidas ou naturalizadas
nos Estados Unidos e sujeitas a sua jurisdição são cidadãos dos Estados
Unidos e do Estado onde tiver residência, Nenhum Estado poderá fazer ou
executar leis restringindo os privilégios ou as imunidades dos cidadãos dos
Estados Unidos; nem poderá privar qualquer pessoa de sua vida, liberdade,
ou bens sem processo legal, ou negar a qualquer pessoa sob sua jurisdição
a igual proteção das leis. (ESTADOS UNIDOS DA AMÉRICA, [2009], p. [07]
e [09]).

Dessa forma, o direito à privacidade só é respaldado quanto a intrusões

governamentais na vida privada, mas não o faz em relação ao setor privado, e também
encontra restrições quando contraposto ao direito à liberdade de expressão, que
possui prioridade sobre o mesmo (SILVA, 2011).
Além disso, observa-se também incoerências quanto ao nível de importância
dos mecanismos de autorregulação e autocontrole. Na Europa esses mecanismo
possuem um papel consideravelmente menos significativo do que nos EUA,
determinando uma margem apertada para a implementação de uma autoridade
 12

federal regulatória, que promova e certifique-se do cumprimento das normas

apontadas pela UE com relação a proteção de dados, ou mesmo na existência de
uma autoridade conforme proposto pela Diretiva, a qual seria de inestimável valor para
a fiscalização, supervisão e efetivo cumprimento da legislação (EUR-LEX, 2000;
SILVA, 2011).
Levando tamanhas discrepâncias em consideração, é natural que o Conselho
Europeu tenha apresentado apreensão em conceder a titularidade de adequação aos
EUA. Sob outra perspectiva, o bloqueio de dados entre os dois atores seria nocivo à
relação comercial e teria consequências negativas internas para ambos. Em outras
palavras, o bloqueio atrapalharia principalmente as questões relacionadas a empresas
dos mais diversos setores cujas operações incluem a coleta de dados de indivíduos
europeus e sua troca ou processamento de dados em solo estadunidense. Além claro,
de empresas multinacionais que operavam em ambos os locais, e por questões
estruturais acabam tendo dados hospedados e processados tanto em diversos
Estados, como o caso da Google, por exemplo. Seria também um entrave para as
empresas aéreas que operam entre ambos os atores, e mantém um registro de
identificação dos passageiros (Passenger Name Record - PNR), que mais tarde
geraria um acordo específico entre os dois atores e mais alguns Estados.
Isso posto, foram travadas diversas negociações no intuito de construírem um
consenso que fosse aceitável a ambos, o que culminou na ratificação do Acordo de
Porto Seguro (Safe-Harbour Agreement), que propunha medidas conciliatórias entre
ambos os sistemas, por meio de concessões que culminaram na ritualização de
adequação dos EUA.
Assim, o acordo designou que o nível adequado de proteção seria atingido com
o cumprimento dos “princípios da privacidade em porto seguro” e as diretrizes de
questões mais frequentes anexadas ao Acordo, que nortearam a aplicação dos
princípios estabelecidos pelo Departamento de Comércio dos EUA. Princípios esses,
que:
[...] foram desenvolvidos com base em consultas ao sector [Departamento de
Comércio] e ao público em geral para facilitar as relações comerciais e as
transacções entre os Estados Unidos e a União Europeia. Destinam-se a ser
utilizados exclusivamente por organizações dos EUA que recebam dados
pessoais da União Europeia para efeitos de reconhecimento como «porto
seguro» e para a presunção de «adequação» implicada nesse processo.
Visto que estes princípios foram concebidos com aquele objectivo específico,
a sua adopção para outros fins pode revelar-se imprópria. Os princípios não
podem ser utilizados em substituição de disposições nacionais de aplicação
 13

da directiva em matéria de tratamento de dados pessoais nos Estados-

Membros. (EUR-LEX, 2000, p. 11).

Dessa maneira, concedeu-se aos EUA alguma margem de manobra ao

conciliar o escopo jurídico do bloco com o país. Além disso, visando manter a
transparência estabelecida pela Diretiva em seu continente de origem, as
organizações estadunidenses deveriam tornar público suas políticas sobre proteção
de dados privados, além de atribuir ao Departamento de Comércio dos EUA, ou seu
representante, a incumbência de manter uma lista pública atualizada das
organizações que se submeteram aos princípios previstos no acordo, visando a troca
de dados com a UE (EUR-LEX, 2000).
O Departamento de Comércio, por sua vez, designou a supervisão dos
cumprimentos das normas à Comissão Federal de Comércio (Federal Trade
Commission – FTC). Cabendo a esta garantir “a proibição dos actos ou às práticas
desleais ou enganosas relativas ao comércio, ou de outros organismos públicos que
efectivamente assegurem o respeito dos princípios aplicados [ao acordo]”. (EUR-LEX,
2000, p. 07).
Contudo, é importante ressaltar que a competência do FTC é um tanto quanto
escassa em se tratando de informações de propósitos distintos, como
telecomunicações e transportes, por exemplo, resignando ao órgão uma “competência
residual”, disputando jurisdição com outras autoridades, a exemplo: Federal Reserve
Board, Office of Thrift Supervision, National Credit Union Administration Board, e até
mesmo o Departamento de Transporte, ou o Departamento de Agricultura (SILVA,
2011).
Inicialmente, as reações ao Acordo de Porto Seguro foram otimistas, pois ele
previa a possibilidade de harmonizar os marcos regulatórios dos Estados Unidos e da
União Europeia. No entanto, o tempo nos permitiu apreciar os reais efeitos do Acordo:
a multiplicidade das disposições legais aplicáveis, o mosaico das autoridades de
supervisão, a "aplicação" muito limitada, a ampla margem de autorregulamentação, o
número ainda pequeno de organizações que aderiram de fato e a credibilidade do
mecanismo de autocertificação são fatores que geram certa decepção quanto à
eficácia do “Acordo de Porto Seguro” e ao nível de proteção que ele forneceria para
dados pessoais.
Observa-se assim um grande exemplo de flexibilidade e concessões da União
Europeia em relação ao Acordo de Porto Seguro. Os Estados Unidos apresentavam
 14

um déficit de proteção, quando comparados a alguns aspectos da Diretiva, como a

falta de uma autoridade supervisora independente, ou o regime jurídico mais extensivo
(SILVA, 2011). Apesar dessas ressalvas, o livre fluxo de dados e a titularidade de
adequação foram estabelecidas sem embargos, o que posteriormente, como
analisaremos, renderia consequências negativas no que tange a proteção de dados
pessoais.

2.3.3 Considerações sobre a aplicação prática da Diretiva

Embora a Diretiva 95/46/CE tratasse de um regime normativo extensivo,

algumas de suas disposições, como é o caso do que diz respeito ao “nível adequado
de proteção” acabaram por gerar certas divergências no que concerne ao alcance
factual do cumprimento de tal exigência. Certamente, a diferenciação entre o
tratamento dos Estados-membros do bloco e Estados que não fazem parte do mesmo
se mostrava necessária para não ferir outros Acordos internacionais. Nesse caso
especialmente em se tratando do Acordo Geral Sobre Comércio e Serviço, retificado
multilateralmente e fiscalizado pela Organização Mundial do Comércio (OMC),
estabelecendo diretrizes que evitam condutas discriminatórias no âmbito de comércio
internacional.
Segundo a análise de Krejewski Markus (apud. SILVA, 2011) a flexibilidade da
Diretiva em relação a terceiros é a chave para que suas imposições não transgridam,
per si, as imposições de condutas elencadas pelo Acordo Geral sobre Tarifas e
Comércio (General Agreement on Tariffs and Trade, GATT). Isto é, demonstrando um
menor grau de exigência para com terceiros, a Diretriz não geraria nenhuma infração,
já que não solicitaria desses países a “equivalência de segurança” feita aos países
membros. Contudo, ao fazê-lo caso a caso, não poderia, por exemplo, aplicar a
titularidade de adequação a um país e não aplicá-la a outro que seguisse os já
previstos elementos-base relativos à mesma. Isso, por sua vez, no decorrer das
aprovações acabou abrindo precedente para uma maior maleabilidade de tolerância
em relação aos países que recebiam a qualificação de “adequados” (SILVA, 2011). O
que fez com que o termo, apesar de possuir requisitos essenciais que o norteiam,
ainda fosse impreciso e, de certa forma, heterogêneo, se analisarmos o panorama de
concessões feitas pelo Conselho Europeu contraposto a essência do seu objetivo
primeiro de buscar uma consonância.
 15

Ao observarmos o quadro geral da Diretiva, constatamos que, embora

legislações locais de atores de grande visibilidade no Sistema Internacional, como foi
e continua sendo o caso da União Europeia, suas tentativas de harmonização foram
um pouco menos eficientes do que o esperado, quando postas em contraste com a
implementação prática dos demais atores como um todo. Demonstrando assim a
necessidade de outro “upgrade” normativo, e justificando a suspensão da norma por
uma lei executória de mais força vinculativa, e as demais modificações feitas pela UE
tanto na busca por uma melhor aplicabilidade da lei quanto pela necessidade de
ampliar seu escopo para abarcar novos nichos que se proliferaram e ramificaram
vastamente, como o caso das redes sociais.
Analisaremos melhor tais evoluções na sessão seguinte, examinando o que se
pode aproveitar de todo esse rico histórico evolutivo da legislação, e em quais
aspectos as normas tiveram de implementar um maior grau de sintetização e
adaptabilidade.

