A transformação da privacidade, do sigilo ao controle,1 destaca como o fluxo informacional é um fator preponderante nas sociedades informatizadas. A própria construção das leis de proteção de dados ao longo dos anos compreendeu que o fornecimento de dados pessoais se tornou um requisito indispensável para efetiva participação na vida social, assim, interromper e questionar constantemente esse fluxo pelo cidadão implicaria na sua própria exclusão da sociedade.2
Essa afirmação hoje em uma sociedade globalizada como a nossa soa até como redundância, pois hoje podemos transpor vários limites que separavam ou dificultavam novas relações entre as pessoas. Essa é também, contudo, uma preocupação com nossos dados, pois assim como podemos desfrutar dessa maior mobilidade, nossos dados também, sendo essa constatação ora benéfica, ora prejudicial aos titulares. A fim de conciliar tanto os benefícios de um planeta cada vez mais interligado e a proteção de nossas informações podemos encontrar nas legislações princípios e normas sobre a transferência internacional dos dados pessoais.
Como inspiração marcante da nossa lei, a GDPR possui um capítulo (V) destinado a essa matéria, compreendendo dos arts.44 a 50, bem como é destacado em vários de seus considerandos.3 O papel protetor da lei torna-se evidente à medida que estabelece requisitos para auxiliar os responsáveis pelo tratamento se determinado país ou empresa é um destino seguro de dados.
Um dos pontos mais importantes é a existência de um nível de proteção adequado (adequate level of protection). Essa constatação fica à cargo da Comissão Europeia, a qual, conforme art.45, nº2, levará em conta: i) o primado do Estado de Direito; ii) a existência e funcionamento efetivo de uma autoridade de controle independente; e iii) os compromissos internacionais, convenções e tratados multilaterais as quais o destinatário participa.
A existência de um Estado de Direito4 aponta para um sistema condizente com os valores democráticos e garantias dos direitos humanos. O próprio Considerando 101 destaca, em sequência, o respeito ao “acesso à justiça e as regras e normas internacionais no domínio dos direitos humanos e a sua legislação geral e setorial, nomeadamente a legislação relativa à segurança pública, à defesa e à segurança nacional, bem como a lei da ordem pública e a lei penal”.
O destaque, por sua vez, para uma autoridade independente está na retirada de pressões públicas e privadas sobre ela, justamente para se pautar ao máximo em análises técnicas, permitindo um controle geral e contínuo exitoso, diferentes de outros agentes na sociedade que exercem apenas uma vigilância eventual e fragmentada.5 O Brasil, a título de exemplo, sobe mais um degrau rumo ao reconhecimento internacional ao aprovar a Medida Provisória nº 1.124/22, tornando a ANPD uma autarquia de natureza especial.6
Há, contudo, a possibilidade de a Comissão concluir que o importador não fornece ambiente adequado. É aberta, então, a possibilidade de o responsável apresentar garantias adequadas para a proteção dos interesses dos titulares, ou pode ele mesmo apresentar essas garantias antes da análise da comissão, conforme o art.46 da GDPR.
Dentro dessa possibilidade estão as cláusulas padrão (standard contractual clauses), bem como as binding corporate rules (BCRs). Para a ICO, autoridade inglesa, as standard contractual clauses (SCCs) são contratos firmados entre as partes, com disposições reconhecidas pela autoridade, onde estão dispostas obrigações para quem exporta e quem importa os dados, bem como os direitos dos titulares e a possibilidade de fazerem vale-los frente aos responsáveis pelo tratamento.7 As BCRs, por sua vez, são voltadas a grupos de empresas multinacionais que irão “realizar a transferência de dados entre entidades do mesmo conglomerado localizadas em países que não asseguram um nível de proteção adequado”.8
Acrescenta-se ainda a emissão de certificados, como forma de demonstrar que determinada empresa é reconhecida como um agente capaz de garantir a segurança dos dados. Nas últimas declarações a EDPB parece apontar rumo a um sistema único de certificação.9
Em termos brasileiros10 nossa lei absorveu boa quantidade da legislação europeia, mas deixou a desejar em alguns pontos,11 como não requerer a avaliação periódica dos países e organizações, acompanhando as alterações ao longo dos anos, bem como não detalhou, da mesma forma, os procedimentos e conteúdo para auxiliar na decisão de adequação.12 Isso vem tentando ser contornado pela ANPD com a Tomada de Subsídios para essa temática. Apesar de já encerrada, é possível ver no questionário a preocupação com os eixos da proteção de dados e a garantia de um fluxo de dados contínuo e seguro.13 Ela destaca que esse primeiro momento será voltado para as cláusulas-padrão contratuais (CPCs), as cláusulas contratuais específicas e as normas corporativas globais. Segundo seu posicionamento as CPCs permitem “compatibilizar, via instrumento contratual, as regras de proteção de dados de diferentes jurisdições, em especial aquelas do país que exporta os dados pessoais. Ademais, as CPCs podem ser consideradas um instrumento de prateleira e de menor custo de implementação em comparação aos demais”.14
Ainda que estejamos em certo descompasso com os demais regimes de proteção de dados não podemos esquecer da continuidade e do amadurecimento do debate em nosso ordenamento, o qual vem aprendendo com a experiência externa e inserindo o Brasil cada vez mais no ambiente de fluxo de informações.
