Liberdade de Expressão

PROTEÇÃO DE DADOS

Dados internacionais na encruzilhada e o contexto brasileiro

Como uma decisão da União Europeia em relação aos EUA pode impactar fluxos de dados para o Brasil.

Crédito: Pixabay

No dia 16 de julho de 2020, a Corte de Justiça da União Europeia (“CJEU”) decidiu o Caso Schrems II[1], que questiona, entre outros pontos, a decisão de adequação dos Estados Unidos para a transferência internacional de dados estabelecida com base no acordo “Privacy Shield” (Escudo de Privacidade). A decisão vem na esteira da Corte já ter retirado os efeitos de um o primeiro acordo entre os EUA e a UE, o “Safe Harbor Agreement” no caso  de 2015, Schrems I.

No mais recente julgamento, de julho, a CJEU entendeu que mesmo esse segundo acordo (“Privacy Shield”) ter mitigado muitos dos pontos de tensão do anterior (“Safe Harbor”), ainda não está em conformidade com a normativa vigente de proteção de dado.

Os ventos da adequação – mecanismo da regulação da União Europeia que permite trocas livres de dados pessoais entre entidades de países considerados seguros (“adequados”) –  parecem estar mudando. Com a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”) as decisões de adequação anteriores baseadas na Diretiva 95/46/EC se mantiveram em vigor (art. 45(9) GPDR). Mas restavam dúvidas quanto a novas decisões. A decisão de adequação do Japão passou a impressão de que ainda que o processo pudesse ser longo e complexo haveria espaço para novas decisões de adequação.[2]

Este texto faz  uma análise das primeiras impressões sobre os possíveis impactos para a transferência internacional de dados e particularmente para o Brasil que, desde a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), já assinala com a possibilidade de buscar adequação com outros países (particularmente União Europeia e, com a saída do bloco, o Reino Unido). Já tivemos a oportunidade de introduzir o tema no Relatório “Transferência de dados entre Brasil, União Europeia e Reino Unido: Análise do Processo de Adequação”, no qual se analisa a oportunidade e o processo para uma eventual decisão de adequação do Brasil pela Comissão da UE e pelo Reino Unido.

1. A Decisão:

A Corte da UE teve perante si duas questões principais: 1) se o mecanismo existente no acordo “Privacy Shield” está de acordo com o nível de proteção do GDPR em vista do fato de que no país de transferência (EUA) as autoridades de segurança pública podem requerer os dados pessoais inclusive importados (trazidos da Europa para os EUA); e 2) se as cláusulas padrão contratuais (SCCs no acrônimo inglês) são instrumentos válidos de transferência internacional no contexto de as leis locais dos países de importação poderem não garantir a proteção necessária para os dados pessoais.

Quanto ao primeiro ponto (validade do “Privacy Shield”), a Opinião do Advogado Geral (AG) provia uma saída, distinguindo entre processamento de acordo com a transferência e aqueles processamentos para fins de segurança pública ou segurança nacional (para. 104 da Opinião). A Corte não foi persuadida por essa distinção e acabou invalidando a decisão da Comissão da UE de adequação e deixou automaticamente sem efeitos o acordo “Privacy Shield”. Alguns dos fatores principais que levaram a Corte a decidir nesse sentido foram: i) a continuidade da possibilidade de organismos de segurança pública de requerer dados advindos da UE sem garantias ou a devida análise de proporcionalidade (paras. 164 a 185); e ii) a inexistência de mecanismo efetivo para os titulares de dados da UE de se opor a esse processamento de dados por autoridades públicas (paras. 191 e 2).

Já com relação às cláusulas padrão (SCCs), a Corte não as invalidou per se como mecanismo possível. No entanto, foram expandidas as obrigações dos controladores quanto a situações nas quais a lei local do país de importação exige o processamento de dados para além dos padrões estabelecidos na normativa europeia. Em outras palavras, em consonância com o Considerando 109 do GDPR, a CJEU tornou os controladores responsáveis por realizar uma “mini-análise de adequação”[3] sobre a capacidade do país de importação de cumprir com os padrões de proteção. Os controladores devem inclusive ter cláusulas adicionais ou suplementares que obriguem essa compatibilidade. Por fim, não existindo as cláusulas ou não sendo efetivas, o controlador deve ser responsabilizado.

2. Consequências da decisão: não-adequação; reavaliação da adequação e dificuldades para alcançar a adequação

O modelo da UE baseado no binômio países adequados e não-adequados e em num fluxo livre para os primeiros e com condicionantes específicas para os segundos foi repaginado. A decisão impactou virtualmente a todos os mecanismos de transferência internacional permitidos pela UE.

2.1. Não adequação:

No caso de países que não se beneficiam de uma decisão de adequação – caso dos EUA pós-decisão – os diferentes mecanismos que permitem a transferência internacional, mormente as cláusulas padrão contratuais, vão sofrer maior escrutínio (veja guias das DPAs). Nem todas as organizações têm condições de arcar com a obrigação estabelecida pela Corte de avaliar as estruturas legais dos países para os quais serão feitas transferências internacionais. No caso de uma transferência para o Brasil, por exemplo, o custo desta transferência levará em consideração os riscos relacionados às normativas internas – como o dilema da entrada em vigor da LGPD ou potenciais acessos por entidades de segurança pública.[4]

O que é mais difícil é que a Corte aponta para uma solução: a possibilidade de utilização de  cláusulas suplementares para o caso de países com nível de proteção desconforme ao padrão da UE e que as cláusulas padrão não sejam suficientes. No entanto, a CJEU não explicita que provisões seriam essas e como elas podem atacar situações em que é a normativa do país de importação que impõe as obrigações de maneira imperativa, caso como o dos EUA ou como se poderia vislumbrar no Brasil  leis sobre acesso dados para segurança pública. Há uma incerteza agora sobre o funcionamento do sistema não havendo adequação e sobre a responsabilidade das empresas ou entidades controladoras.

