Maximilian Schrems é um nome famoso na comunidade internacional da proteção de dados. Não é à toa: o ativista austríaco conseguiu não apenas uma, mas duas vezes invalidar esquemas que regulavam o fluxo de dados entre a União Europeia e os Estados Unidos. O primeiro deles, conhecido como a decisão de adequação “Porto Seguro”, ou Safe Harbour, foi invalidado em outubro de 2015 por uma decisão da Corte de Justiça da União Europeia (CJUE), sob o fundamento que o modelo aprovado pela Comissão Europeia (CE) com o governo dos EUA não era compatível com as regras estabelecidas pela então Diretiva de Proteção de Dados – DPD, uma antecessora regulatória da vigente GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia).

A questão principal naquela decisão, que ficou conhecida como “Schrems I”, era que as salvaguardas estabelecidas no acordo de Safe Harbour para as operações de transferências de dados entre as duas regiões não eram suficientes para proteger os dados de cidadãos europeus contra interceptações da agências de inteligência dos EUA, como revelado por Edward Snowden em 2013.¹

A partir de então, para que transferências entre as duas regiões fossem consideradas válidas, deveriam ser utilizados outros mecanismos previstos na antiga DPD. Uma das possibilidades, também presente na atual GDPR são Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Standard Contractual Clauses – SCC).²

Contudo, a invalidação do Safe Harbour não foi suficiente para Schrems. Dois meses após a decisão que lhe deu os holofotes, o austríaco ajuizou nova ação, desta vez contra uma Decisão de 2010 da CE que criou uma SCC para transferências internacionais de dados entre controladores europeus e operadores estadunidenses. O caso também avançou para a CJUE e veio a ser conhecido como Schrems II.

• +JOTA: Tudo sobre LGPD

Em paralelo, novas negociações haviam se iniciado, culminando na aprovação de um novo acordo, que ficou conhecido como o “Escudo de Privacidade UE-EUA” (EU-US Privacy Shield). Essa nova estrutura era mais robusta que sua antecessora, estabelecendo sete princípios para a transferência internacional de dados, que deveriam ser validados a partir de uma auto-certificação, na qual uma empresa conduzisse um plano de conformidade interno, registrasse uma arbitragem internacional para regular eventuais conflitos e publicasse um aviso sobre sua adequação ao Privacy Shield.

Embora a nova ação ajuizada por Max Schrems não mencionasse expressamente o Privacy Shield, até mesmo por ele só ter surgido meses depois, o acordo não escapou da análise da Corte Europeia. Como isso se deu?

Caitlin Fennessy, Diretora de Pesquisas da International Association of Privacy Professionals – IAPP, afirma que ao menos três fatores criam a conexão:³ primeiro, o uso de SCCs é mencionado pelo Privacy Shield; segundo, o acordo não define mecanismos específicos para validar as transferências, o que dá uma “sanção tácita” ao uso de SCCs; finalmente, e talvez o mais importante, a Corte Suprema da Irlanda, que encaminhou o caso para a CJUE, questionou esta última quanto à relevância do pacto para o caso em tela.

E, de fato, a Corte Europeia assim o fez. Após uma longa análise, concluiu que o Privacy Shield não fornece proteção adequada aos cidadãos europeus frente às atividades de agências de inteligência dos EUA, pois não garante aos titulares de dados mecanismos para recorrer judicialmente contra essas autoridades. A evidência, aliada ao fato de que a diretiva que regula os serviços de inteligência estadunidenses, o PPD-28, autoriza a realização de vigilância massiva, resulta em uma extrema desproporcionalidade que prejudica a decisão de adequação que dava validade ao Escudo da Privacidade UE-EUA.

E, assim, Schrems conseguiu invalidar pela segunda vez um importante acordo transatlântico. Mas perguntas ficaram: o que isso significa para o fluxo de dados internacionais? Ou, ainda, qual o impacto dessa decisão para empresas brasileiras?

Logo após o julgamento, o Comitê Europeu para Proteção de Dados, também conhecido como European Data Protection Board (EDPB), divulgou documento com perguntas e respostas sobre a decisão da CJUE.⁴ Nele, o EDPB reafirmou que não há prazo adicional de adaptação para empresas que anteriormente realizavam transferências internacionais com base no Privacy Shield e reforçou que tais transferências passaram a ser imediatamente ilegais. Além disso, a EDPB reforçou as derrogações constantes no artigo 49 da GDPR e afirmou que transferências realizadas com base no interesse público devem observar um critério de necessidade estrito. Por fim, o Comitê explicitou a necessidade de uma avaliação caso a caso que instituições devem realizar a respeito da adequação de um país na adoção de SCCs.