____________________
Referências
________________________________________
1. RODOTÀ, Stefano. A Vida na Sociedade da Vigilância: a privacidade hoje. Organização, seleção e apresentação: Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Cabral Doneda). Renovar, Rio de Janeiro, 2008. p. 93.
2. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2 ed. São Paulo: Thomson Reuters Brasil, 2019, p.174-179.
3. Como exemplos Considerandos 101 ao 116.
4. Ainda que circunscrito à nossa Constituição, vale mencionar o comentário de Virgílio Afonso da Silva sobre o termo: “Por Estado de Direito dever ser compreendida sobretudo a garantia de exercício do poder estatal com base no direito, não no arbítrio ou em vontades pessoais […] O direito, nessa expressão, não se confunde com a lei. Ele incorpora inúmeros valores. Mas não valores abstratos, tampouco arbitrários. São valores concretos, definidos pela mesma constituição que os consagra […] O exercício legítimo do poder nesse Estado é aquele respeita o direito como um todo e esse ‘direito como um todo’ só é legítimo se formal e substancialmente compatível com a Constituição”. SILVA, Virgílio Afonso da. Direito Constitucional Brasileiro. 1 ed. São Paulo: Editora da Universidade de São Paulo, 2021. p.86.
5. RODOTÀ, Stefano. A Vida na Sociedade da Vigilância: a privacidade hoje. Organização, seleção e apresentação: Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Cabral Doneda). Renovar, Rio de Janeiro, 2008. p. 86.
6. Aprovada no Senado Medida Provisória que transforma a ANPD em autarquia de natureza especial. Autoridade Nacional de Proteção de Dados. 18 out. 2022. Disponível em: https://bit.ly/3D9HLkb. Acesso em: 24 out. 2022.
7. No original: “You can make a restricted transfer if you and the receiver haventered into a contract incorporating standardata protection clauses recognised or isued in acordance with the UK data protection regime. These are known as ‘standard contractual clauses’ (‘SCs’ or ‘model clauses’). standard data protection clauses recognised or issued in accordance with the UK data protection regime. These are known as ‘standard contractual clauses’ (‘SCCs’ or ‘model clauses’). The SCs contain contractual obligations on you (the data exporter) and the receiver (the data importer), and rights for the individuals whose personal data is transfered. Individuals can directly enforce those and rights for the individuals whose personal data is transferred. Individuals can directly enforce those rights againsthe data importer and the data exporter.” GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 14 out. 2022. Disponível em: https://bit.ly/2CSHDHX. Acesso em: 24 out. 2022.
8. FRAJHOF, Isabella Z.; SOMBRA, Thiago Luís. A transferência internacional de dados pessoais. In: MULHOLLAND, Caitlin (Org.) a LGPD e o novo marco normativo brasileiro. Porto Alegre: Arquipélago. 2020, p.282.
9. Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR). European Data Protection Board. 10 out. 2022. Disponível em: https://bit.ly/3U1RXlw. Acesso em: 24 out. 2022.
10. Arts. 33 a 36.
11. Não significa dizer que o sistema europeu tenha sempre valorizado a proteção de dados em todos os casos. Verifica-se, por exemplo, no caso das transferências entre Estados Unidos e Europa, mediante o Safe Harbor, que a proteção dos europeus foi de certa forma fragilizada para não prejudicar o fluxo de dados. CARVALHO, Angelo Gamba Prata de. Transferência internacional de dados na Lei Geral de Proteção de Dados – força normativa e efetividade diante do cenário transnacional. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Org.). Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 632-639.
12. FRAJHOF, Isabella Z.; SOMBRA, Thiago Luís. A transferência internacional de dados pessoais. In: MULHOLLAND, Caitlin (Org.) a LGPD e o novo marco normativo brasileiro. Porto Alegre: Arquipélago. 2020, p. 276-277.
13. Tomada de Subsídios sobre Transferência Internacional. Gov.br. 18 maio 2022. Disponível em: https://bit.ly/3DcK0Dk. Acesso em: 24 out. 2022.
14. Nota Técnica nº 20/2022/CGN/ANPD. Autoridade Nacional de Proteção de Dados. 17/05/2022. Disponível em: https://bit.ly/3swlHLE. Acesso em: 24 out. 2022.
