Por que a transferência internacional de dados tem que ser segura?

Recentemente, no caso conhecido como Schrems II, o Tribunal de Justiça da União Europeia (TJUE) invalidou o Escudo de Privacidade, ou EU-US Privacy Shield, que regulamentava a transferência internacional de dados entre Estados Unidos e Europa. O Privacy Shield foi criado, em 2015, para substituir o International Safe Harbor Privacy Principles, que também foi anulado em um processo movido pelo ativista Max Schrems. No primeiro webinário do projeto “LGPD em movimento”, organizado pelo Observatório da Privacidade e da Proteção de Dados, o tema da transferência internacional de dados foi discutido por especialistas de diferentes áreas, que propuseram soluções, problemáticas e impacto da invalidação do Privacy Shield.

Em ambos processos, Schrems denunciou o aparato legal criado para a transferência internacional de dados entre EUA e UE alegando que o nível de adequacy entre os países não seria suficiente para garantir a proteção de dados pessoais dos titulares europeus. O primeiro (Schrems I) ocorreu após Edward Snowden ter tornado públicos os detalhes de programas estadunidenses de vigilância em massa, revelando o uso de dados não só de americanos, mas também de estrangeiros, para fins diversos dos da transferência internacional. 

Gabriela Zanfir, do Future of Privacy Forum afirmou que, no período em que atuou no European Data Protection Supervisor (EPDS), após a invalidação do Safe Harbor, o foco da autoridade europeia era o de desenvolver um novo acordo, propondo o aparato jurídico necessário para que a transferência internacional de dados fosse segura para os titulares. No entanto, como observado, o Privacy Shield também foi invalidado pela Corte Europeia. Mas qual a diferença entre a primeira e a última decisão?

O que mudou com os casos Schrems I e II? 

Como mencionado, ambos os processos trataram de falhas na adequação da legislação de proteção de dados americana com relação à europeia, mas o caso Schrems II, na prática, tem uma repercussão muito maior sobre o dia-a-dia das empresas que têm como atividade a transferência internacional de dados. Isso porque a decisão do caso Schrems II não apenas invalidou o Privacy Shield, como também determinou que, embora válidas, as  cláusulas contratuais padrão aprovadas pela Comissão Europeia, um outro mecanismo para a transferência internacional, podem vir a ser consideradas falhas para o exercício do direito à proteção de dados dos cidadãos europeus. 

Em resumo, o TJUE decidiu que ainda que as cláusulas padrão possam ser utilizadas como medida de salvaguarda para garantir os padrões mínimos de segurança e proteção de dados, elas não são absolutas e devem estar sujeitas a uma análise da prática e legislação do país destino, sendo responsabilidade do controlador observar tais eixos: “o Tribunal salienta, em particular, que essa decisão impõe ao exportador de dados e ao destinatário dos dados a obrigação de verificar, antes de qualquer transferência, se esse nível de proteção é respeitado no país terceiro em causa e se a decisão exige que o destinatário informe o exportador de dados de qualquer incapacidade de cumprir as cláusulas-padrão de proteção de dados, sendo este último, por sua vez, obrigado a suspender a transferência de dados e/ou rescindir o contrato com o primeiro.“

Embora a decisão seja aplicável apenas às relações entre Estados Unidos e a União Europeia, ela suscita discussões mais amplas, por exemplo:  1. quais medidas poderiam ser tomadas para que a transferência internacional de dados pudesse continuar acontecendo também entre outros países que não apresentem um alto grau de adequacy com a legislação europeia e 2. quais seriam os impactos econômicos da decisão. 

Entraves e reflexões acerca da invalidação do EU-US Privacy Shield

Em primeiro lugar, cabe dizer que a decisão do TJUE no caso Schrems II trouxe à tona a discussão que já ocorre há muito acerca da função dual da legislação de proteção de dados pessoais. A primeira – e evidente – função é a de proteção do direito fundamental à proteção de dados pessoais. A segunda, por outro lado, é a de ser um elemento facilitador de trocas econômicas, estimulando a inovação. Como apontou Bojana Bellamy, as leis de proteção de dados funcionam em um contexto econômico que não diz respeito apenas à proteção dos titulares dos dados e, cabe às organizações que discutem o tema da proteção de dados pessoais a capacidade de equilibrar a função dual da legislação, para que o fluxo internacional de dados possa continuar existindo, mas através de mecanismos que protejam os cidadãos. 

