A regulação da transferência transnacional de dados

Caminhamos na contramão dos principais valores de desenvolvimento socioeconômico

Como promover o fomento da economia dirigida por dados com a transferência internacional e simultaneamente salvaguardar padrões adequados de proteção dos dados pessoais e da privacidade? Este foi o questionamento norteador da audiência pública convocada pelos membros da Comissão Especial da Câmara dos Deputados que analisa os projetos de lei de proteção de dados pessoais. Na ocasião, um grupo de especialistas formado por representantes da sociedade civil, empresas e academia puderam apontar os principais pontos do cenário regulatório no qual o Brasil se encontra inserido, sob perspectivas multifacetadas.

O primeiro aspecto analisado envolveu a mudança de comportamentos sociais promovida por tecnologias disruptivas e seu impacto no desenvolvimento econômico. Na economia dirigida por dados, as fronteiras entre as camadas lógica e física se tornam cada vez mais fluídas, de sorte que um dos principais desafios é definir com precisão os contornos da figura da imputabilidade[i]. Em outras palavras, quem seriam os responsáveis pela transferência e gestão dos seus dados pessoais em determinadas relações jurídicas: empresas ou usuários? É possível cravar que invariavelmente as empresas são as responsáveis exclusivas pelo processo de transferência de dados ou má gestão de dados pessoais?

Dados da Pesquisa Nacional por Amostra de Domicílio (PNAD/2015) revelaram uma crescente demanda da população brasileira por serviços disruptivos e tal fato se deve em grande medida à promoção do acesso à internet e ao cenário regulatório definido pelo Marco Civil da Internet. Segundo PNAD/2015: 85,6 milhões ou 49,4% da população de 10 anos ou mais utilizaram a internet pelo menos uma vez no período de referência da pesquisa.”(IBGE, 2015, p. 35–40).

Sob outro prisma, a pesquisa indicou que a predominância do acesso à internet nos domicílios ocorre da seguinte forma: Celular ou tablet (57,3% ou 17,9 milhões), celular (53,6% ou 16,8 milhões), tablet (17,2% ou 5,4 milhões), televisão (2,7% ou 832 mil) e outros equipamentos (0,7% ou 210 mil). Na Região Norte, 75,4% da população usa celular para acesso à internet, enquanto nas demais Grandes Regiões predominava o microcomputador. Além disso, o uso do tablet para o acesso era maior na Região Sudeste (19,2%) em relação à média nacional de domicílios (17,2%).

[formulario_fulllist]

Conquanto a América Latina tenha um perfil histórico de exportador de commodities, a economia dirigida por dados tem mudado este panorama e demonstrado a paulatina transmutação para uma economia exportadora de serviços. Um claro exemplo pode ser obtido a partir de uma pesquisa realizada pela ALAI-Associação Latino Americana de Internet, segundo a qual quase 100% das empresas online atingem 28 até diferentes mercados, ao passo que apenas 18% de empresas off-line tem a mesma performance.

Em 2012, as Consultorias Mckinsey e Deloitte conduziram outras relevantes pesquisas e apontaram que a internet impactou em até 10% o crescimento do PIB de países como o Brasil, China e Índia. O dado mais interessante, no entanto, ainda está relacionado à desigualdade social: a modalidade de acesso e banda de telefonia/internet está diretamente relacionada com o PIB per capita de cada um desses países. A Deloitte revela também que dobrar a banda larga de telefonia poderá contribuir para o aumento de cerca de 0.5% do PIB per capita da América Latina, demonstrando que o uso e a infraestrutura de conexão estão diretamente associados ao aumento da produtividade da região e equalização do desenvolvimento socioeconômico.

Estabelecido o macro cenário no qual o debate em torno da transferência internacional de dados se posiciona, o passo seguinte compreende a análise das premissas que justificam estas transferências. A primeira delas envolve a inviabilidade de transmissão de dados point-to-point na economia global, tal como aponta Chris Kuner[ii]. Um exemplo claro deste fenômeno é a rede Walmart, que realiza cerca de 1 milhão de transações comerciais de consumidores por hora no mundo. A massa de dados envolvidos numa singela operação como o embarque de passageiros num avião, servidores móveis em cloud computing, operações bancárias internacionais e contratos de trabalho de empresas transnacionais revela a pertinência empírica do desafio regulatório.

A segunda premissa diz respeito à ubiquidade da transferência internacional de dados e a mudança do papel da territorialidade. Como saber por onde transitam os dados pessoais de alguém? Não é possível assegurar em algumas situações, em razão das malhas de infraestrutura física e lógica, que a simples transferência de dados de pacientes para uma pesquisa experimental de laboratório acarrete necessariamente o trânsito transnacional. E se tal elemento não pode ser definido com precisão empírica, mas apenas técnica, como definir o regime jurídico de proteção dessas transferências internacionais de dados?

A terceira premissa compreende a figura da imputação, anteriormente indicada. No contexto regulatório do ciberespaço, o crescente envolvimento dos usuários e os novos papéis de protagonismo por eles desenvolvidos tem gerado dificuldades na reconstrução da cadeia de gerenciamento de dados em operações transnacionais. Como identificar os responsáveis por comprometimentos e vazamentos em operações dessa natureza? Este é o principal desafio dos órgãos de fiscalização e regulação para fins de definir os responsáveis pelo dever de notificação dos usuários.