3. A NOVA REFORMA NAS NORMAS PARA PROTEÇÃO DE DADOS NA UNIÃO

EUROPEIA

Buscamos ressaltar com o histórico analisado no capítulo anterior, a

necessidade de uma contínua atualização das regulamentações acerca da
privacidade de dados. Alguns dos princípios estabelecidos pela Diretiva 95/45/EC, da
Convenção 108 e até mesmo pelas guidelines da OCDE se calcificaram como
verdadeiros, porém naquela época, não existiam certas ferramentas que hoje se
tornaram populares, as quais essas regras não conseguem alcançar. As mídias e
redes sociais se popularizaram e consolidaram-se nas duas últimas décadas. Houve
ainda, o surgimento de serviços em nuvem, uma realidade pouco presumível quando
essas leis foram concebidas.
Contudo, a União Europeia vem mantendo seu pioneirismo, ao buscar
acompanhar os rápidos desenvolvimentos e evoluções dos serviços de tecnologia da
informação. Nesse contexto, a Comissão Europeia, entabulou um grande processo de
modernização do quadro de regulamentação de privacidade de dados, que culminou,
primeiramente, na proposta em 2012, e sua posterior aprovação em abril de 2016, de
um pacote legislativo o qual inclui, o novo Regulamento Geral sobre a Proteção de
Dados (General Data Protection Regulation, GDPR), tema sobre o qual nos
 16

debruçaremos mais extensivamente, e a Diretiva 2016/680 sobre a proteção de dados

pessoais tratados para efeitos de aplicação do direito penal, ambos vigorando a partir
de maio de 2018 (UNIÃO EUROPEIA. Secretariado-Geral do Conselho, 2019b;
UNIÃO EUROPEIA. Secretariado-Geral do Conselho, 2019c; UNIÃO EUROPEIA.
Parlamento Europeu, 2019a; ).
Em resumo, a Diretiva relativa a proteção de dados na aplicação da lei
funciona como uma espécie de complemento para o GDPR, mas aplicada a órgãos
públicos que fazem a manutenção da aplicação da Lei:

[...] protege o direito fundamental dos cidadãos à proteção de dados quando

os dados pessoais forem utilizados pelas autoridades responsáveis pela
aplicação da lei. Ela garante que os dados pessoais de vítimas, testemunhas
e suspeitos de crimes são devidamente protegidos e facilita a cooperação
transfronteiriça na luta contra a criminalidade e o terrorismo (UNIÃO
EUROPEIA. Parlamento Europeu, 2019a).

Além disso, em 2017 foi apresentada pela Comissão Europeia uma nova
proposta ainda em análise de implementação: o Regulamento do parlamento europeu
e do conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais
nas comunicações eletrônicas e que revoga a Diretiva 2002/58/CE (Regulamento
relativo à privacidade e às comunicações eletrônicas). The ePrivacy Regulation (ePR)
como ficou conhecido, faz parte da Estratégia para o Mercado Único Digital (UNIÃO
EUROPEIA. Comissão Europeia, 2019), que atesta a necessidade da legislação se
adaptar e alinhar suas regras as novas possibilidades da era da informação, ainda
assegurando a proteção de dados, mas buscando um novo rompimento de barreiras
territoriais para unificação do comércio eletrônico, além de melhorias de serviços de
internet em todo o território do bloco de forma una, dentre outras propostas que vão
além do escopo do presente trabalho (UNIÃO EUROPEIA. Comissão Europeia, 2019;
EUROPEAN UNION. European Commission, 2019; UNIÃO EUROPEIA. . Parlamento
Europeu, 2019b).

Restringiremos nosso foco ao GDPR, pois esse causou as mais drásticas

mudanças quanto a regulamentação da privacidade de dados desde a implementação
da Diretiva de 95. Além, claro, de ser a ferramenta que vem preparando o terreno para
as próximas estratégias digitais na Europa, e, devido a sua influência, no mundo.
 17

A seguir, analisaremos os pontos chaves de alteração realizados pela lei.

3.1 As principais mudanças impostas pelo GDPR

Ao entrar em vigor, o GDPR revogou a Diretiva 95/46/CE (UNIÃO EUROPEIA.

Secretariado-Geral do Conselho, 2019c), assumindo o papel quanto a proteção de
dados pessoais individuais no que tange o tratamento e a livre circulação desses.
Implementando as regras existentes, e intensificando sua fiscalização. Devemos
ressaltar que apesar da legislação anterior ter feito grandes avanços, ela era apenas
uma diretiva, que dava espaço de manobra para os países na hora de implementar a
legislação no seu Direito interno, já o GDPR se trata de uma lei executória, ou seja, é
uma norma que por si mesma gera uma obrigatoriedade de cumprimento de seu texto.
Ademais, por se tratar de uma norma de maior amplitude, ao mesmo tempo em
que possui regras mais específicas quanto às propriedades normativas, pode
sintetizar as pautas em que as normas anteriores tiveram êxito e adaptar-se em
relação aos problemas. Elencaremos aqui alguns pontos chave de modificação na
nova norma, os quais acreditamos causar maior impacto em se tratando do atual
contexto dos sistemas de informação.

a) Incremento do escopo territorial:

Talvez, essa seja a principal mudança causada pela lei. A amplificação da

jurisdição ocasionada pelo GDPR, de forma a ser aplicada a todas as empresas que
processem ou venham a processar dados pessoais cujos titulares residam na UE,
independentemente da localização mundial da organização em questão (UNIÃO
EUROPEIA. Secretariado-Geral do Conselho, 2019c; EU GDPR PORTAL, 2018c).
Tal especificidade de jurisdição se originou dos diversos processos judiciais
devido a ambiguidade da diretiva ao se referir ao processamento de dados “no
contexto de um estabelecimento” (EU GDPR PORTAL, 2018b; EU GDPR PORTAL,
2018c). Já o GDPR é claro em seu artigo 3° (EUR-LEX, 2016b) ao estabelecer sua
aplicabilidade tanto a controladores quanto a serviços de processamento de dados
pessoais de indivíduos residentes na UE, independentemente do processamento ou
hospedagem ocorrer dentro ou fora do bloco. Outrossim, ao apontar para
controladores, não exime os serviços de nuvem de cumprirem com a regulamentação
 18

(UNIÃO EUROPEIA. Secretariado-Geral do Conselho, 2019c; EU GDPR PORTAL,

2018c).

b) Penalidades:

Aplicando-se a controladores e processadores, o GDPR estabeleceu uma

multa de até 20 milhões de euros ou 4% do faturamento anual das organizações que
violarem suas normas. Esse valor é atribuído tanto para as infrações mais graves,
como por exemplo, aqueles casos em que a organização não possui consentimento
suficiente “para processar dados ou violar o núcleo dos conceitos de Privacidade por
Design” (EU GDPR PORTAL, 2018c, online), quanto para a abordagem cumulativa a
penalização de múltiplas inflações conforme previsto no artigo 83 ((UNIÃO
EUROPEIA. Secretariado-Geral do Conselho, 2019c; EUR-LEX, 2016b). A escolha da
penalidade a ser atribuída deve ser feita a partir do valor mais alto, de forma que pode
ser relativamente dura com empresas maiores cujo faturamento ultrapasse em grande
escala os 20 milhões de euros.

c) Consentimento

No que se refere a condições de consentimento, o GDPR reforçou a norma

quanto a sua cessão, e vetou a prática de apresentar termos e condições de maneira
ilegível ou longa, cheios de termos jurídicos que dificultem o entendimento do que está
de fato sendo concedido ao processador ou controlador (EU GDPR PORTAL, 2018c;
EUR-LEX, 2016b). A legislação estipula que:

O consentimento do titular dos dados deverá ser dado mediante um ato

positivo claro que indique uma manifestação de vontade livre, específica,
informada e inequívoca de que o titular de dados consente no tratamento dos
dados que lhe digam respeito [...]. O silêncio, as opções pré-validadas ou a
omissão não deverão, por conseguinte, constituir um consentimento. O
consentimento deverá abranger todas as atividades de tratamento realizadas
com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos,
deverá ser dado um consentimento para todos esses fins. Se o
consentimento tiver de ser dado no seguimento de um pedido apresentado
por via eletrônica, esse pedido tem de ser claro e conciso e não pode
perturbar desnecessariamente a utilização do serviço para o qual é fornecido
(EUR-LEX, 2016b, p. 06).
 19