Sob esse aspecto, a transferência internacional de dados é um dos temas mais relevantes para as leis de proteção de dados, porque é ela que permite que não apenas as Big Techs, mas também startups que, desde sua concepção são globais, funcionem ao realizar operações diárias de transferência internacional para manter o seu desempenho. 

A esse respeito ainda persistem estratégias regulatórias que forçam o armazenamento de dados pessoais em uma localização específica, como o caso da Rússia, que implementou lei específica para data localization. O tema foi amplamente debatido no Brasil durante o processo de formulação do Marco Civil da Internet e, conforme demonstra o relatório de aprovação do Deputado Federal Alessandro Molon, o armazenamento forçado dos dados em determinada localização não foi aprovado, sendo que sociedade civil e  empresas brasileiras e estrangeiras votaram contra a aprovação da medida. Dever-se-ia dar menor relevância para a localização dos dados e maior relevância para a adequação dos diferentes países aos critérios mínimos de proteção aos direitos fundamentais, como o da proteção de dados pessoais. 

Nesse sentido, a Convenção 108 do Conselho da Europa/CoE, que pode ser aderida inclusive por países não-membros do CoE, apresenta-se como o principal instrumento de direito internacional para que haja tal convergência normativa.  Nesse sentido, o caso Schrems II aponta para uma imediata necessidade da criação de padrões internacionais de proteção de dados, mas que olhe para o sistema como um todo, levando em consideração não apenas como os dados são tratados pelas empresas, mas também avançando em um mecanismo internacional em cujo diferentes governos possam se basear para que, para fins de segurança pública e em casos específicos, esses dados possam ser acessados, mas de forma a garantir os padrões de proteção de dados pessoais estabelecidos. 

Nessa perspectiva, como apontou Rauf Sauer, que é importante  estabelecer padrões internacionais de proteção de dados pessoais sobre como governos podem acessar dados para fins de segurança pública, persecução criminal e outros fins legítimos. Desde o caso  Schrems I, esse permanece sendo o principal calcanhar de aquiles para que haja um livre fluxo informacional transfronteiriço – terminologia amplamente utilizada pela OCDE.  

Outro mecanismo, apontado por Bruno Bioni como meio eficiente de transferência internacional de dados no Setor Privado são as Binding Corporate Rules (BCRs). Se validadas pelos órgãos reguladores, cria-se uma espécie de zona intraorganizacional segura para o fluxo de dados. Por exemplo, empresas e entidades de um mesmo grupo econômico podem trocar dados entre si, ainda que o destino seja um país sem um nível de proteção de dados adequado.   

Também, uma ferramenta indicada por Renato Leite Monteiro como possibilidade de preservação do fluxo internacional de dados é o artigo 33, inciso IX da Lei Geral de Proteção de Dados, que trata da hipótese de a transferência se dar para atender as hipóteses de execução de um contrato e que, portanto, independe da iniciativa da Autoridade Nacional da Proteção de Dados e políticas de governo para dar continuidade ao processo de transferência internacional. Esse pode ser o caso, por exemplo, do compartilhamento de dados realizado por empresas aéreas, que demandam o fluxo transfronteiriço de dados pessoais para executar o contrato estabelecido entre o titular dos dados e a empresa. 

E no Brasil?

Com a invalidação do EU-US Privacy Shield e a relativização das cláusulas-padrão como hipótese para a transferência internacional fica ainda mais evidente a necessidade da instalação de uma Autoridade Nacional de Proteção de Dados (ANPD) robusta e independente. Isto porque, havendo tal arranjo institucional de proteção de dados abre-se espaço para que o Brasil seja reconhecido como um país com nível adequado de proteção de dados. Com isso, empresas e outros agentes de tratamento de dados podem transferir dados para cá sem ter que se vale de outros instrumentos, os quais detêm, via de regra, um alto custo. Em poucas palavras, diminui-se as barreiras de entrada para que atores da indústria nacional atuem em escala global e possam manter grande parte das suas atividades de tratamento de dados no país.  

Por Bruno Bioni, Iasmine Favaro e Mariana Rielli