2.2. Reavaliação da Adequação:

No outro extremo do espectro estão os países que hoje são considerados adequados. O GDPR, diferentemente da diretiva anterior, prevê que as decisões de adequação devam ser revistas de maneira periódica (art. 45 (3)) e que a situação desse países seja monitorada de maneira constante (art. 45(4)). As decisões de adequação,  então, podem ser suspensas, emendadas ou repelidas (art. 45(5)) se houver um câmbio no nível de proteção do país receptor. Nesse contexto, mesmo os países considerados adequados, estão em um situação de maior pressão para uma conformidade com os padrões de proteção estabelecidos pelo GDPR. A decisão no Caso Schrems II evidencia como  a continuidade do status de adequado pode ser alterada.

2.3. Dificuldades para alcançar a adequação:

O contexto é mais complexo para países que buscam unir-se ao rol de adequados como Coréia do Sul, Reino Unido (pós “Brexit”), e mesmo o Brasil. Do ponto de vista comercial, como expôs o Prof. Chander, a UE deverá ser pressionada para assegurar acordos mais estáveis sob a pena de novamente correr o risco de invalidação por parte da Corte.

É de se esperar, portanto, que a Comissão da UE busque um nível de conformidade dos sistemas nacionais ainda maior com o GDPR. Países vão ter que ser ou comprometer-se a um padrão de virtual equivalência ao europeu. Dificilmente um sistema de exceção será considerado compatível ou um ordenamento que não siga a sistemática europeia poderá se beneficiar de uma decisão de adequação. O risco é ter que voltar a estaca zero se ocorrer uma invalidação assim como na situação norte-americana.

3. Impactos para o Brasil:

Importante pensar que existem grandes vantagens em ser considerado um país adequado. Os custos para participar nos fluxos internacionais de dados originados da UE diminuem significativamente. Agora mais ainda. No momento em que o uso de cláusulas padrão exige maior escrutínio e que os controladores são responsabilizados inclusive por uma análise do cenário do país de importação dos dados, o custo de negociar com uma entidade de uma país não adequado aumenta. Isso tanto do ponto de vista de análise de risco, como o de custo burocrático.

Nesse sentido, torna-se economicamente estratégico para o Brasil buscar decisões de adequação com UE e outros países como o Reino Unido. A pergunta que resta pós-decisão Schrems II é como estão impactadas as chances do país. Em relatório baseado no cenário anterior, o ITS explicita que a inspiração da LGPD no GDPR facilita uma possível decisão de adequação. A questão central naquele momento relacionava-se com a autoridade nacional de proteção de dados. Entendeu-se que podem existir questionamentos sobre o nível de independência que essa pode ter vis-à-vis particularmente a administração pública, mas era superável. Agora, o escrutínio pode ser maior e a necessidade de efetiva independência para garantir os padrões de proteção pode ser ainda maior.

A decisão Schrems II baseou-se extensivamente na capacidade das autoridades de segurança pública e nacional de compelir as entidades controladoras e processadoras de dados de entregar dados pessoais. Nesse sentido, tanto o resultado do processo de aprovação do PL sobre Fake News (PL 2630/2020) quanto a lei de proteção de dados pessoais para fins de segurança pública podem ter um impacto nesse processo de adequação.[5] No primeiro, o art. 32 do projeto aprovado no Senado requer a entrega de dados a despeito de transferência internacional ou não. E no segundo, deve-se ter cuidado como se dá a caracterização do acesso a dados para que seja compatível com os padrões de proteção da UE.[6]

Nesse sentido, há que se encarar que existe um trabalho de casa ainda efetivamente relevante e que se tornou ainda mais delicado após a decisão Schrems II da CJEU. Elementos como a independência da ANPD, a sua atuação conforme a padrões internacionais de proteção, além das condicionantes de acesso a dados – particularmente os de origem estrangeira e da EU – se tornam pontos ainda mais relevantes.

[1] CJEU: Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems – Caso C-311/18, 2020.

[2] GREENLEAF, Graham. Different paths to EU adequacy The first two adequacy assessments of countries under article 45 of the GDPR are now at critical points. In.: Privacy Laws and Business International Report, Dezembro de 2018, pp. 10 e ss.

[3] Expressão utilizada por Kuner em sua análise da decisão. Vide: Kuner, C. The Schrems II judgment of the Court of Justice and the future of data transfer regulation. European Law Blog, 17 de julho de 2020.

[4] Aqui tem-se que tomar em consideração os múltiplos adiamentos da entrada em vigor da LGPD, a falta de uma autoridade de proteção de dados (i.e. ANPD) além de os futuros resultados de processos legislativos como a lei específica de proteção de dados e segurança pública requerida pelo art. 4º da LGPD. Adicionalmente, o processo legislativo quanto a Lei de Fake News (PL 2630 de 2020) também possui provisões que podem cair fora do nível proteção da UE e pode ser um elemento no cálculo de uma potencial transferência internacional.

[5] Essa lei futuro é requerida pelo art. 4º da LGPD e já foi formada uma comissão para propor um projeto de lei sobre o assunto. Vide: https://www.camara.leg.br/noticias/648011-maia-prorroga-funcionamento-de-comissao-de-juristas-sobre-protecao-de-dados/.

[6] A depender do ponto de vista do EDPB, essas questões terão um escrutínio significativo. Vide: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.