Dessa maneira, a nova norma busca definir com clareza tanto a especificidade
quanto a extensão do consentimento dado. E mesmo em casos em que não é possível
identificar a totalidade da finalidade do uso de dados, como para casos de
investigação científica, o consentimento é dado para uma área específica a ser
explorada à medida que uma finalidade é estipulada. Ademais, também limita o
consentimento de crianças menores de 16 anos, de forma que o consentimento dos
dados relativos a essas só pode ser feito pelos tutores legais das mesmas (EUR-LEX,
2016b).

d) Notificação de uma violação de dados pessoais:

Em caso de uma violação de dados pessoais que possa por em riscos os

direitos e liberdades do indivíduo o GDPR é mandatório quanto a notificação,
estabelecendo um prazo de até 72 horas a partir da tomada de conhecimento para
acionar as autoridades competentes, fazendo-as saber do ocorrido. Segundo o texto,
o responsável deve documentar “quaisquer violações de dados pessoais,
compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a
medida de reparação adotada. Essa documentação deve permitir à autoridade de
controlo verificar o cumprimento do disposto no presente artigo” (EUR-LEX, 2016b, p.
17), e ainda, em caso de impossibilidade da notificação em até 72 horas após a
tomada de conhecimento da violação, a notificação deve conter também os motivos
pelos quais foi acarretado o atraso.
A partir do momento em que se tomou ciência de uma violação de risco elevado
aos direitos e liberdades dos indivíduos, o responsável pelo tratamento, ou
controlador, deve ainda notificar o(s) titular(es), descrevendo de maneira objetiva, e
através de uma linguagem simples e clara a extensão e natureza da violação,
carecendo ao menos informar:

[...] o nome e os contactos do encarregado da proteção de dados ou de outro

ponto de contacto onde possam ser obtidas mais informações; [...] descrever
as consequências prováveis da violação de dados pessoais; [...] Descrever
as medidas adotadas ou propostas pelo responsável pelo tratamento para
reparar a violação de dados pessoais, inclusive, se for caso disso, medidas
para atenuar os seus eventuais efeitos negativos (EUR-LEX, 2016b, p. 52).
 20

Embora a notificação do titular dos dados de uma possível violação não tenha
um prazo específico como no caso das autoridades, é indicado que a notificação seja
feita sem demora injustificada, e caso não seja feita pelos responsáveis, cabe às
autoridades o fazê-lo, mesmo nos casos em que a comunicação direta seja difícil, é
prevista que seja feita uma comunicação pública da violação (EUR-LEX, 2016b).

e) Direito de acesso:

Seguindo essa linha de expansão dos direitos dos titulares dos dados, o GDPR
estabeleceu uma medida importante para a transparência do tratamento e controle de
dados e empoderamento dos indivíduos titulares dos mesmos. Sendo assim,
estipulou-se o direito do titular de receber uma confirmação do controlador ou
processador referentes ao status do processamento dos dados referentes a si mesmo,
ou seja, se eles estão ou não sendo processados, onde estão sendo processados, e
com qual finalidade. Ademais, o responsável por esses dados é compelido a oferecer
de forma gratuita e eletrônica uma cópia dos dados pessoais em tratamento sob sua
responsabilidade, ao titular dos mesmos (EU GDPR PORTAL, 2018c). No caso de
novas solicitações feitas “pelo titular dos dados, o responsável pelo tratamento pode
exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos”
(EUR-LEX, 2016b, p. 43).

f) Direito ao apagamento dos dados:

O reforço das garantias do direito ao esquecimento foi um importante princípio

proposto pelo GDPR, principalmente ao considerarmos as denúncias apuradas no
Acórdão Schrems, sobre o fato de que o Facebook ainda mantinha dados apagados
pelo usuário em seu sistema interno (LESLIE, 2013). O artigo 17 da legislação
estabelece que o responsável pelo tratamento deve obrigatoriamente assegurar o
direito de obtenção do apagamento dos dados pessoais de um indivíduo perante
solicitação do mesmo, e o procedimento deve ser feito sem demora injustificada,
perante algumas condições (EU GDPR PORTAL, 2018c; EUR-LEX, 2016b). Essas
abarcam os dados que se tornaram irrelevantes para os propósitos originalmente
previstos no processamento, ou a retirada de consentimento pelo titular dos dados.
“Também deve ser observado que esse direito exige que os controladores comparem
 21

os direitos dos sujeitos ao ‘interesse público na disponibilidade dos dados’ ao

considerar tais solicitações” (EU GDPR PORTAL, 2018c, online).

g) Portabilidade de dados:

A portabilidade de dados foi um aspecto importante instaurado pelo GDPR, ao

apresentar a possibilidade de um indivíduo receber os dados pessoais que lhe
concernem, e que anteriormente tenham sido fornecidos a um responsável de
tratamento “num formato estruturado, de uso corrente e de leitura automática” (EUR-
LEX, 2016b, p. 45), garantindo ao titular o direito de transmiti-los a um novo
responsável de tratamento, sem o impedimento do primeiro.

h) Proteção de dados desde a concepção e por defeito:

Esse princípio estabelece que a questão da privacidade de dados seja um

direito assegurado desde a concepção do sistema, e não seja imposto apenas como
um adicional ao final do processo. Impõe que o responsável pelo tratamento deve

[...] tanto no momento de definição dos meios de tratamento como no

momento do próprio tratamento, [aplicar] as medidas técnicas e organizativas
adequadas, como a pseudonimização, destinadas a aplicar com eficácia os
princípios da proteção de dados, tais como a minimização, e a incluir as
garantias necessárias no tratamento, de uma forma que este cumpra os
requisitos do presente regulamento e proteja os direitos dos titulares dos
dados (EUR-LEX, 2016b, p. 48).

É assegurando ainda que os controladores não processem os ou arquivem

mais dados do que o estritamente necessário para o cumprimento das funções
previamente estabelecidas, de forma que, impõe um limite de acesso apenas aos
dados que precisam ser processados (EU GDPR PORTAL, 2018c).

i) Data Protection Officers (DPO):

Com a aplicação de várias mudanças instauradas pelo GDPR, torna-se

necessária a existência de um centro de controle não só por parte de uma autoridade
da União Europeia, mas também por parte do responsável pelo tratamento dos dados
pessoais ou seu subcontratante. Tomando isso por base, a legislação definiu a
 22

exigência de certas empresas destacarem um responsável pelo cargo de liderança da

segurança corporativa. Cabendo ao titular dessa função supervisionar as estratégias
para a proteção de dados pessoais de uma empresa, bem como fiscalizar sua efetiva
execução em conformidade com a lei (EU GDPR PORTAL, 2018c; EUR-LEX, 2016b;
LORD, 2019)
Como citado, contudo, a designação de um DPO não cabe a toda e qualquer
empresa, ela se aplica apenas para algumas organizações relacionadas a situações
específicas. A exigência de um DPO só é aplicável àquelas companhias de
controladores, processadores e subcontratantes cujas principais atividades de
atuação se relacionem a “operações de processamento que requerem monitoramento
regular e sistemático dos titulares de dados em larga escala ou de categorias
especiais de dados ou dados relacionados a condenações e infrações penais” (EU
GDPR PORTAL, 2018c, online, tradução nossa).
Evidentemente, conforme indicado no texto normativo, o exercício de tal cargo
não deve ser apontado de maneira leviana, “para inglês ver”, de modo que a
designação do profissional em questão deva ser procedida com zelo, baseando-se
assim “nas suas qualidades profissionais e, em especial, nos seus conhecimentos
especializados no domínio do direito e das práticas de proteção de dados, bem como
na sua capacidade para desempenhar as funções [exigidas]” (EUR-LEX, 2016b, p.
55) podendo ser um membro da equipe da própria organização ou ainda um provedor
de serviços externo. Ademais, os recursos para a realização da tarefa devem ser
providos de maneira adequada para a sua plena execução, bem como a atualização
e especialização de conhecimento do funcionário (EU GDPR PORTAL, 2018c; EUR-
LEX, 2016b)
Para facilitar a comunicação das autoridades, seus contatos devem ser
fornecidos à Data Protection Authorities (DPA) competente. E os reportes devem ser
feitos ao mais alto nível de gerenciamento da empresa, e a DPA quando necessários.
Além do mais, para evitar conflitos de interesse, o DPO deve realizar apenas as
tarefas que concernem ao seu cargo, evitando julgamentos e fiscalizações
inadequadas devido a inclinações que não lhe são primárias no exercício de sua
função funcionário (EU GDPR PORTAL, 2018c; EUR-LEX, 2016b).
As mudanças chave aqui elencadas, bem como as demais normas assimiladas
das legislações anteriores, já causaram impactos positivos neste um ano e meio em
que o GDPR passou a vigorar, os quais exploraremos nas sessões seguintes. É
 23

importante, contudo, salientar dois importantes casos cujos trâmites e decisões

ocorreram no contexto histórico da própria formulação da Lei, e que, tanto sofreram
uma influência da nova ideologia em relação a proteção de dados que já permeava a
União Europeia, quanto serviram de alicerce para alguns dos princípios essenciais
aqui tratados.

