Data Protection Officer (Encarregado) - Ed. 2020

Cláusulas Contratuais e Dados Pessoais: Controladores, Operadores, Cocontroladores e Transferências Internacionais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Carla Segala Alves 1

Guilherme Berti de Campos Guidi 2

1.Introdução

O tema da proteção dos dados pessoais tem estado em evidência já há alguns anos, principalmente em face de escândalos do começo dos anos 2010 relacionados a vigilância governamental massiva. 3 O crescimento do uso de vias digitais de comunicação e a elevação do acesso à Internet a praticamente um serviço essencial nas últimas duas décadas só contribuíram para que a preocupação da sociedade em geral e dos especialistas quanto à proteção da privacidade do indivíduo galgasse posições entre os temas de maior relevância dos últimos anos.

Nesse cenário, pleito frequente – e recurso comum da maioria dos governos – é a criação de leis que delimitem responsabilidades e protejam os cidadãos contra abusos tanto do próprio governo quanto dos agentes econômicos privados. Após longo debate sobre o tema no Brasil, foi promulgada em 2018 a Lei n.º 13.709/2018, conhecida como a “Lei Geral de Proteção de Dados Pessoais” (“LGPD”), dando ao Brasil finalmente um marco legal para a proteção da privacidade e dos dados pessoais. A nova lei, conforme alteração dada pela Lei n.º 13.853/2019 4 , deverá entrar em vigor nos próximos meses, após o prazo de vacatio legis, 5 conferindo um tempo relativamente curto para as empresas e entidades públicas e privadas se adaptarem às novas regras 6 .

Não obstante, considerando as definições mais atuais de dado pessoal, o que se nota é que a regulação não deve e não pode buscar um ideal absolutamente protecionista e proibitivo, mas antes equilibrar interesses do mercado como um todo e do indivíduo, uma vez que a quase integralidade dos dados utilizados para conduzir, orientar e fundamentar decisões estratégicas e para possibilitar a operação de determinados setores, serviços e produtos pode ser, nesse contexto, caracterizada como dado pessoal. Assim, o desafio dos modelos regulatórios que buscam se consolidar ao redor do mundo tem sido justamente a identificação da estratégia ideal para, em um mesmo passo, proteger o indivíduo e viabilizar a atividade econômica legítima, mesmo que condicionada a certos requisitos mínimos de transparência e legalidade, de modo a criar sistemas de controle externo, seja pelo próprio indivíduo (“autodeterminação informática”, na tradição germânica) ou por órgão fiscalizador ou judicial. 7

É justamente na falsa crença de que o Estado deve ser o único responsável pela garantia de direitos dos titulares e pelo correto e equilibrado funcionamento de um sistema de proteção de dados que tal tipo de modelo centralizador é geralmente tido como ineficiente. Nesse aspecto, é necessário atentar a outras soluções, tais como a autorregulação e o espaço de ação deixado aos particulares dentro das balizas definidas pela lei: o contrato.

Diante de tal premissa, o presente trabalho busca explorar a relevância da prática contratual para a normatização privada de relações entre agentes econômicos no que concerne ao tratamento de dados pessoais.

Dessa forma, este trabalho analisará, inicialmente, as principais alternativas regulatórias para proteção de dados, focadas na atuação estatal, na atuação setorial para autorregulação e na atuação de atores privados na composição contratual.

Em um segundo momento, considerando a relevância das normas contratuais particulares para os modelos regulatórios em geral, serão examinadas as principais relações jurídicas concernentes a tratamento de dados que sugerem a necessidade de formalização de acordos para o tratamento e compartilhamento de dados pessoais. Por fim, exploraremos questões que, mesmo nos sistemas mais estato-cêntricos, devem ser abordadas pelos acordos privados de forma a garantir padrões mínimos de responsabilidade e proteção de dados pessoais.

O trabalho proposto utiliza-se de metodologia macrocomparativa, com base em análise documental dedutiva, somada à metodologia empírica indutiva para sugestão de padrões contratuais adequados aos cenários comuns descritos.

2.Regulação e responsabilidade em proteção de dados

A meta de que determinado modelo regulatório adotado seja ao mesmo tempo garantidor de direitos enquanto permite o desenvolvimento econômico, passa necessariamente, pela definição de responsabilidades. Tais responsabilidades podem ser impostas pela Lei, pelos próprios agentes de determinado setor ou por acordos bilaterais aplicáveis entre entes privados, geralmente o fornecedor de determinado produto ou serviço e seu consumidor.

Dessa forma, devemos avaliar três vias gerais de regulamentação: a regulação estatal, a autorregulação e a regulação privada, consubstanciada em normas bilaterais vinculantes estabelecidas em contratos.

