Opinião & Análise

Proteção de dados

Data havens, offshores digitais e transferências internacionais de dados

Quão longe estamos da realidade de planejamento de transferências internacionais de dados? Spoiler: Não muito

Crédito: Pixabay

A cultura de proteção de dados, certamente, já se inseriu nos mais diversos contextos da sociedade. Seja em meio aos consumidores, seja no âmbito do mercado e das empresas, todos estão cada vez mais preocupados com os dados pessoais, seja porque realmente querem protegê-los, seja porque querem monetizá-los.

A proteção de dados já um tema global que, nos últimos anos, foi impulsionado pelo desenvolvimento tecnológico e pela globalização, que resultou na facilidade de conexão entre diferentes países. Dessa forma, aliada à evolução tecnológica, a globalização teve como resultado um significativo aumento no fluxo de dados internacionais.

Com esse aumento na importância e no fluxo de dados e informações entre nações, estas passaram a se preocupar mais com a proteção de tais dados, especialmente os dados dos seus próprios cidadãos. Essa é a razão pela qual, atualmente, existem aproximadamente 132 países com leis de proteção de dados e cibersegurança ao redor do mundo.[1]

Ademais, observando-se esse significativo número de países com leis de proteção de dados, é certo que suas leis possuem diferenças relevantes. Algumas são mais severas, detalhadas e complexas, outras mais flexíveis, gerais e simples. Para pegarmos dois grandes exemplos, observemos o regime de proteção de dados dos Estados Unidos e da União Europeia.

Os Estados Unidos tratam os dados em seu aspecto mais comercial, não possuindo um regime severo de proteção de dados pessoais, sequer possuindo uma lei federal sobre o tema (apesar de já existir um projeto nesse sentido).[2]

Seu regime legal de proteção de dados e privacidade é conhecido por ser mais esparso, possuindo como algumas leis principais: o US Privacy Act of 1974; o Health Insurance Portability and Accountability Act (HIPAA); o Children’s Online Privacy Protection Act (COPPA); e o Gramm-Leach-Billey Act (GLBA). Além disso, dos 50 estados norte-americanos, apenas 03 – Nevada, Maine e California – possuem leis de proteção de dados em vigor[3], sendo a mais emblemática a da Califórnia o California Consumer Privacy Act – que recentemente entrou em vigor, atraindo grande atenção da mídia.[4]

Já, a União Europeia, desde a Diretiva nº 95/46, e com o mais recente Regulamento Geral de Proteção de Dados da União Europeia (o famoso GDPR – sigla em inglês), demonstrou defender um regime mais severo e detalhado de proteção de dados pessoais, criando um regulamento geral aplicável e vinculante a todos os membros da União Europeia, bem como a poucos países vizinhos que não fazem parte do bloco.

Tal regime se dá pelo fato de a UE defender a proteção de dados pessoais em sua vertente de direito fundamental, sendo certo que sua legislação mais complexa e severa fez com que, até mesmo, determinadas empresas deixassem de prestar os seus serviços nos países do bloco, entendendo haver mais prejuízos do que benefícios decorrentes de todos gastos para cumprir com a legislação.[5]

Com efeito, diante dessas diferenças entre os regimes, e a própria cultura de proteção de dados de cada país, determinadas regras de transferência internacional de dados entre diferentes territórios foram estabelecidas. Por certo, o regulamento europeu estabelece regras severas de transferência transnacional de dados, adotando como premissa o fato de que a transferência de dados de países submetidos ao GDPR apenas pode ser realizada, em regra, com países com legislação de proteção de dados tidas como adequadas pela autoridade de proteção de dados do bloco.

Atualmente, a autoridade de proteção de dados europeia considera uma lista de 13 países[6] como possuidores legislações de proteção de dados adequadas para transferir ou receber a transferência de dados de países europeus.

Dessa forma, países que não possuem um regime de proteção de dados considerado como adequado pela autoridade de proteção de dados europeia possuem uma maior dificuldade de estabelecer seus negócios em território europeu, ou, até mesmo, realizar negócios com quaisquer empresas situadas na Europa, uma vez que, basicamente, todos os modelos de negócios existentes atualmente dependem ou utilizam de dados pessoais, sendo certo que a proteção não se dá apenas à dados existentes em meio digital, mas também a dados em meios físicos, como cadernos, cartas, agendas, blocos de anotação, etc.

Tal fato se repete também em outros países, a depender do nível de severidade e complexidade de suas legislações de proteção de dados. O que acaba por afastar principalmente empresas e negócios que dependem de um grande fluxo de dados para a prestação de serviços ou venda de produtos, uma vez que a adequação à lei não compensaria todos os custos nos quais as empresas teriam de incorrer.