4 INFLUÊNCIAS E DESDOBRAMENTOS DO GDPR

Os pontos chaves de mudanças propostas pelo GDPR analisados na sessão

anterior servem como um indicativo da complexidade da norma. Como já é esperado
para um texto tão extenso, a legislação teve um longo caminho desde a sua
concepção até a entrada em vigor em abril de 2018. Conforme já citado, as propostas
iniciais de um update da legislação, datam de 2012. A aprovação de um primeiro
esboço do que viria a ser o GDPR foi feita em março de 2014 pelo parlamento, e em
junho de 2015 o Concelho da União Europeia aprovou a empreitada geral em sua
primeira leitura passando-a para seu estágio de “trialogo”, onde o texto passou a ser
debatido e negociado pelos membros da Comissão Europeia, Concelho da Europa e
pelo Parlamento Europeu para seus ajustes finais. (EU GDPR PORTAL , 2018d)
Como é comum no direito, as maiores mudanças na legislação costumam ter
seu pontapé inicial causado por casos práticos, em se tratando deste tema, aqueles
levados a luz da Corte de Justiça da União Europeia (Court of Justice of the European
Union, CJEU). Enquanto a regulamentação ainda estava em discussão, dois
importantes casos foram levados a CJEU: o caso Weltimmo, relacionado a política de
balcão único (one-stop-shop) da regulamentação europeia, e, o pedido de invalidação
do Acordo de Porto-Seguro.
Nos utilizaremos desses dois casos para apresentar as influências do contexto
histórico da época sobre certos aspectos importantes da norma, e depois nos
estenderemos para os aspectos práticos da aplicação da mesma após abril de 2018.

4.1 O Caso Weltimmo, o colapso do Acordo de Porto Seguro e o novo Escudo

de Proteção da Privacidade UE-EUA

Decorrente de uma falha na Diretiva anterior, a política de balcão único surgiu

dentro do GDPR como uma medida que tentava minimizar parte da burocracia em
 24

relação a regulamentação da privacidade de dados, facilitando assim a relação das

empresas com a União Europeia. Essa medida, que causa controvérsias até hoje, foi
uma importante pauta insuflada pelo que ficou conhecido como caso Weltimmo.
A principal controvérsia da decisão da CJEU quanto ao processo judicial em
questão se dá pelo uso flexibilizado do contexto de estabelecimento, onde a
sociedade constituída na Eslováquia, foi considerada “estabelecida” na Hungria.
Perante o argumento de que “mantinha uma página internet de intermediação
imobiliária onde divulgava, em Húngaro, imóveis localizados na Hungria; um
representante local; um endereço postal local; e uma conta em um banco local”
(FERREIRA, 2018, online). Visto assim, o CJEU decidiu que as empresas que se
encontram nessas condições deveriam também obedecer às legislações locais, nesse
caso não só as da Eslováquia como a da Hungria (EUR-LEX, 2015b).
Observamos assim uma problematização do escopo de territorialidade, as
divergências de legislação, a necessidade de eleger-se um balcão onde a empresa
pudesse tratar sobre a regulamentação da política de dados. Questões essas que o
GDPR já buscou resolver, definindo que:

Quando o tratamento de dados pessoais ocorra no contexto das atividades

de um estabelecimento de um responsável pelo tratamento ou de um
subcontratante na União e o responsável pelo tratamento ou o subcontratante
esteja estabelecido em vários Estados-Membros, ou quando o tratamento no
contexto das atividades de um único estabelecimento de um responsável pelo
tratamento ou de um subcontratante, na União, afete ou seja suscetível de
afetar substancialmente titulares de dados em diversos Estados-Membros, a
autoridade de controlo do estabelecimento principal ou do estabelecimento
único do responsável pelo tratamento ou do subcontratante deverá agir na
qualidade de autoridade de controlo principal. Esta autoridade deverá
cooperar com as outras autoridades interessadas, porque o responsável pelo
tratamento ou o subcontratante tem um estabelecimento no território do seu
Estado-Membro, porque há titulares de dados residentes no seu território que
são substancialmente afetados, ou porque lhe foi apresentada uma
reclamação. (EUR-LEX, 2016b, p.23)

Dessa forma, as empresas multinacionais que processem ou controlem dados

de vários estados membros estabeleceram sua relação com a DPA de sua sede, e
aquelas cuja sede mundial é localizada fora da Europa, podem eleger uma localização
para a sua sede europeia, e consequentemente a autoridade que será a principal
autoridade controladora de sua relação com o bloco. Um interessante fato observado,
é que muitas das grandes empresas de tecnologia mundial como Apple, Facebook,
 25

Google e LinkedIn acabaram por eleger a Irlanda como sua sede europeia. O que
acaba gerando certo acúmulo nas atividades da DPA em questão.
Menos de uma semana após a decisão do caso Weltimmo, o CJEU invalidou o
Acordo de Porto Seguro, decidindo (mais uma vez) que o país possuía um nível de
proteção inadequado e suspendendo grande parte das transferências de dados entre
UE-EUA. Apesar de não ser a única forma de se transferir dados entre os dois Atores,
a medida afetou cerca de 4500 empresas dependentes dessa ferramenta jurídica para
sua transferência. A decisão do CJEU em 2015 se pautou no argumento de que as
autoridades públicas estadunidenses trabalhavam de maneira antagônica as
propostas previstas pelo Acordo de Porto Seguro, e também possuíam uma legislação
conflitante com o mesmo em determinadas circunstâncias. Mas o caso naturalmente
vai muito além disso.
Afora as falhas as quais buscamos analisar anteriormente em nossa crítica ao
Acordo de Porto Seguro, o estopim de seu cancelamento foi gerado por um
importante agravante: a repercussão das revelações de Edward Snowden sobre as
práticas de espionagem e vigilância da National Security Agency (NSA) por meio do
programa de vigilância PRISM, que usava como ferramenta a recolha maciça de
informações. A questão chegou ao conhecimento da CJEU, em junho de 2013, pelo
ativista austríaco Maximillian Schrems (LESLIE, 2013; EUR-LEX, 2015a). As queixas
prestadas por Schrems foram inicialmente direcionadas aos países sede das
empresas acusadas de repassarem dados de seus usuários, inclusive aqueles
coletados indiretamente, à NSA. E, incluíam as sucursais das companhias Apple,
Facebook, Microsoft, Skype e Yahoo.
A pauta suscitou alarmantes apreensões tanto a nível do bloco, como entre
seus Estados-membro, para o tratamento e processamento dos “dados pessoais
realizados em grande escala pelas autoridades públicas e empresas privadas nos
Estados Unidos” (EUR-LEX, 2016a) e as consequências do programa em relação aos
direitos fundamentais dos cidadãos europeus. O processo, consolidado
posteriormente como Acórdão Schrems, gerou então a suspensão dos fluxos de
dados das relações transatlânticas, a qual foi re-estabelecida em novembro do mesmo
ano, por uma medida intitulada “Restabelecer a confiança nos fluxos de dados entre
a UE e os EUA”.
Foram impostos três requisitos para que a confiança fosse restaurada entre os
dois Atores: o primeiro deles impunha a adoção do pacote de medidas proposto pela
 26

Comissão em 2012 (o GDPR e a Diretiva de Cooperação Policial), o segundo

requisitava fortalecer “as garantias em matéria de proteção de dados no quadro da
cooperação entre os serviços repressivos, nomeadamente concluindo as negociações
do Acordo-Quadro UE-EUA2 sobre a proteção de dados pessoais” (EUR-LEX, 2017),
e o terceiro propunha o reforço da esfera de segurança do sistema do Tratado de
Porto Seguro de acordo com treze recomendações da comissão do parlamento.

As referidas recomendações incidiam sobre: (i) o reforço dos princípios de

fundo da proteção da vida privada e maior transparência das políticas de
proteção da privacidade das empresas americanas autocertificadas que
integraram esses princípios; (ii) uma supervisão, controlo e aplicação mais
eficazes e efetivos pelas autoridades americanas relativamente ao respeito
desses princípios pelas empresas em causa; (iii) a disponibilização de
mecanismos de resolução de litígios acessíveis para as queixas individuais;
e (iv) a necessidade de assegurar que a utilização da exceção da segurança
nacional e da aplicação da Decisão «porto seguro» de 2000 se limitaria ao
estritamente necessário e proporcional aos fins a atingir (EUR-LEX, 2013, p.
09).