Não se pode dizer, de forma alguma, que tais vias são independentes ou que possam ser empregadas como panaceias para a questão da privacidade e da liberdade de iniciativa. No entanto, é necessário reconhecer que diferentes modelos regulatórios geralmente conferem pesos diferenciados a cada tipo de regulação, atribuindo maior ou menor responsabilidade e poder a diferentes agentes, mesmo que utilizem ao mesmo tempo regras sobre regulação estatal, autorregulação e liberdade contratual. Dessa forma, cabe buscar as vantagens e pontos fortes de cada recurso colocado à disposição para regulação de determinada matéria, de modo que a combinação desses fatores gere um modelo ideal e equilibrado.

2.1.Regulação estatal

Nesse aspecto, podemos tomar como exemplo o modelo regulatório vigente no Uruguai, cujo centro, se pode argumentar, reside na atuação estatal, tanto no aspecto de produção de normas vinculantes, quanto no aspecto fiscalizatório e de efetivação de direitos. A principal lei uruguaia no tema é a Lei nº 18.331 de 2008 que trata da “Proteção de dados pessoais e da ação de ‘Habeas Data’” 8 , representando o ponto central do sistema de tutela daquele país.

O modelo regulatório uruguaio é de especial interesse para nós, pois a preocupação com a privacidade de dados dos cidadãos naquele país teve origem semelhante à brasileira, na medida em que ambas foram resultado de uma tradição sul-americana de reafirmação e expansão de direitos fundamentais após regimes ditatoriais que tiveram na compilação de dados sobre seus cidadãos, principalmente aqueles de ideais incompatíveis com tais regimes, uma importante arma na repressão de movimentos democráticos 9 .

O modelo uruguaio de regulação e proteção de dados pessoais guarda semelhanças com o modelo europeu, mesmo considerando que sua lei geral de proteção tomou como inspiração a Diretiva 95/46/CE da União Europeia, modelo hoje praticamente ultrapassado, tanto pelo desenvolvimento do sistema uruguaio quanto do próprio sistema europeu, com sua recente reforma. Não obstante, tanto na adoção inicial quanto nos caminhos adotados em um e noutro contexto, algumas diferenças são fundamentais.

À semelhança do modelo europeu de proteção de dados, o Uruguai conta com um arcabouço normativo diversificado e estratificado, ainda que não chegue ao nível de complexidade das normas que têm como referência. Há uma lei geral, cujos pontos mais importantes são desenvolvidos com mais detalhes em decretos regulamentadores. Encontram-se também normativas emitidas pela Autoridade de Proteção de Dados criada naquela lei geral, a “Unidad Reguladora y de Control de Datos Personales” que regulam assuntos específicos e muitas vezes técnicos, como cláusulas contratuais para transferência internacional de dados pessoais 10 e monitoramento de ambientes por vídeo 11 . Ainda, paralelamente, tem-se o incentivo para a adoção de códigos de conduta, que complementam a legislação estatal com a autorregulação dentro dos princípios gerais já estabelecidos.

O tom das normas em vigor, no entanto, não deixa dúvida de que a legislação uruguaia tem forte tendência à centralização de competências. As normativas baseiam-se, antes de tudo, em direitos de acesso, retificação e eliminação de dados, garantidos de modo abrangente, combinados com o registro obrigatório de bases de dados.

A Autoridade pode, também, seja através de denúncias, inspeções ou solicitação de informações, fiscalizar o cumprimento da lei, podendo aplicar as sanções administrativas permitidas, quais sejam, advertência, multa ou suspensão de bases de dados.

Uma última característica da Autoridade de Proteção de Dados uruguaia é de grande relevância para o presente mapeamento: a inexistência de competência jurisdicional ou de resolução de conflitos. Ao contrário de modelos como o europeu, a Autoridade uruguaia não tem poder decisório para determinar certa conduta a um ente, público ou privado, que entre em conflito com um cidadão. Ao invés disso, quando um cidadão lhe procure com uma querela, a Autoridade deve informá-lo sobre os meios judiciais a sua disposição, para que ele possa buscar a tutela adequada de seus direitos 12 . Não há, pois, uma instância administrativa dedicada às questões de proteção de dados, sendo tais casos direcionados ao Poder Judiciário em geral, que pode ser acionado exclusivamente pelo titular dos dados.

Nesse cenário, o que podemos denominar como um modelo normativo-estatal tem como suas principais características um sistema normativo centralizador, mantendo a maior parte das competências regulatórias e fiscalizatórias no próprio Estado, através da forte atuação do Poder Judiciário, onde um procedimento judicial específico é utilizado para possibilitar o exercício de direitos.

