Providências visando a proteção de dados aplicada em casos de transferência internacional
Após sua implementação, em maio de 2018, a General Data Protection Regulation (“GDPR”) atua como a legislação precursora na regulamentação do tratamento de dados pessoais na União Europeia (“EU”). Em regra, os princípios previstos em tal regimento são: (1) lealdade, imparcialidade e transparência; (2) limitação de propósito; (3) minimização de dados; (4) precisão; (5) limitação de armazenamento; (6) integridade e confidencialidade; e por fim, (7) prestação de contas.
O processamento de dados pessoais deve ter uma justificativa legal para acontecer, além de priorizar a transparência do motivo apresentado. Já a coleta de dados pessoais, deve especificar a necessidade de fins específicos, explícitos e legítimos, limitando-se apenas ao necessário a que se destina seu uso e armazenamento, de modo que o processamento dos dados pessoais deve garantir a segurança deles, focando na autodeterminação informativa.
Na UE, foi estabelecido o Conselho Europeu de Proteção de Dados (“EDPB”), com função semelhante à Agência Nacional de Proteção de Dados (“ANPD”), que atuam com o intuito de, autonomamente, fiscalizar e monitorar a aplicação da lei.
O Brasil foi um dos países pioneiros em modificar sua legislação, em comparação com os padrões interpostos pela GDPR, buscando regular e atualizar a política de proteção de dados pessoais. A GDPR não só impulsionou que outros países buscassem também uma legislação mais condizente com a atualidade, como movimentou a economia de todo o continente, gerando novos empregos na área de segurança de dados.
Outros países como Japão, Argentina, México, Austrália, por exemplo, possuem legislação de proteção de dados pessoais instituída previamente à GDPR. O Canadá possui desde 2000 a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (“PIPEDA”). Já no Japão, a Lei de Proteção de Informações Pessoais (“APPI”) se tornou a mais ampla, a ponto de a União Europeia considerar o país oriental totalmente adequado quanto à proteção de dados.
Nos Estados Unidos (“EUA”), porém, não há uma regulamentação federal para a proteção de dados que valha para todo o país. De todo modo, o estado da Califórnia já possui em vigor, desde o início de 2020, o California Consumer Privacy Act (“CCPA”), que, também inspirado na GDPR, pretende instaurar o American Data Privacy and Protection Act (“ADPPA”).
Vale mencionar que o Brasil possui uma das legislações mais recentes e a que mais se equipara com os parâmetros da GDPR, em termos de atualizações.
A diferença mais significativa entre os EUA, em relação à UE, é a falta de uma lei de privacidade de dados que venha a abranger todos os tipos de dados e a todas as empresas americanas, em lugar da abordagem de modo mais fragmentado que adota, com diferenciação entre setores e tipos de dados. Em julho de 2016, o projeto “Privacy Shield”, para a transferência de dados entre a UE e os EUA foi implementado para substituir o “Safe Harbor”, anteriormente proposto. Ambos se baseavam nos mesmos princípios orientadores gerais, porém o “Privacy Shield” foi criticado pela falta de proteção dos dados pessoais dos europeus, caracterizado pelo possível monitoramento exercido pelo Serviço de Inteligência nacional americana, que deveria estar condicionado a objetivos definidos e compatíveis com a função desempenhada. Consequentemente, o Tribunal de Justiça Europeu o declarou inválido.
No decorrer de 2022, a Comissão Europeia emitiu um parecer de adequação, dando início ao processo formal de aprovação do Data Privacy Framework (“DPF”). Tal projeto conclui que o DPF fornece um nível adequado de proteção para dados pessoais transferidos. Atualmente, o Parlamento Europeu está analisando o projeto.
Atualmente, a intensidade do tráfego de dados pode acarretar eventuais inobservâncias dos requisitos para o adequado tratamento de dados pessoais, incluindo na transferência internacional de dados pessoais. Recentemente, a EDPB anunciou a aplicação da maior sanção por descumprimento às regras da GDPR à transferência internacionais de dados pessoais entre a UE e os EUA.
A fiscalização entendeu que houve descumprimento ao artigo 45 da GDPR por transferências de dados pessoais entre UE e EUA, determinando a aplicação de multa, no valor de €1,2 bilhão, que corresponde, aproximadamente, a R$6,5 bilhões, a suspensão de até 5 meses da transferência de dados pessoais da UE para os EUA e a interrupção de até 6 meses do processamento e armazenamento de dados pessoais oriundos da UE nos EUA.
Fazendo referência à legislação de proteção de dados vigente no Brasil, a Lei Geral de Proteção de Dados (“LGPD”) que teve como inspiração a GDPR, no mesmo sentido, dispõe que para a transferência internacional de dados pessoais é necessário que o país destinatário do dado tenha o mesmo nível de proteção que o Brasil, conforme artigo 33 desta lei, ou quando estiver previsto que o nível de proteção de dados do país estrangeiro ou do organismo internacional seja avaliado pela ANPD, de acordo com o artigo 34 da LGPD, de modo que as pessoas jurídicas de direito público, no âmbito de suas competências legais, e seus responsáveis, no âmbito de suas atividades, poderão requerer à ANPD tal avaliação.
É de responsabilidade do Controlador garantir a segurança dos dados e proteção dos direitos e garantias dos seus titulares. A transferência só ocorre sem impedimentos ao demonstrar-se necessária para: (1) a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; (2) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; (3) se a transferência resultar em compromisso assumido em acordo de cooperação internacional; (4) se a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; e por fim, (5) se o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação.
Dessa forma, a transferência de dados pessoais do Brasil para países que não apresentem o mesmo nível de proteção aos dados pessoais prevista na LGPD, pode acarretar promissórios descumprimentos à lei, além da aplicação de sanções pela ANPD.
Relembramos que no início do ano, a ANPD estabeleceu a dosimetria para aplicação de multas e sanções, conforme foi abordado por nossa equipe no boletim: https://www.araujo.relissan.com.br/geral/instituido-o-regulamento-de-dosimetria-e-aplicacao-de-sancoes-por-descumprimentos-a-lgpd/.
Portanto, recomendamos que para a transferência de dados pessoais para fora do território brasileiro, a ANPD seja consultada se o país atende os mesmos requisitos de proteção de dados pessoais previstos na LGPD.
Nossa Equipe de Proteção de Dados está à disposição para esclarecimentos.