A partir de então, em janeiro de 2014, a Comissão iniciou um diálogo com as

autoridades dos EUA, mas a Decisão da CJEU em outubro de 2015 demonstrou a
necessidade da adesão de uma postura mais rígida quanto aos fluxos de dados UE-
EUA. Ressaltava a imprescindibilidade de elencar limitações, requisitava a presença
de garantias do cumprimento normativo, e ainda instrumentos de controle jurisdicional
que assegurassem a proteção dos dados pessoais de indivíduos europeus,
independentemente da necessidade do acesso dos dados para ”efeito de segurança
nacional, de interesse público ou de aplicação coerciva da lei” (EUR-LEX, 2013, p.
09).
Após o episódio, novas negociações foram traçadas e dois anos depois surgia
um novo acordo, o Escudo de Proteção da Privacidade UE-EUA, que buscava

2
Acordo entre a União Europeia e os Estados Unidos sobre a proteção de dados pessoais em âmbito de
cooperação, prevenção e investigação ao combate a infrações penais. O acordo estabeleceu um alto nível de
enquadramento das informações pessoais intercambiadas visando a aplicação da lei, o combate ao terrorismo e
ao crime organizado (UNIÃO EUROPEIA. Secretariado-Geral do Conselho, 2016; UNIÃO EUROPEIA. Parlamento
Europeu, 2019a).
 27

conciliar as exigências propostas pela CJEU no Acórdão Schrems, e atender as treze

recomendações da Comissão.
Segundo declaração da Comissão Europeia sobre o tratado, o mesmo previa
numerosas melhorias em contraste a perspectiva anterior no tangente de
compromissos assegurados por empresas americanas. De forma que:

“Contém igualmente novos e importantes compromissos e explicações

pormenorizadas sobre a regulamentação e as práticas das autoridades
americanas. Ao contrário do quadro anterior, o Escudo de Proteção da
Privacidade cobre não só compromissos no setor comercial, mas também de
forma significativa e pela primeira vez nas relações UE-EUA, no domínio do
acesso aos dados pessoais pelas autoridades públicas, incluindo para fins de
segurança nacional. Trata-se de um elemento crucial e necessário à luz da
jurisprudência do Tribunal de Justiça tendo em vista restaurar a confiança nas
relações transatlânticas após as revelações relativas às atividades de
vigilância.” (EUR-LEX, 2013, p. 10).

Apesar de todas essas mudanças, não podemos ter certeza se a

implementação de escopo do GDPR e o novo acordo, também conhecido como Safe
Harbor 2.0, poderão de fato suprir todas as lacunas da estrutura normativa anterior.
Existe uma expectativa positiva em relação a combinação de ambos, e a ambição de
que o escudo atenue a pressão sobre as empresas, para que essas possam fazer a
manutenção da transferência e processamento de dados de forma legal (EU GDPR
PORTAL, 2018b).
Espera-se, contudo, que o bloco tenha sintetizado suas experiências
indulgentes do passado, ao relevar certos aspectos da Diretiva para o benefício da
troca de informações EUA-UE, que acabaram por prejudicar a segurança e
privacidade de dados dos indivíduos europeus, principalmente em se tratando da
recolha de Big Data, onde acabamos por produzir, tanto de forma direta quanto de
forma indireta, mais e mais dados sobre nós mesmos. Os quais são recolhidos com a
finalidade de aprimoramento dos sistemas de redes sociais, publicidades melhor
direcionadas, ou mesmo a coleta de nossas atividades na rede com intuito de
aprimorar a eficácia das ferramentas de pesquisas, funcionamento de softwares, etc.
Para um panorama atualizado dos impactos da nova lei, apontaremos a seguir
um pequeno balanço das decisões tomadas pelas autoridades fiscalizadoras e
 28

algumas mudanças já visiveis na posturas de Estados e Empresas após sua entrada

em vigor.

4.2 Consequências Práticas do GDPR

Conforme análise anterior, já podemos apontar ao menos dois grandes

impactos decorrentes do GDPR: as grandes modificações das relações de confiança
no que tange a segurança de dados entre União Europeia-Estados Unidos.
Repercutidas desde o caso Snowden, passando por paralisações de transferências
de dados entre os atores, e pelo cancelamento do Acordo de Porto-Seguro, as
diversas negociações para a elaboração de um novo acordo e a consolidação desse
Escudo de Proteção da Privacidade UE-EUA.
Além disso, em um solo que já estava sendo fertilizado pelo debate e
elaboração do GDPR, as denúncias que se deram em torno do escândalo sobre as
práticas da NSA, e a própria visibilidade do Acórdão Schrems, concomitante com a
cobertura midiática mundial em torno do tema, levaram outros atores das relações
internacionais e até mesmo os próprios indivíduos (e usuários) a questionarem as
posições adotadas pelas grandes empresas de tecnologia e sua postura ante a
privacidade de dados.
E, em decorrência da manutenção de suas relações de transferências de dados
com a Europa, não só os EUA, mas outros Estados acabaram por observar uma
necessidade de adequação a nova legislação do velho continente. Nesse aspecto,
surge por exemplo a Lei Geral de Proteção de Dados, que entrará em vigor no ano de
2020. E que, embora de maneira tardia quando comparados a outros Estados, coloca
o Brasil na trilha de controle e proteção da segurança da informação.
Em se tratando de um parâmetro mais microscópico do Sistema Internacional,
podemos considerar que o GDPR instaurou certa consciência nos indivíduos e
organizações que vivem sob seu escopo.
Segundo um relatório emitido pelo escritório de advocacia multinacional DLA
Piper, após um ano de vigência da lei houveram 59 mil notificações de violação do
GDPR (CONSTANTIN, 2019). Contudo, nem tudo são flores, já que durante o período
de 25 de maio de 2018 a 28 de janeiro de 2019 foram aplicadas apenas 91 multas.
Todavia, nem todas se relacionam diretamente a exposição de dados pessoais
segundo o relator:
 29

Por exemplo, a mais alta [multa do período em questão] era de € 50 milhões

imposta pela autoridade de proteção de dados francesa (CNIL) ao Google,
por processar dados pessoais para fins publicitários sem obter a permissão
exigida pelo GDPR.

Na Alemanha, os reguladores impuseram uma multa de € 20 mil a uma

empresa por não proteger senhas de funcionários com hashes criptográficos,
enquanto na Áustria uma multa de € 4,8 mil foi emitida por operar um sistema
de CCTV não autorizado que vigiava parcialmente uma calçada pública. O
número de multas e seu valor, excluindo-se o do Google, têm sido baixos em
comparação ao número de violações divulgadas, mas isso pode acontecer
porque os reguladores em alguns países ainda estão se acomodando às
funções crescentes de supervisão e coordenação que agora desempenham
(CONSTANTIN, 2019, online).

Por conta do extenso número de notificações, os casos de maior brecha e

vazamento, que possuem maior cobertura na mídia acabam por ser priorizados,
fazendo com que outras infrações “menores” acabem aguardando mais tempo para a
designação de alguma ação (CONSTANTIN, 2019).
Vale ressaltar que, devido a política de balcão único, muitas das grandes
empresas de tecnologia mundial acabaram por escolher um único DPA para ser sua
autoridade reguladora principal, ao estabelecer sua sede europeia na Irlanda. Em
entrevista ao jornal Irish Examiner (DALY, 2019) a Comissária Assistente da
Comissão Irlandesa de Proteção de dados (Data Protection Commission ou DPC),
Deirdre McGoldrick, explicou para entidades como Facebook, Apple, LinkedIn e
Google, além de algumas das maiores empresas farmacêuticas do mundo, o DPC
atua como a principal entidade reguladora dentro da UE, cabendo ao órgão garantir
que os mesmos cumpram a lei.
Ademais, como bem explica McGoldrick, ao elucidar as funções do DPC, o
papel de regulador não é a única atividade executada por uma DPA:

The DPC works with organisations and sectors to guide on their ongoing
implementation of the GDPR in order to prevent issues arising in the first
instance. Such an approach can lead to a more efficient way of safeguarding
individuals’ data protection rights, while also educating organisations in how
data processing should be undertaken. Where issues do arise, quite
commonly through media reporting, the DPC immediately engages with
companies to better understand the issues before determining what path to
follow, including whether or not a statutory investigation should be opened
(DALY, 2019, online).

Além do acompanhamento direto em parceria com as organizações, cabe o

mesmo o papel de conscientização pública quanto a proteção de dados, o que o DPC
 30

tem feito por meio de diversas publicações em seu site oficial, desde o começo da
vigência do GDPR. O órgão opera ainda a função de auxílio na maximização do
debate internacional, visando aprimorar o conhecimento do tema de segurança
cibernética e proteção de dados pessoais (DALY, 2019, online).
Apesar das dificuldades acima relatadas, tanto no âmbito de funcionamento
das DPAs, quanto no relatório do primeiro ano de vigência da legislação, as
autoridades regulatórias parecem estar assimilando bem o tema, e novas multas de
valores altos continuam a ser aplicadas, a exemplo daquela aplicada a British Airways.
A empresa aérea britânica terá que pagar a atual maior multa da história do
GDPR, no valor de £183 milhões. Esse valor remete-se ao fato ocorrido no final de
2018, onde a companhia aérea acabou “vazando dados como nomes completos,
endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de
crédito de aproximadamente 500 mil clientes” (ARBULU, 2019, online) e segundo a
DPA responsável, tal falha grave de segurança poderia ter sido evitada com um
upgrade das implementações de segurança da companhia. Apesar de um valor
exorbitante, e consideravelmente mais alto do que as multas até então aplicadas, o
montante corresponde a apenas 1,5% do faturamento anual da empresa (ano base
2017), que foi de £12,2 bilhões (ARBULU, 2019).
Não só isso, mas os debates propostos pelo GDPR vêm obtendo
desdobramentos mesmo fora do continente europeu. O próprio escândalo da
Cambridge Analytica, que afetou cerca de 87 milhões de usuários da rede social,
devido a data de sua tramitação anterior a vigência do GDPR, que acarretou em uma
multa ao Facebook de apenas £500 mil na Europa (multa máxima da legislação
anterior), por se tratar de um âmbito global, obteve punições mais severas do outro
lado do atlântico. Os EUA recentemente fizeram sua própria apuração do caso
multando a rede social de Zuckerberg em 5 bilhões de dólares. A multa aplicada pela
FTC é segundo noticiado a mais importante ação tomada em detrimento da rede
social, que já é reincidente no perjúrio a proteção de dados oferecidas a seus usuários
(POZZI, 2019).
Outro ponto, é que as sanções impostas as organizações transgressoras, vem
se refletindo em certa maneira no próprio posicionamento das empresas. Como por
exemplo o cuidado, que a Google vem tomando com o desenvolvimento de seus
dispositivos de tecnologia de automação residencial, o Google Nest. Para reduzir o
risco de coleta de informações pessoais desnecessárias ao desempenho das funções
 31

do dispositivo, uma vasta gama de conexões e serviços anteriormente batizados de

“Works With Nest” foi cancelada em maio, sendo substituída por novas medidas:

Os aparelhos da empresa irão se comunicar com dispositivos de terceiros de

forma a evitar qualquer tipo de coleta não-permitida de dados. Um desses
modos é voltado para o acionamento de rotinas residenciais limitadas, que
permitem aos dispositivos Nest efetuar tarefas simples [...] Essas tarefas
podem ser executadas por um simples “gatilho” de ação, não sendo
necessário que haja uma comunicação avançada entre o Nest e o aparelho
que está sendo acionado. Então, nesses casos, simplesmente não há troca
de dados do usuário, o que torna a operação imune aos perigos de uma
possível coleta de dados (SILVA, Rafael, 2019, online).

Além disso, para as comunicações mais avançadas, que precisam de uma

permissão expressa do aparelho, e que são consideradas as mais delicadas no
tocante à manutenção da privacidade de dados, a Google está criando uma série de
aparatos para se adequar às normas de proteção de dados, exigindo que as empresas
parceiras que queiram tornar seu equipamentos compatíveis ao Nest devam se
submeter a um programa de qualificação rigoroso.

[O qual] inclui auditorias anuais feitas por empresas independentes

especializadas que irão garantir que os dados coletados do Nest não estão
sendo usados para fins diferentes daqueles que são necessários para o
correto funcionamento dos aparelhos da empresa (SILVA, Rafael, 2019,
online).

Denota-se então, a gradativa mudança da posição dos Estados ao redor do

globo em relação a segurança da informação, e a proteção dos dados pessoais do
indivíduo. Que podem ser consideradas um reflexo, do pioneirismo europeu em
debater e legislar sobre o tema. E, que, acaba por forçar os demais atores do Sistema
Internacional, seja pela influência de manter sua relação com o bloco, ou, no caso de
empresas, de quererem atuar no mesmo.
Além disso, a influência indireta nas legislações ao redor do globo pode acabar
por gerar, em alguma dimensão, uma adequação das diversas empresas de
tecnologia ou que se relacionam a ela, ao redor do globo; pelo menos em se tratando
dos Estados parceiros do bloco. E, consequentemente, continuar impondo uma
influência positiva em relação ao tema, sobre grandes empresas detentoras das mais
populares redes sociais usadas ao redor do globo. Como o caso de Apple, Google e
Facebook, que possuem sob seu controle as mídias sociais e serviços de nuvem mais
utilizadas na atualidade (Facebook, Instagram, WhatsApp, YouTube, Blogspot,
 32

Google Drive, Google Fotos, Google Duo, Hangout, FaceTime, iCloud, iMessage,
dentre outros), que entre si cobrem a maioria dos aplicativos e softwares utilizados
por toda a população mundial.

5 CONSIDERAÇÕES FINAIS

Conforme observamos através do levantamento histórico documental aqui

proposto, a União Europeia, desde os primórdios da internet, demonstrou grande
pioneirismo em se tratando da preocupação para com a privacidade de dados
individuais deste advento, que hoje nos é tão útil. Talvez por observar isso se
relacionar ao ponto de vista mais afastado de seu surgimento, tenha permitido, pelo
afastamento inicial, um olhar mais atento para a invenção americana.
De qualquer maneira, tal preocupação acabou por colocar a segurança na rede
e a “noopolitik” sob os holofotes europeus, gerando engajamento do bloco já nos
primeiros esforços multilaterais. Conforme investigamos então, a União Europeia, em
um primeiro momento, logrou êxito em cumprir as demandas existentes tanto nas
Recomendações da OCDE, quanto das medidas da Convenção 108. Todavia, em
decorrência das experiências práticas, surgiu o consenso interno de que apenas
essas medidas não eram o suficiente para o estandarte de segurança da informação
almejado internamente, culminando assim, na necessidade de elaboração de uma
norma interna que escalonasse em maior medida as propostas para a segurança de
dados pessoais.
Nesse contexto, a Europa expôs ao mundo a primeira grande empreitada da
comunidade, na forma de um extenso corpo normativo que vigoraria, com algumas
divergências, por pouco mais de duas décadas. E que, apesar da clara necessidade
de implementação, devido aos impactos tecnológicos alcançados pelos mais recentes
avanços da era da informação, impactou internamente em maior ou menor escala,
certa quantia de Estados ao redor do globo.
Assim, apesar de ter apresentado algumas falhas que buscamos explorar, a
política de um “nível de segurança adequado” proposto pela Diretiva 95/46/EC, pôde
pavimentar uma harmonização em direção ao ideal de segurança de dados que as
normas atualmente em vigor têm delineado. E, como uma positiva consequência,
estabeleceu nos países com os quais se relacionava afora do bloco a semente de
suas próprias legislações, que buscavam na Diretiva um espalhamento do protocolo
 33

a ser seguido, causando assim ramificações em torno do tema de segurança de dados

individuais em parte dos atores do Sistema Internacional.
A Diretiva pecou, contudo, em sua maleabilidade de aplicação, gerando
lacunas, tanto internamente quanto externamente ao bloco (em suas parcerias). Em
decorrência disso, a norma abriu espaço de manobra para uma implementação
heterogenia no Direito interno dos Estados-membros. Ao mesmo tempo,
externamente, devido a forma com que foi redigida, demandava uma aplicação por
meio de uma análise caso-a-caso quanto a nível de proteção dos dados individuais.
E, assim como sentenças jurídicas abrem precedentes para que a mesma tomada de
decisão seja aplicada novamente, a titularização de adequação de um Estado que
possuísse certas características implicava que outro, que possuísse semelhança
estrutural com o primeiro, também recebesse a titularização.
Todavia, o que pode apenas parecer um simples padrão lógico para a aplicação
da lei, acabou sendo uma medida comprometedora quanto a tomada de decisão de
uma adequação ou não adequação, já que essa acabava por sofrer influências das
demais relações entre os atores, sejam elas comerciais, ideológicas, ou ainda de
apoio em outros segmentos ou plataformas do Sistema Internacional. A neutralidade
da analise acabou, em alguns casos, sendo comprometida em detrimento da
suspensão de toda a troca de informações entre o bloco europeu e o país que não
alcançava todos os estandartes, que o qualificariam como detentor de um “nível
adequado de proteção” por conta de sua influência mundial, ou pela necessidade de
preservação de uma parceria multisetorial decorrente da organização de poderes do
Sistema Internacional.
Essas falhas, as quais buscamos aqui investigar, através da análise do caso da
relação EUA e União Europeia, do estabelecimento do Acordo de Porto Seguro, seu
colapso e estabelecimento de um novo acordo, teve importantes desdobramentos na
composição do General Data Protection Regulation. A nova legislação, por sua vez,
assimilou e adaptou-se a esse e outros impactos nocivos a segurança de dados
individuais gerados por falhas da diretiva anterior, e o surgimento de novas variáveis
decorrentes do avanço tecnológico, gerando uma normatização ainda mais extensa,
especifica, com princípios sólidos, que passaram a se pautar principalmente nas
empresas e organizações que mantém algum tipo de processamento ou
armazenamento de dados de seus cidadãos.
 34