Sendo assim, é certo que tais diferenças de severidade e complexidade dos regimes de proteção de dados de cada país pode resultar no surgimento de verdadeiros data havens (paraísos de dados) e offshores digitais.

Nesses países, o governo propositalmente, ou não, estabeleceria um regime mais flexível e menos severo de proteção de dados, justamente com o intuito de atrair diferentes empresas e negócios ao seu território, aproveitando-se da existência de regimes de proteção de dados mais rígidos.

Já, as offshores digitais seriam aquelas empresas que procurariam situar suas operações de tratamento de dados em data havens, a fim de usufruir de um regime legal mais flexível e menos complexo para a realização de tais operações.

Certamente, tal prática está cada vez mais possível de ser implementada, considerando que, atualmente, estima-se que existam cerca de 4.539 data centers colocation (ou seja, disponíveis para locação e compartilhamento), em 123 países diferentes.[7]

De fato, os “paraísos de dados” podem ser vistos como semelhantes aos “paraísos fiscais”, em que os regimes tributários são mais brandos, justamente com o intuito de atrair mais empresas (e, consequentemente, mais capital), as quais se aproveitam das regras mais amenas e flexíveis obtendo uma verdadeira economia de tributos em suas atividades.

Por certo, ainda não existem muitos exemplos de territórios que expressamente adotam tal prática, porém, já houve determinadas especulações acerca do tema, envolvendo países como a Islândia, em que já se disse que esta pretendia se tornar um data haven para jornalistas e informantes que vazassem informações secretas.[8]

Todavia, deve-se destacar o interessante caso envolvendo a Sealand, a menor nação do mundo (estabelecida em cima dos restos de uma plataforma antiaérea existente desde a II grande guerra mundial) e a companhia HavenCo. Os fundadores da HavenCo, uma companhia focada no oferecimento do serviço online de provedor de hospedagem, possuíam justamente a ideia de criar a companhia em um data haven.[9]

Pensaram em ilhas paradisíacas, até mesmo em construir sua própria ilha artificial, porém, ao final, encontraram Sealand, uma micronação independente, não sujeita às regras de outros governos, onde podiam instalar os servidores de seus sistemas e gerir a rede conforme suas próprias regras.

Apesar de a companhia já ter encerrado suas operações, e esta não ter sido vista por muitos como bem-sucedida[10], não podemos negar que esse é um claro exemplo de indivíduos que já tentaram, a fim de escapar de legislações mais rígidas quanto à regulação da internet, estabelecer sua companhia em um data haven, criando uma verdadeira offshore digital.

Dessa forma, toda essa realidade, já existente, de diferentes regulações quanto ao tratamento e transferência de dados abre um leque de possibilidades e oportunidades quanto a práticas de planejamento de tratamento e transferência internacional de dados.

Por certo, com o avanço da tecnologia e das práticas de tratamento de dados, cloud computing, IOT, a estratégia de planejamento de transferência de dados pode trazer grandes benefícios. A depender de em qual território concentre suas atividades de tratamento de dados, e da forma como a companhia transfira tais dados, essa pode usufruir de grandes vantagens regulatórias.

Voltemos ao caso do GDPR. No caso das empresas estabelecidas nos países sujeitos ao GPDR, estas apenas podem transferir livremente seus dados para países que possuam legislações de proteção de dados tidas como adequadas pela autoridade de proteção de dados europeia. Porém, como tais companhias podem evitar essa proibição de transferência de dados, caso queiram transferi-los para uma nação que não possua legislação adequada?

Uma maneira interessante seria, por exemplo, transferir seus dados para um país autorizado pela legislação europeia para, posteriormente, transferir tais dados desse país para o verdadeiro país de destino, que poderia ser um data haven em que estivesse localizada uma offshore digital.

Já, quanto às empresas que desejem transferir seus dados para algum território europeu, porém, que estão situadas em um data haven, estas poderiam fazer o caminho inverso, transferindo os dados originalmente para um país com legislação adequada à GDPR para, posteriormente, transferir os dados desse país para alguma nação europeia.

Apesar dos exemplos acima, deve-se ressaltar que o regulador já se atentou à realidade de planejamento de transferência de dados, criando barreiras para tais práticas.

O art. 45.2 do GDPR[11], por exemplo, prevê que a Comissão Europeia, ao avaliar o nível de adequação de determinado país, deverá levar em conta também as “regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país”.[12]

Por sua vez, a Resolução 4.658/2018 do Banco Central do Brasil, que trata da segurança cibernética de instituições financeiras, estabelece, dentre outras disposições, que os contratos de prestação de serviço de tratamento de dados devem apresentar os países pelos quais se passará o fluxo de dados.[13]

Com efeito, destaque-se que as hipóteses de transferência internacional de dados não são tão facilmente identificáveis. Diversas práticas realizadas por empresas entram no conceito de transferência internacional de dados, sem estas sequer notarem.

