Temas Atuais de Proteção de Dados - Ed. 2020

Capítulo 15. Privacy Shield Eua X Brasil: É Possível?

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

BRUNA MICHELE WOZNE GODOY

Advogada especialista em privacidade e proteção de dados, formada em Direito pela Universidade Estadual de Ponta Grossa, mestranda em Leis Europeias e Transnacionais de Propriedade Intelectual e Tecnologia da Informação, pela Universidade de Göttingen, na Alemanha.

1. Lei Geral de Proteção de Dados: Transferência Internacional de Dados e a Decisão de Adequação

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) 1 impõe medidas a fim de restringir as transferências de dados pessoais que ocorram para países ou organizações situadas fora do território brasileiro. As restrições se aplicam a todos os casos em que ocorra a transferência de dados pessoais que permita o tratamento por agentes internacionais, não importando a frequência ou a quantidade de dados transferidos.

Tornar os dados acessíveis por terceiros fora do Brasil, ou até mesmo para sedes internacionais da própria empresa, hospedar os dados na nuvem (nos casos em que os servidores estão estabelecidos em outros países), enviar e-mails para destinatários no exterior, por exemplo, são consideradas formas de compartilhamento internacional de dados pessoais.

O objetivo de tais restrições é garantir ao titular de dados, que possui dados tratados no âmbito da LGPD, a mesma proteção e zelo que lhe são garantidos pela legislação brasileira.

Dessa maneira, a lei brasileira disciplina, em seu art. 33 (em harmonia com o Regulamento Geral de Proteção de Dados, GDPR 2 ), as seguintes bases legais que permitem o compartilhamento internacional de dados:

“I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.” (grifos nossos)

As hipóteses dispostas no inciso IX do art. 33 são respectivamente:

“II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

[...]

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral [...].”

Entretanto, várias das opções fornecidas somente podem ser exercidas após regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) que, embora já tenha sido instituída pela Lei 13.853/2019 3 , ainda está em processo de constituição, não estando ainda em funcionamento para fins de atendimento de consultas públicas e protocolos.

A ANPD será a responsável por determinar quais são os países ou as organizações internacionais que proporcionam um grau de proteção adequado (art. 33, I, da LGPD), por meio das denominadas Decisões de Adequação.

Uma vez que o procedimento para a tomada de decisões, critérios utilizados e a definição específica do conceito de uma decisão de adequação não foram abordados pela legislação, é necessário emprestar os conceitos já utilizados pela União Europeia, em razão do embasamento quase que total da legislação brasileira no regulamento europeu de proteção de dados.

Ambas as legislações atingem um nível de bastante consistência, principalmente referentes às transferências internacionais, o que significa que possuem um alto nível de similaridade na lógica, no núcleo e no escopo de suas provisões, ainda que possam divergir nos detalhes que regem sua aplicação.

O GDPR tem um cuidado maior com as definições e exemplifica situações de aplicação, enquanto a LGPD traz definições mais básicas e menos detalhadas.

Portanto, uma decisão de adequação é quando a autoridade competente (Comissão Europeia no GDPR) avalia o nível de proteção oferecido por um país ou uma organização internacional e a partir disso toma uma decisão, considerando se as garantias provenientes são adequadas e compatíveis com as oferecidas pela legislação local de proteção de dados.

Quando um país ou uma organização internacional recebe a decisão de adequação concedida pela autoridade, passa a obter autorização para o livre trânsito de dados internacionalmente, sem que medidas adicionais de proteção sejam necessárias. Dessa maneira, os dados pessoais podem ser transferidos livremente, podendo ser adotado o mesmo procedimento utilizado para a realização de transferências domésticas.

As decisões de adequação são benéficas à economia, pois reduzem consideravelmente o valor das transações para as companhias, gerando oportunidade de criação de novos negócios e parceiros comerciais.

Para receber uma decisão de adequação, o país em causa precisará passar por uma rigorosa avaliação em diversos escopos e cumprir com determinados critérios estipulados pelo GDPR em seu artigo 45, 2 4 :

a)“O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;

b) a existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros;

c) os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.” (grifos nossos)

Ao analisar especificamente as leis de proteção de dados presentes no país candidato, Araújo 5 ressalta que existem algumas características relevantes que recebem atenção especial e necessitam apresentar uma forte semelhança com as disposições do GDPR, que são:

• concessão de direitos aplicados a todos os titulares de dados, independentemente de nacionalidade ou residência;

• requisitos para obtenção de consentimento mais exigentes;

• encarregados de proteção de dados obrigatórios (DPOs) e avaliações de impacto de proteção de dados obrigatórias (DPIAs) para certos tipos de tratamento;

• proteção de dados desde a concepção e como configuração padrão;

• responsabilidade direta e demonstrável pelos agentes de tratamento;

• notificações de...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
26 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548525/capitulo-15-privacy-shield-eua-x-brasil-e-possivel-temas-atuais-de-protecao-de-dados-ed-2020