Impactando, devido ao novo foco, não só os países com quem possui relações
mais estreitas (embora esses acabem sendo afetados mais visceralmente, por
assimilar em maior escala os princípios do GDPR), como o posicionamento de
diversas empresas ao redor do mundo, algumas delas multilaterais, que acabam
aplicando seu Modus operandi, para além do território europeu.
Isso posto, concluímos que a atualização da normatização da segurança de
dados individuais é uma decorrência direta do tema sobre o qual essa versa. A era da
informação é regida por uma certa organicidade evolutiva. Sendo moldada de acordo
com a época, e as evoluções tecnológicas impulsionadas pelas pesquisas da área,
que avança escalonadamente. Essa organicidade trás certa mutação ao tema de
estudo, a internet é quase como um organismo vivo, que se molda não só pelas
evoluções tecnológicas, mas também pelos usuários, que geram uma demanda por
novas utilidades.
Instrumentos como o serviço em nuvem, tão comum à nossa realidade atual,
eram impensáveis para o momento em que a Diretiva 95 ou outras normas anteriores
estavam sendo redigidas. Além disso, mesmo em se tratando de ferramentas
conhecidas, suas evoluções podem tomar direções imprevisíveis. As possibilidades
do uso e exploração de ferramentas online estão cada vez mais amplas.
Se pensarmos na questão “interação social online”, a troca de informações por
correio eletrônico já havia se popularizado desde a intranet. Porém, nessa época
jamais se pensaria nas aplicações massivas que temos hoje, possibilidades que vão
desde mensagens instantâneas, até várias opções de redes sociais que englobam o
compartilhamento de informações que varia de um formato “mural”, Blogger,
Wordpress, Facebook, ou VK (além de redes sociais que já existiram e se extinguiram
como Myspace, Orkut, Google Plus), até redes de compartilhamento de fotos, vídeos
ou mesmo vídeos instantâneos como o caso do Instagram, Youtube, WhatsApp e
SnapChat. Mesmo há vinte anos, todas essas novas tecnologias usadas em uma
escala tão ampla, não eram uma possibilidade palpável.
Denotasse que a tecnologia evolui de maneira rápida, e dando grandes saltos,
tendo como característica constante o fato de não se estagnar. Dessa forma, até
mesmo as legislações estão fadadas há uma obsolescência programada.
Se os Estados quiserem então que os direitos de segurança de informações
dos indivíduos continuem sendo protegidos, torna-se necessário exercitar-se a
aptidão de síntese e adaptação tanto do aparato normativo, quanto dos próprios
 35

estudos sobre o tema. A norma acaba tendo então que, mesmo que em uma escala
mais lenta, continuar evoluindo. Isso posto, mesmo sendo o GDPR um importante
marco histórico para o União Europeia em relação a segurança de dados pessoais, é
provável que vejamos novas normas em algum momento não tão distante,
principalmente se consideramos o fato de que o bloco já vem se preparando para isso.
 36

REFERÊNCIAS BIBLIOGRÁFICAS

ARBULU, R. GDPR pede a maior multa da história para a British Airways por
vazamento de 2018. Canaltech, [São Bernardo do Campo], 08 jul. 2019. Disponível
em: https://canaltech.com.br/internet/hospedagem-de-site-testamos-a-performance-
do-novo-plano-turbo-da-hostgator-152485/. Acesso em: 17 out. 2019.

CASTELLS, M. A galáxia da Internet: Reflexões sobre a internet, os negócios e a

sociedade. Rio de Janeiro: Jorge Zahar Editor Ltda, 2003. Disponível em:
http://lelivros.love/book/baixar-livro-a-galaxia-da-internet-manuel-castells-em-pdf-
epub-e-mobi-ou-ler-online/. Acesso em: 07 jul. 2019.

CONSTANTIN, L. Relatório constata mais de 59 mil notificações de violação do

GDPR: No entanto, apenas 91 multas foram aplicadas, sendo a maior delas para o
Google. Computerworld! [S.l], 10 fev. 2019. Disponível em:
https://computerworld.com.br/2019/02/10/relatorio-constata-mais-de-59-mil-
notificacoes-de-violacao-do-gdpr/. Acesso em: 17 out. 2019.

COUNCIL OF EUROPE (Strasbourg). Convenção para a Protecção dos Direitos

do Homem e das Liberdades Fundamentais de 4 de novembro de 1950.
Estrasburgo, [2013]. Disponível em:
https://www.echr.coe.int/Documents/Convention_POR.pdf. Acesso em: 15 ago.
2019.

COUNCIL OF EUROPE (Strasbourg). Details of Treaty No.108: Convention for the

Protection of Individuals with regard to Automatic Processing of Personal Data.
Estrasburgo, 1981. Disponível em: https://www.coe.int/en/web/conventions/full-list/-
/conventions/treaty/108. Acesso em: 15 ago. 2019.

DALY, J. Ireland's Data Protection Commission working with global partners to

counter cyber crime. Irish Examiner, [Blackpool/Cork], 16 set. 2019. Disponível em:
https://www.irishexaminer.com/breakingnews/business/irelands-data-protection-
commission-working-with-global-partners-to-counter-cyber-crime-950665.html.
Acesso em: 17 out. 2019.

ESTADOS UNIDOS DA AMÉRICA. A Constituição dos Estados Unidos da

América. [S.l] [2009]. Tradução de: Jose Miguel Arias Neto: Universidade Estadual
de Londrina (Graduação> História>Recursos Didáticos). [2009]. Disponível em:
http://www.uel.br/pessoal/jneto/gradua/historia/gradrecdidaHistoria.htm. Acesso em:
23 set. 2019.

EU GDPR PORTAL. The EU General Data Protection Regulation (GDPR) is the

most important change in data privacy regulation in 20 years. Londres, 2018a.
Disponível em: https://eugdpr.org/. Acesso em: 03 out. 2019.

EU GDPR PORTAL. How did we get here? An overview of important regulatory

events leading up to the GDPR. Londres, 2018b. Disponível em:
https://eugdpr.org/the-process/how-did-we-get-here/. Acesso em: 03 out. 2019.
 37

EU GDPR PORTAL. GDPR Key Changes. An overview of the main changes under
GDPR and how they differ from the previous directive. Londres, 2018c. Disponível
em: https://eugdpr.org/the-process/how-did-we-get-here/. Acesso em: 03 out. 2019.

EU GDPR PORTAL. Timeline of Events. An overview of key GDPR events from

proposal, amendment, approval, adoption to enforcement. Londres, 2018d.
Disponível em: https://eugdpr.org/the-process/timeline-of-events/. Acesso em: 03
out. 2019.

EUR-LEX. Acórdão do Tribunal de Justiça (Grande Secção) de 6 de outubro de 2015

(pedido de decisão prejudicial da High Court (Irlanda) — Maximilian Schrems/Data
Protection Commissioner, Processo C-362/14. Jornal Oficial das Comunidades
Europeias. Bruxelas, n. C 398, p. 5-6, 30 out. 2015a. Disponível em: https://eur-
lex.europa.eu/legal-
content/PT/TXT/?qid=1570644696898&uri=CELEX:62014CA0362. Acesso em: 08
out. 2019.

EUR-LEX. Acórdão do Tribunal de Justiça (Terceira Secção) de 1 de outubro de

2015 (Processo C-230/14), ECLI:EU:C:2015:639. Weltimmo s.r.o. contra Nemzeti
Adatvédelmi és Információszabadság Hatóság. Pedido de decisão prejudicial
apresentado pela Kúria. Coletânea digital (Coletânea de jurisprudência - geral).
Luxemburgo, 01 out. 2015b. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/?qid=1570727606311&uri=CELEX:62014CJ0230. Acesso em: 08
out. 2019.

EUR-LEX. Acordo entre a União Europeia e os Estados Unidos da América sobre a

proteção dos dados pessoais. Sínteses da legislação da UE. Bruxelas, 23 jan.
2017. Disponível em: https://eur-lex.europa.eu/legal-
content/EN/TXT/?uri=legissum:3104_8. Acesso em: 09 out. 2019.

EUR-LEX. Comunicação da comissão ao parlamento europeu e ao conselho:

Transferência transatlântica de dados - restaurar a confiança através de garantias
sólidas. Bruxelas, 29 fev. 2016a. Comissão Europeia: COM/2016/0117 final.
Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex:52016DC0117. Acesso em: 09 out. 2019.

EUR-LEX. Comunicação da comissão ao parlamento europeu e ao conselho

sobre o funcionamento do sistema «porto seguro» na perspetiva dos cidadãos
da UE e das empresas estabelecidas na UE. Bruxelas, 27 nov. 2013. Comissão
Europeia: COM(2013) 847 final. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex:52013DC0847. Acesso em: 09 out. 2019.