Todos estes aspectos, no entanto, se encontram numa mesma encruzilhada: o modelo regulatório de proteção de dados pessoais. Enquanto o Brasil patina na definição do seu marco regulatório, em maio de 2018 entrará em vigor a General Data Protection Resolution-GDPR, a regulação da União Europeia, com a consagração de um modelo de coregulação, no qual o poder público estabelece padrões normativos amplos de proteção de direitos, mas simultaneamente deixa espaços para a iniciativa privada estabelecer regulações privadas com fomento da inovação[iii].

Um exemplo disto são as normas corporativas vinculantes ou binding corporate rules­BDRs, em que empresas europeias e empresas localizadas fora do continente europeu definem de forma contratual padrões de proteção de dados pessoais nas trocas transnacionais[iv]. O regime das normas corporativas vinculantes, as quais demandam homologação perante a autoridade de proteção de dados de cada país envolvido na operação, tem se mostrado um experimento hábil a fazer frente às respostas prementes exigidas pela economia dirigida por dados e à necessidade de definição de padrões claros e seguros de proteção de dados pessoais.

Nos Estados Unidos, embora o regime da autoregulação tenha um espaço maior, a coregulação tem sido desempenhada de forma impactante e com resultados expressivos por parte da FTC-Federal Trade Commission, que por meio da Section 5 do FTC Act, tem implementado com êxito medidas de private enforcement, que podem ser traduzidas na imposição de sanções decorrentes do descumprimento de códigos de conduta, códigos de ética e cláusulas-tipo formuladas pelas empresas e homologadas perante o órgão. Em outros termos, a imposição de sanção pelo descumprimento de normas formuladas pelas próprias empresas e em relação às quais se obrigaram a cumprir perante o órgão regulador.

Os principais requisitos para a transferência internacional de dados em países com marcos regulatórios já definidos tem sido a adequação da operação; a transparência, prestação de contas e empoderamento do usuário (accountability); o consentimento e o uso legítimo (fair use). Entretanto, nada disso é um fenômeno exclusivamente europeu que justifique um irrefletido um transplante legal. Países como Argentina[v] e Uruguai[vi] tem sido promissores exemplos de um harmônico equilíbrio entre inovação tecnológica e proteção de direitos. Ainda que influenciada pelas decisões UE 2001/497/CE e 2010/87/UE, bem como pelo Princípio 8.º das Guidelines da OEA, a Argentina editou em novembro de 2016 a Disposición 60[vii], que regulamenta o artigo 12 da Lei 25.326/2000 e o Decreto 1558/2001, na qual define o regime de transferencia internacional de dados, bem como indica os países com um patamar adequado e condizente com os padrões do país. Curiosamente, dentre os países elencados não está o Brasil.

E o Brasil não é uma referencia para os setores produtivos que demandam transferencia internacional de dados e para segmentos da sociedade civil que defendem padrões mínimos de proteção de direitos porque se colocou numa posição distante e pouco expressiva. Enquanto a GDPR contém em seu art. 44[viii] um parâmetro geral claro e seguro para as transferencias internacionais, o PL 4060/12 não contempla uma seção específica sobre o tema, ao passo que o PL 5276/16 e o PLS 330/14 contém um sério problema de técnica legislativa ao dispersar o regime da responsabilidade civil por diversos artigos, ao invés de uma seção única com o padrão norteador.

Além disso, ao contrário do regime do Código de Defesa do Consumidor que poderá vir a ser invocado em determinadas situações, os PLs não contemplam, por exemplo, hipóteses de exclusão da responsabilidade como a culpa exclusiva do usuário ou atenuantes da responsabilidade como a previsão de prévia homologação de normas corporativas vinculantes perante autoridade de proteção de dados que assegurem o mesmo nível de proteção adequada.

Não surpreende o fato de que o Brasil ainda não tenha um marco normativo definitivo para a proteção de dados e a transferência internacional, afinal o país foi um dos últimos signatários do mundo da CISG-Convenção das Nações Unidas para a Compra e Venda Internacional de Mercadorias. Enquanto isso, o processo de internacionalização da economia brasileira e o fomento à competividade e inovação caminham na contramão dos principais valores de desenvolvimento socioeconômico.

 

—————————

[i] KUNER, Chrtistofer. Extraterritoriality and regulation of international data transfers in EU data protection law. International Data Privacy Law, v. 5, n. 4, p. 235-245, 2015.

[ii] KUNER, Chrtistofer. Regulation of transborder data flows under data protection and privacy law: past, present and future. OECD Digital Economy Papers, n. 187, OECD Publishing, 2011. Disponível em <http://dx.doi.org/10.1787/5kg0s2fk315f-en>.

[iii] ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 3/2010 on the principle of accountability.

ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 1/2016. On the justification of interferences with the fundamental rights to privacy and data protection through surveillance measures when transferring personal data. ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 658/2013. Explanatory Document on the Processor Binding Corporate Rules.

COMISSÃO EUROPEIA, Transatlantic Data Flows: Restoring Trust through Strong Safeguards,

117 final, Brussels, 29 February 2016, Disponível em: <http://europa.eu/rapid/press-release_IP-16-433_en.htm>.

[iv] USTARAN, Eduardo. The Scope of Application of EU Data Protection Law and Its Extraterritorial Reach. In: Beyond Data Protection. Springer Berlin Heidelberg, 2013. p. 135-156.

[v] Argentina – art. 12 da Ley N° 25.326/2000 e Decreto Reglamentario N° 1558/2001: Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no propocionen niveles de protección adecuados.

[vi] Uruguai – art. 23 – Se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia.

[vii] Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo (EEE), Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado.

[viii] GDPR Art. 44. Princípio geral das transferências. Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento.

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

Comentários