2.2.Autorregulação

O foco regulatório pode recair, em alguns modelos, sobre a autorregulação. Com base na crença de que o setor produtivo empresarial conhece melhor que o próprio governo as limitações de modelos de negócio baseados em dados pessoais, em alguns cenários é possível que a legislação estatal limite-se a estabelecer princípios gerais sobre proteção de dados pessoais, enquanto transfere aos diferentes setores a responsabilidade por se organizar internamente para a aprovação de códigos de conduta que, uma vez aprovados pela categoria e, por vezes submetidos a órgãos regulatórios, passam a representar normas vinculativas, exigíveis das empresas de tal setor.

Obviamente, tal modelo regulatório não prescinde totalmente de normas estatais para reger garantias e regras mínimas para proteção do titular dos dados, mas é interessante notar que o foco de tais modelos é efetivamente a regulação liderada pelo próprio mercado, de modo a evitar, no mesmo passo, uma regulação demasiado restritiva por parte do Estado e regras excessivamente esparsas mal adotadas pelo setor empresarial, que privilegiariam certa concorrência desleal com base nas práticas adotadas quanto aos dados pessoais dos usuários de determinados tipos de serviços e produtos.

Como exemplo desse modelo regulatório, podemos apontar aquele vigente nos Estados Unidos, que se apresenta único na medida em que adota uma abordagem bastante heterodoxa no que toca às limitações à proteção de dados. Há de fato o reconhecimento de que os dados pessoais têm alguma ligação com a privacidade do indivíduo e com o controle que esse exerce sobre sua vida particular 13 , mas a extensão dessa proteção é no geral incerta. Tem-se um “direito à tutela”: o titular tem direito a ter considerado o peso de sua privacidade na avaliação do caso concreto, mas o alcance real da privacidade depende desse sopesamento feito pelos tribunais. Tal “direito à tutela”, por consequência, dificilmente é autoaplicável ou diretamente exigível pelo titular dos dados daquele que os coleta e os trata.

Nesse passo, a regulamentação estatal geralmente limita-se a setores específicos, tais como comunicações eletrônicas, 14 saúde 15 e dados de menores de idade, 16 mas, no geral, as práticas relacionadas a dados pessoais são definidas por códigos de autorregulação setorial, adotados por iniciativa dos próprios setores, de modo a estabelecer critérios mínimos aceitáveis para o tratamento de dados pessoais.

Não obstante, a norma de direito mais próxima do indivíduo é, pois, o contrato que rege sua relação com a empresa que coleta e utiliza seus dados pessoais. Talvez por conta da alta estima em que tem a liberdade no sistema jurídico do país, o legislador parece deixar às partes estabelecer o que é razoável e possível. O instituto central do modelo norte-americano pode ser apontado, pois, como o consentimento. As condições e características desse consentimento variam de acordo com o setor de mercado e com a corte competente, mas é bastante claro que o consentimento possui, no contexto norte-americano, valor muito maior que aquele atribuído a ele nos demais modelos regulatórios. Isso porque não se trata aqui de um consentimento informado, livre ou expresso, resultado da consideração do indivíduo sobre o que se pretende com seus dados e o sopesamento entre benefícios e malefícios. O consentimento, na tradição norte-americana, parece ter maior ligação com a venda de informações do que com o estabelecimento de uma relação entre o usuário e o responsável pelo tratamento, dando-se ao contrato o tom de uma transação comercial, ao invés de uma cessão temporária de direitos sobre os dados em questão 17 .

O modelo adotado pelos Estados Unidos pode ser qualificado, portanto, de liberal, pois há grande recurso à autorregulação e o Estado busca interferir ao criar normas apenas em áreas consideradas sensíveis, como saúde, finanças e menores de idade. Nesse modelo, apesar de haver alguma tendência à judicialização, o principal foco é a liberdade de contratação e a possibilidade de o mercado definir, em sua interação com os consumidores, os comportamentos aceitáveis.

2.3.Modelos mistos

É relevante, antes que se abordem as normas privativas sobre proteção de dados, falar brevemente sobre modelos mistos que combinam diferentes tipos de abordagens regulatórias, em estratégia aproximada ao proposto por Lessig. 18 Nesse aspecto, é importante mencionar o exemplo da União Europeia.

Ainda que o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), aprovado em 2016, seja hoje uma das referências no tema da regulação dos dados pessoais, sua relevância para este estudo se justifica mais que por seu impacto jurídico direto, pela estratégia que representa, vez que reúne características tradicionais de outros...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548775/clausulas-contratuais-e-dados-pessoais-controladores-operadores-cocontroladores-e-transferencias-internacionais-data-protection-officer-encarregado-ed-2020