EUR-LEX. Decisão da Comissão de 26 de Julho de 2000 nos termos da Directiva

95/46/CE do Parlamento Europeu e do Conselho e relativa ao nível de protecção
assegurado pelos princípios de «porto seguro» e pelas respectivas questões mais
frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da
América. Jornal Oficial das Comunidades Europeias. Bruxelas, n. L 215, p. 7-47,
25 ago. 2000. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32000D0520&from=EN. Acesso em: 05 ago.
2019.
 38

EUR-LEX. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de

Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados. Jornal Oficial das
Comunidades Europeias. Bruxelas, n. L 281, p. 31-50, 23 nov. 1995. Disponível
em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A31995L0046.
Acesso em: 05 ago. 2019.

EUR-LEX. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de

27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a
Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial
das Comunidades Europeias. Bruxelas, n. L 119, p. 01-88, 04 mai. 2016b.
Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex:32016R0679. Acesso em: 14 out. 2019.

EUROFOUND (Dublin). European Observatory Of Working Life. European

Industrial Relations Dictionary: Soft Law. Dublin, 2011. Disponível em:
https://www.eurofound.europa.eu/observatories/eurwork/industrial-relations-
dictionary/soft-law. Acesso em: 12 set. 2019.

EUROPEAN UNION. European Commission (Brussels). Right environment for

digital networks and services. Brussel, 2019. Disponível em:
https://ec.europa.eu/digital-single-market/node/78516. Acesso em: 08 out. 2019.

FERREIRA, R.; et al. Entra em vigor o Regulamento Geral de Proteção de Dados da

União Europeia. Migalhas, [s.l], 04 jul. 2018. Disponível em:
https://www.migalhas.com.br/dePeso/16,MI281042,81042-
Entra+em+vigor+o+Regulamento+Geral+de+Protecao+de+Dados+da+Uniao.
Acesso em: 16 out. 2019.

LESLIE, A. Facebook viola os direitos fundamentais na Europa, diz ativista. DW

Brasil, [s. l.], 10 jul. 2013. Disponível em: https://p.dw.com/p/194dR. Acesso em: 08
out. 2019.

LEWIS, L. 2019: This Is What Happens In An Internet Minute. [S.l], 2019.

Disponível em: https://www.allaccess.com/merge/archive/29580/2019-this-is-what-
happens-in-an-internet-minute. Acessom em: 03 out. 2019.

LORD, N. What is a Data Protection Officer (DPO)? Learn About the New Role
Required for GDPR Compliance in 2019. Digital Guardian, [s. l.], 15 jul. 2019.
Disponível em: https://digitalguardian.com/blog/what-data-protection-officer-dpo-
learn-about-new-role-required-gdpr-compliance. Acesso em: 16 out. 2019.

MILT, K. Fichas temáticas sobre a União Europeia: Proteção dos dados pessoais.
Bruxelas, 2019. Parlamento Europeu, versão pdf. Disponível em:
http://www.europarl.europa.eu/factsheets/pt/sheet/157/protecao-dos-dados-pessoais.
Acesso em: 15 ago. 2019
 39

OECD (Paris). Guidelines on the Protection of Privacy and Transborder Flows

of Personal Data. Paris,1980. Disponível em:
https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtr
ansborderflowsofpersonaldata.htm. Acesso em: 13 ago. 2019.

OECD (Paris). Rights and Translation unit, Public Affairs and Communications
Directorate. Guidelines on the Protection of Privacy and Transborder Flows of
Personal Data: overview. Paris,2002. Disponível em:
http://www.oecd.org/sti/ieconomy/15590254.pdf. Acesso em: 10 ago. 2019.

ONU. ITU World Telecommunication/ICT Indicators database (Geneva). Key ICT

indicators for developed and developing countries and the world (totals and
penetration rates). Geneva, 2018. Disponível em: https://www.itu.int/en/ITU-
D/Statistics/Pages/stat/default.aspx. Acesso em: 03 out. 2019.

ORTEGA GIMENEZ, A.; GONZALO DOMENECH, J. J. Nuevo marco jurídico en

materia de protección de datos de carácter personal en la Unión Europea. Rev. Fac.
Der., Montevideo, n. 44, p. 31-73, June 2018 Disponível em:
http://www.scielo.edu.uy/scielo.php?script=sci_arttext&pid=S2301-
06652018000100031&lng=en&nrm=iso. Acesso em: 12 ago. 2019.

POZZI, S. EUA multam Facebook em 5 bilhões de dólares por violar privacidade dos
usuários: Empresa é punida com multa recorde pelo vazamento de dados no caso
Cambridge Analytica. El Pais: Nova York 13. Jul. 2019. Disponível em:
https://brasil.elpais.com/brasil/2019/07/12/economia/1562962870_283549.html.
Acesso em: 17 out. 2019.

REINALDO FILHO, D. A Diretiva Europeia sobre proteção de dados pessoais:

Uma análise de seus aspectos gerais. 2013. Disponível em:
https://jus.com.br/artigos/23669/a-diretiva-europeia-sobre-protecao-de-dados-
pessoais. Acesso em: 27 jul. 2019.

RICCARDI, J. L. The German Federal Data Protection Act of 1977: Protecting the
Right to Privacy?. Boston College International and Comparative Law Review,
Boston, v. 06, n. 1, p. 243-271, dez. 1983. Disponível em:
http://lawdigitalcommons.bc.edu/iclr/vol6/iss1/8. Acesso em: 20 ago. 2019.

SAINT-EXUPÉRY, A. O pequeno príncipe. 48 ed. Rio de Janeiro: Agir, 2009.

SILVA, A. C. El "nivel adecuado de protección" para las transferencias

internacionales de datos personales desde la Unión Europea. Revista de Derecho
de la Pontificia Universidad Católica de Valparaíso, Valparaíso, n. 36, p. 327-
356, ago. 2011. Disponível em:
https://scielo.conicyt.cl/scielo.php?script=sci_arttext&pid=S0718-
68512011000100009&lng=es&nrm=iso. Acesso em: 18 ago. 2019.

SILVA, R. R. Aqui não, Cambridge Analytica! Google quer Nest fora de escândalos.
Canaltech, [São Bernardo do Campo], 16 out. 2019. Disponível em:
https://canaltech.com.br/seguranca/aqui-nao-cambridge-analytica-google-quer-nest-
fora-de-escandalos-152691/. Acesso em: 17 out. 2019.
 40

UNIÃO EUROPEIA. Comissão Europeia (Bruxelas). Proposta de regulamento do

parlamento europeu e do conselho relativo ao respeito pela vida privada e à
proteção dos dados pessoais nas comunicações eletrônicas e que revoga a Diretiva
2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas).
Proposal for a Regulation on Privacy and Electronic Communications. Bruxelas,
2017. Disponível em: https://ec.europa.eu/digital-single-market/en/news/proposal-
regulation-privacy-and-electronic-communications. Acesso em: 08 out. 2019.

UNIÃO EUROPEIA. Comissão Europeia (Bruxelas). Mercado único digital:

Suprimir os entraves para aproveitar as oportunidades em linha. Bruxelas, 2019.
Disponível em: https://ec.europa.eu/commission/priorities/digital-single-market_pt.
Acesso em: 08 out. 2019.

UNIÃO EUROPEIA. Secretariado-Geral do Conselho (Bruxelas). Acordo-quadro:

UE pronta a celebrar acordo com os EUA. Bruxelas, 2016. Disponível em:
https://www.consilium.europa.eu/pt/press/press-releases/2016/12/02/umbrella-
agreement/. Acesso em: 17 out. 2019.

UNIÃO EUROPEIA. Secretariado-Geral do Conselho (Bruxelas). Proteção de

dados na aplicação da lei. Bruxelas, 2019a. Disponível em:
https://www.consilium.europa.eu/pt/policies/data-protection-reform/data-protection-
law-enforcement/. Acesso em: 08 out. 2019.

UNIÃO EUROPEIA. Secretariado-Geral do Conselho (Bruxelas). Reforma da

proteção de dados: Síntese. Bruxelas, 2019b. Disponível em:
https://www.consilium.europa.eu/pt/policies/data-protection-reform/. Acesso em: 08
out. 2019.

UNIÃO EUROPEIA. Secretariado-Geral do Conselho (Bruxelas). The general data

protection regulation. Bruxelas, 2019c. Disponível em:
https://www.consilium.europa.eu/pt/policies/data-protection-reform/data-protection-
regulation/. Acesso em: 08 out. 2019.

UNIÃO EUROPEIA. Parlamento Europeu (Bruxelas). Proteção dos dados pessoais.

Fichas temáticas sobre a União Europeia. Bruxelas, 2019a. Disponível em:
http://www.europarl.europa.eu/factsheets/pt/sheet/157/protecao-dos-dados-pessoais.
Acesso em: 20 set. 2019.

UNIÃO EUROPEIA. Parlamento Europeu (Bruxelas). Mercado único digital na

Europa. Bruxelas, 2019b. Disponível em:
https://www.consilium.europa.eu/pt/policies/digital-single-market/. Acesso em: 09 out.
2019.