Algumas pistas saltam aos olhos na decisão da CJUE e ajudam a rascunhar um plano de próximos passos para instituições que realizam transferências internacionais como prática habitual de negócios.

Em primeiro plano, evidenciam-se as derrogações estabelecidas no artigo 49 da GDPR. A ausência de análise desse tópico também evidencia que as derrogações, ao contrário dos demais mecanismos de transferência internacional reconhecidos como legítimos, partem da premissa de que o país de destino não fornece proteção adequada, justamente em virtude do caráter de excepcionalidade dessas medidas (com exceção da derrogação baseada em interesse legítimo). Especialmente no tocante ao interesse público, prevista no item (d) do artigo 49, as instituições que realizam transferências internacionais para esse fim, podem continuar a fazê-lo, com base na decisão da CJUE.

Muitas perguntas despontam a partir dessa proposição: segurança nacional e vigilância estatal, ambos tópicos amplamente discutidos nos casos Schrems I e II, não seriam desdobramentos inerentes ao “interesse público”? Como sopesar o interesse público com as expectativas dos titulares de dados e a necessidade de assegurar seus direitos? As duas perguntas não foram respondidas pela CJUE, que inclusive reforçou a possibilidade de uso das derrogações como forma de viabilizar transferências internacionais (desde que não realizadas de maneira reiterada).

Outro ponto relevante está na avaliação caso a caso que deverá ser realizada por instituições para aferir se o país de destino é adequado, ao se usar as SCCs. Perceptível, portanto, o amplo critério de discricionariedade da avaliação que será analisado em cada caso concreto específico de uma operação de transferência internacional de dados pessoais. Como tais avaliações serão avaliadas ainda é uma incógnita que permite que as instituições tenham grande margem para uniformizar suas práticas.

Algumas dúvidas também surgem para o mercado brasileiro. Apesar da Lei Geral de Proteção de Dados (LGPD) ser fortemente inspirada na GDPR, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não foi constituída no país, o que prejudica sobremaneira todas as questões envolvendo transferências internacionais, e cria um grande vácuo no fluxo de tráfego internacional de dados das instituições. A ausência da Autoridade também traz grande insegurança para os titulares de dados pessoais ao questionarem práticas dos controladores, inclusive no âmbito de transferências internacionais.

É importante ressaltar que a LGPD também prevê cláusulas-padrão contratuais, além das cláusulas contratuais específicas para determinada transferência.

Deste modo, é bastante provável que até a ANPD estar em pleno funcionamento, cláusulas-padrão contratuais serão o mecanismo adotado por controladores que exercem atividades no Brasil.

Por fim, os casos Schrems I e II jogam luz em uma premissa que se constrói na União Europeia desde o século passado: o titular de dados pessoais deve estar no controle de suas informações e tal controle deve ser efetivamente exercido. As decisões reforçam a necessidade de implementação de um programa de privacidade que assegure que o titular possa efetivamente exercer seus direitos. Entretanto, questionamentos importantes se tornam cada vez mais latentes: como tais derrogações, que possibilitam a transferência internacional, serão interpretadas pela CJUE após os casos Schrems I e II?

Ou, no caso brasileiro, como e quando a ANPD validará os mecanismos de transferência internacional de dados? Até que autoridades reguladoras possam responder essas perguntas, é essencial que as instituições implementem medidas que viabilizem o exercício de direito por parte dos titulares de dados de maneira efetiva e completa para mitigar potenciais discussões futuras.

O Sem Precedentes desta semana analisa surpreendente indicação de Kassio Nunes Marques, hoje desembargador do Tribunal Regional Federal da Primeira Região (TRF1), para o Supremo Tribunal Federal (STF). Ouça:

—————————————

Giovanna Ventre – Advogada e especialista em interações com autoridades públicas na Google Brasil. Mestre em Direito e Tecnologia pela University of California (Berkeley Law). Certificada (CIPP/E) pela International Association of Privacy Professionals (IAPP). Bacharel em Direito pela Universidade de São Paulo (USP).
Thiago Guimarães Moraes – especialista em regulação de tecnologias e proteção dados (LLM Law & Technology, Tilburg University) e membro-fundador do Laboratório de Políticas Públicas em Internet da Universidade de Brasília (LAPIN/UnB). Atualmente realiza um treinamento na Autoridade Europeia de Proteção de Dados (EDPS).