Assim, por exemplo, se uma companhia utiliza data centers no exterior para armazenar seus dados, ou contrata provedor de e-mail estrangeiro, isso já é caracterizado como transferência internacional de dados.[14] Além disso, se uma startup disponibiliza seu aplicativo ou site para a utilização por usuários em outros países, isso também configura transferência internacional de dados.

Dessa forma, as empresas, bem como os profissionais que atuam com proteção de dados, devem desenvolver um olhar atento, e uma criatividade, relacionada à possibilidade de usufruir dos benefícios proporcionados por data havens e offshores digitais. O planejamento de transferência internacional de dados se tornará uma realidade que, porém, deve ser enfrentada com cuidado, a fim de que os possíveis benefícios não se transformem em graves prejuízos a quem tentar implementar tal estratégia.

 


[1] GREENLEAF, Graham. Global data privacy laws 2019: 132 national laws & many bills. 157 Privacy Laws & Business International Report. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3381593>. Acesso em: 09 jan 2020.

[2] Senadores democratas apresentam projeto de lei federal de proteção de dados nos EUAPublicado no portal TI Inside, em 26 nov 2019. Disponível em: <https://tiinside.com.br/tiinside/26/11/2019/senadores-democratas-apresentam-projeto-de-lei-de-protecao-de-dados-federal-nos-eua/?noticiario=TI&&utm_source=akna&utm_medium=email&utm_campaign=TI-INSIDE-Online-26-11-2019-21-36. Acesso em: 08 jan 2020.

[3] GREEN, Andy. Complete Guide to Priacy Laws in the US. Publicado no portal Varonis, em 16 dez 2019. Disponível em: https://www.varonis.com/blog/us-privacy-laws/. Acesso em: 08 jan 2020.

[4] HOWLEY, Daniel. California’s new data privacy law will change the internet. Publicado no portal Yahoo!Finance, em 31 dez 2019. Disponível em: https://finance-yahoo-com.cdn.ampproject.org/c/s/finance.yahoo.com/amphtml/news/california-data-privacy-law-200321105.html. Acesso em: 08 jan 2020.

[5] KUCHLER, Hannah. US small businesses drop EU customers over new data rule. Publicado no portal Financial Times, em 24 mai 2018. Disponível em: https://www.ft.com/content/3f079b6c-5ec8-11e8-9334-2218e7146b04#. Acesso em: 08 jan 2020.

[6] Disponível em: [https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en] Acesso em: 09 jan 2020.

[7] Disponível em: [https://www.datacentermap.com/datacenters.html]. Acesso em: 09 jan 2020.

[8] STRAY, Jonathan. Iceland aims to become an offshores haven for journalists and leakers. Publicado no portal NiemanLab, em 11 fev 2011. Disponível em: https://www.niemanlab.org/2010/02/iceland-aims-to-become-an-offshore-haven-for-journalists-and-leakers/ Acesso em: 09 jan 2020.

[9] GRIMMELMANN, James. Death of a data haven: cypherpunks, WikiLeaks, and the world’s smallest nation. Publicado no portal Arstechnica, em 27 mar 2012. Disponível em: https://arstechnica.com/tech-policy/2012/03/sealand-and-havenco/. Acesso em: 09 jan 2020.

[10] STACKPOLE, Thomas. The World’s Most Notorious Micronation Has the Secret to Protecting Your Data From the NSA. Publicado no portal MotherJones, em 21 ago 2013. Disponível em: https://www.motherjones.com/politics/2013/08/sealand-havenco-data-haven-pirate/ Acesso em: 09 jan 2020.

[11] Article 45.2 of GDPR: “2. When assessing the adequacy of the level of protection, the Comission shall, in particular, take account of the following elements:

The rule of law, respect for the human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the acess of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organization which are complied with in that country or international organization, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred. (…)”

[12] CHAVES, Luiz Fernando Prado. Dos Agentes de Tratamento de Dados Pessoais. LGPD: Lei Geral de Proteção de Dados Comentada. Vivane Nóbrega Maldonado; Renato Opice Blum, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019; p. 288-289.

[13] TABACH, Danielle; LINHARES, Ludmila Anaquim. Transferência internacional de dados. Comentários a Lei Geral de Proteção de Dados. Bruno Feigelsn; Antonio Henrique Albani Siqueira, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019; p. 157-158.

[14] CHAVES, Luiz Fernando Prado. Dos Agentes de Tratamento de Dados Pessoais. LGPD: Lei Geral de Proteção de Dados Comentada. Vivane Nóbrega Maldonado; Renato Opice Blum, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019; p. 292-293.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito