O tratamento jurídico da Transferência Internacional de Dados Pessoais na Europa e no Brasil

Luísa Carli de Lacerda – Graduada em Direito pela Universidade Federal do Paraná – UFPR e pesquisadora do GEDAI

A importância das grandes revoluções econômicas e tecnológicas, sempre influíram nas transformações da civilização humana o longo dos tempos, hoje temos como a nova rota da seda, a transferência internacional de dados.

O Fórum Econômico Mundial estima que cerca de ⅔ do comércio digital dependerá de transferências internacionais de dados até 2030 (ITS, 2023). Mas não é de hoje que os dados pessoais são produtos de grande valia e que muitos os “vendem” mesmo sem saber, pois, acreditam em serviços “gratuitos”.

Deste modo, a privacidade deixa de ser o “right to be let alone”, como dito por Warren e Brandeis no final do séc. XIX, passando a ser “o direito de manter o controle sobre suas próprias informações” (RODOTÀ, 2008, p.15).

O volume e a manipulação dos dados atuais evidenciam a sua relevância nas esferas social, econômica e política. Em uma era em que o controle de dados equivale ao poder, a disponibilidade indiscriminada de dados pessoais para uma ampla gama de indivíduos, com variadas intenções, pode acarretar consequências prejudiciais para os titulares dessas informações.

Isso tem gerado uma preocupação global que mobiliza legisladores na tentativa de regular o tratamento desses dados.

Nesse contexto, a transferência internacional de dados emerge como um tema de suma importância, visando garantir a proteção dos direitos dos titulares ao atravessar fronteiras e se sujeitar a distintas legislações de diferentes países.

 

O ENTENDIMENTO EUROPEU SOBRE A TRANSFERENCIA INTERNACIONAL DE DADOS.

A União Europeia desempenhou um papel pioneiro na regulação e proteção dos dados pessoais, estabelecendo a primeira normativa supranacional sobre privacidade e proteção de dados.

O Regulamento Geral de Proteção de Dados (RGPD), aprovado em 2016, visa harmonizar o nível de proteção existente nas leis nacionais e garantir a livre circulação de informações pessoais entre os países membros do Espaço Econômico Europeu (PARLAMENTO EUROPEU E CONSELHO, 2016).

Devido à influência do bloco europeu e à vanguarda legislativa, o RGPD impactou várias jurisdições em todo o mundo.

É frequentemente citado o chamado “efeito Bruxelas”, que se refere à maneira como as legislações europeias, especialmente na área de governança, se tornaram padrões exportáveis para outros países, principalmente em questões de governança global.

 

A EVOLUÇÃO BRASILEIRA: DO MARCO CIVIL DA INTERNET À LGPD.

O Brasil estava na vanguarda no que diz respeito à transferência internacional de dados, tendo tido apenas o Marco Civil da Internet como legislação que tratava especificamente de dados pessoais nas redes, mas que não se mostrou suficiente para os parâmetros internacionais. Inspirado no RGPD, o país aprovou a Lei Geral de Proteção de Dados (LGPD) em 2018, cuja implementação teve início em 2020, marcando o primeiro passo para a efetiva proteção dos dados pessoais, direito que foi reconhecido como fundamental por meio da Emenda Constitucional nº 115/2022.

Visando integrar o Brasil ao comércio internacional de tecnologia, a Agência Nacional de Proteção de Dados abriu para consulta pública a minuta do Regulamento de Transferências Internacionais de Dados Pessoais (TID) e do modelo de Cláusulas-Padrão Contratuais em agosto de 2023. A minuta tem como objetivo regular a transferência de dados para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro.

O objetivo da pesquisa é realizar uma comparação entre a LGPD e o RGPD no que diz respeito às hipóteses de transferência internacional de dados, sem deixar de considerar que ambos os diplomas foram talhados em contextos diferentes e segundo técnicas legislativas completamente distintas. Busca-se encontrar as principais diferenças entre os regulamentos e os pontos de melhoria da LGPD, para que o Brasil tenha uma legislação aberta ao comercial internacional digital.

Desta forma, pode-se analisar de forma crítica as diferenças e semelhanças entre a LGPD e o RGPD no que tange às hipóteses de transferência internacional de dados. Divide-se a conclusão em três momentos, os pontos de convergência, de divergência e pontos gerais de melhoria com relação à minuta de regulamento de TIDs.

Conforme esperado, devido ao histórico legislativo, podemos identificar mais convergências do que divergências entre as duas legislações. Começa-se pelo próprio conceito de dados pessoais, que é mais estendido no RGPD, pois considera dados anonimizados e pseudo anonimizados como passíveis de proteção, contudo, ambas as legislações partilham do mesmo núcleo duro de considerar dados pessoais aqueles em que a pessoa natural é identificada ou identificável.

 

O CONCEITO DE TRANSFERENCIA E DE COOPERAÇÃO JURÍDICA INTERNACIONAL.

O conceito de transferência internacional de dados também é entendido da mesma forma por ambos os ordenamentos, considerando somente a transferência de dados entre agentes de controle como cabível, descartando-se o envio por usuários como possibilidade.

Nas hipóteses em si de TIDs há também inúmeras congruências, uma das mais importantes é a autorização geográfica, em que a agência responsável pela proteção de dados emite decisão de adequação, tanto a UE, quanto o Brasil estabelecem tal possibilidade com parâmetros similares, embora o RGPD traga um maior detalhamento.

Nos casos de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; necessidade para a proteção da vida ou da incolumidade física do titular ou de terceiros; compromisso assumido em acordo de cooperação internacional; execução de política pública ou atribuição legal do serviço público; necessidade para atender cumprimento de obrigação legal, execução de contrato e exercício regular de direitos em processo judicial, administrativo ou arbitral;  autorização pela autoridade nacional; e oferecimento e comprovação de garantias de cumprimento pelo controlador por meio de normas corporativas globais, selos e certificados encontrou-se nenhuma ou pouca  diferença relevante, restando aguardar decisões administrativas mais vastas da ANPD para podermos indicar diferenças ou não na aplicação dessas hipóteses.

Nas hipóteses em que o controlador oferece e comprova garantias, por meio de cláusulas contratuais específicas para determinada transferência e cláusulas-padrão contratuais é possível perceber divergências relevantes. No que tange às cláusulas contratuais específicas não há nem mesmo previsão no RGPD, enquanto há no LGPD. Com relação às cláusulas-padrão contratuais, a ANPD optou pela adoção de cláusulas menos flexíveis na minuta de regulamentação, enquanto o EDPB se mostra mais flexível, criando cláusulas mais  “personalizáveis”.

Em uma das hipóteses mais polêmicas também se encontra grande diferença, a UE vem compreendendo que o simples aceite de cláusulas de adesão das “big-techs” não figura como expressão de consentimento expresso do usuário, além de tal tipo de autorização se configurar como excepcional. Enquanto no Brasil, apesar de esforços legislativos e doutrinários, esses termos de uso ainda são considerados válidos.

Partindo para análise da minuta de regulamento de TIDs, é preciso pontuar que sua propositura é um passo essencial na trajetória brasileira de proteção aos dados pessoais, inclusive na inserção do país no panorama global de transferências internacionais de dados. Este documento também traz maior segurança jurídica aos agentes de tratamento que realizam operações globais, além de contribuir para a livre circulação de dados.

Não obstante os aspectos positivos destacados, é importante mencionar que o texto proposto ainda possui espaço para melhorias.

 

CONSIDERAÇÕES FINAIS.

A perspectiva prática revela desafios operacionais consideráveis para a ANPD na fiscalização do Regulamento após sua aprovação, especialmente dado o estágio ainda em desenvolvimento da Autoridade. A abordagem proposta exigirá uma atuação constante da ANPD, tanto na aprovação de cláusulas específicas e equivalentes quanto na supervisão da implementação das cláusulas-padrão pelos agentes de tratamento.

 

Para ter acesso completo a pesquisa realizada sobre “Transferência Internacional de Dados: uma comparação entre o RGPD e a LGPD”, baixe gratuitamente o arquivo abaixo:
Download

 

Referências:

BRASIL. Agência Nacional de Proteção de Dados. Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais. Brasília. 2023. Disponível em: <https://www.gov.br/participamaisbrasil/regulamento-de-transferencias-internacionais-de-dados-pessoais-e-do-modelo-de-clausulas-padrao-contratuais>. Acesso em 17 nov. 2023

___________ Agência Nacional de Proteção de Dados. Relatório de Análise de Impacto Regulatório: construção do modelo regulatório para transferência internacional de dados pessoais. Brasília. 2023. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/AIR__Transferencias_VF.pdf>. Acesso em 17 nov. 2023

LACERDA, Luísa Carli de. Transferência Internacional de Dados: uma comparação entre o RGPD e a LGPD. Trabalho de conclusão de Curso – TCC defendido perante banca na Faculdade de Direito da Universidade Federal do Paraná – UFPR. Disponível em: https://gedai.com.br/wp-content/uploads/2023/12/TCC-Luisa-Carli-de-Lacerda.pdf

ITS – Instituto de Tecnologia e Sociedade do Rio. Consulta Pública ANPD | Regulamento de Transferências Internacionais. Disponível em: <https://itsrio.org/pt/publicacoes/consulta-publica-anpd-regulamento-de-transferencias-internacionais/>. Acesso em: 25 nov. 2023.

PARLAMENTO EUROPEU E CONSELHO, Diretiva 2016/680, de 27 de abril de 2016, relativa à proteção de dados singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho. Disponível em: < https://eurlex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L0680>Acesso em: 25 out. 2023.

RODOTÀ, Stefano. A vida na sociedade de vigilância. Privacidade hoje. Rio de Janeiro: Renovar, 2008.

WACHOWICZ, Marcos.; REUSING, Luciana. Os elementos de conexão nas relações jurídicas consumeristas e contratuais: análise de sua aplicação na LGPD e no RGPD. In: Proteção de dados pessoais em perspectiva: LGPD e RGPD na ótica do direito comparado. Curitiba: GEDAI, 2020a. p. 594–627. Disponível em: https://gedai.com.br/livro-lgpd/  Acesso em: 25 nov. 2023