Panorama Geral da Proteção de Dados Após o Caso Schrems II
Arthur Araújo de Menezes
Acadêmico de Direito da UFPR, Pesquisador do Grupo de Pesquisa de Direito Autoral e Industrial -GEDAI/UFPR. Acadêmico de Análise e Desenvolvimentos na Universidade Positivo.
Bruno Junqueira Meirelles Marcolini
Acadêmico de Direito da UFPR, Pesquisador do Grupo de Pesquisa de Direito Autoral e Industrial -GEDAI/UFPR.
Oscar Carlos Cidri Neto
Introdução
O presente trabalho busca analisar a transferência internacional de dados sob diversas óticas, para compreender a proteção de dados em sentido amplo. O objetivo é contextualizar a proteção de dados internacionalmente e analisar os impactos da decisão Schrems II do Tribunal de Justiça da União Europeia (TJUE) no direito à privacidade. Além disso, compreender como a proteção de dados se estrutura em países como a Estônia, com uma robusta legislação e estruturação que garante a privacidade de seus cidadãos e o tratamento de seus dados. E, por fim, relacionar estes ensinamentos com o direito brasileiro e as consequências da Schrems II no contexto nacional.
Para compreender a transferência de dados pessoais, é preciso esclarecer este conceito, assim como os mecanismos que garantem sua proteção. Conforme o Artigo 5º, I da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), dado pessoal é definido como toda informação que torna uma pessoa natural identificada ou identificável. Como exemplo, são informações únicas e identificadoras o CPF, RG, email ou o endereço IP.
Exatamente por ser uma informação simples e que consegue ser utilizada para rastrear e identificar um indivíduo, dados pessoais têm um tratamento diferenciado quando se trata de transferência, já que qualquer vazamento ou irregularidade pode acarretar danos materiais e morais ao seu titular. Essas informações pessoais podem ser utilizadas não apenas para proporcionar experiências e propagandas personalizadas para seus titulares, mas também para o seu indiscriminado.
Para garantir uma uniformidade na transferência internacional de dados pessoais e uniformizar os atos dos governos e empresas americanas/europeias, os territórios concordaram na instituição do Privacy Shield. Este seria um mecanismo internacional que, ao uniformizar regras, garante um nível de proteção sem a necessidade de maiores salvaguardas. Desta forma, além de se incentivar o comércio internacional com essa simplificação, haveria a garantia de proteção da privacidade.
Com o objetivo de garantir a proteção de dados no território, a União Europeia instituiu em 2016 a General Data Protection Regulation (GDPR). Seu objetivo é regular e uniformizar a legislação acerca do tratamento de dados pessoais pelos Estados-Membros. Assim, a GDPR regula também a transferência internacional de dados entre Europa e Estados Unidos.
Para acompanhar a tendência internacional, o Congresso Nacional decretou a Lei Geral de Proteção de Dados (LGPD), que dispõe sobre o tratamento de dados pessoais em território brasileiro. Essa legislação tem como princípio fundamental a liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, além de diversos fundamentos expostos no Artigo 2º.
Contexto da transferência internacional de dados pessoais
A criação do Privacy Shield se tornou necessária como consequência da “Safe Harbour Decision“, no julgamento Schrems I (2015), quando existia um outro acordo internacional para transferência de dados. Na época, Max Schrems entrou com um pedido perante a autoridade de proteção de dados irlandesa contra o Facebook por transferência internacional de dados pessoais. A alegação é de que a transferência de seus dados da Europa para os Estados Unidos deixou seus dados pessoais expostos aos programas de vigilância americano, e o pedido foi acatado pelo TJUE.
Assim, após a decisão Safe Harbour, o Tribunal considerou que a transferência internacional de dados pessoais deve seguir novas e uniformizadas regras de proteção, com salvaguardas superiores. Com isso, surgiu o Privacy Shield, o framework que traria proteções aprovadas pela Comissão Europeia, garantindo o direito fundamental à privacidade e à intimidade instituídos pela Carta dos Direitos Fundamentais da União Europeia.
Caso Schrems II
No dia 16 de Julho de 2020, o Tribunal de Justiça da União Europeia proclamou a sentença Schrems II, que invalidou o acordo Privacy Shield da Comissão Europeia. O argumento principal foi o de que o governo americano teria implementado invasivos programas governamentais de vigilância da informação, e portanto os dados dos cidadãos europeus estariam vulneráveis.
Com a decisão, o mecanismo Privacy Shield se tornou inválido, e toda a transferência internacional de dados que se baseava neste framework se tornou ilegal. Isso porque, segundo a corte, qualquer transferência internacional de dados pessoais deve ter mecanismos de proteção iguais ou superiores aos já garantidos pela GPDR (implementado após a criação do Privacy Shield). Como o entendimento foi de que as salvaguardas estabelecidas pelo mecanismo não eram o suficiente para garantir a privacidade e intimidade dos cidadãos europeus, as transferências foram temporariamente cessadas.
Além dos impactos econômicos que essa decisão tem, por pausar transferências gigantescas de dados entre territórios riquíssimos, as relações entre Estados Unidos e União Europeia levam impactos pela disparidade entre suas perspectivas de proteção de dados. Com a decisão, é criada uma certa insegurança jurídica não apenas para os Estados Unidos, mas também para países com legislação doméstica de proteção de dados emergente, como é o caso brasileiro.
A proteção de dados, conforme sustentado pelo TJUE, é um direito que deve ser protegido internacionalmente através de uma integração entre diferentes jurisdições, conforme tem ocorrido na União Europeia graças ao GDPR. Dessa forma, a proteção de dados não se reduz à regulamentação de práticas privadas e muito menos domésticas, devendo ser vista perante um aspecto internacional, globalizado e interdisciplinar.
Consequências Internacionais
Como já consignado neste artigo, o fim do acordo do Privacy Shield, revogado em decorrência do caso Scherms II, impôs ao mundo uma mudança repentina na forma com que se pensa a transferência de dados internacionais. Contudo, é de se entender, ao tratar de EUA e Europa, que as consequências não se observam apenas na América e no velho continente.
Em um primeiro momento, deve-se observar que os atuais mecanismos, que permitem a transferência de dados internacionalmente, vão sofrer revistas mais rigorosas. Não se deve afirmar que a GDPR já não lidava corretamente com a questão, mas que o contexto mundial exige, cada vez mais, maior atenção com princípios como o da privacidade e proteção de dados.
Assim, não serão todas as organizações que poderão arcar com os custos de uma transferência de dados seletiva. Ainda, programas de vigilância tendem a perder espaço internacionalmente, haja vista que, majoritariamente, foi em decorrência do serviço americano que o Privacy Shield caiu.
Mesmo os gigantes da tecnologia americana, como Google e Amazon, também se também se prejudicaram no processo. Isto porque as 5 mil empresas americanas, que se utilizavam do Privacy Shield para legitimar suas transferências de dados, tiveram que se adequar à nova realidade. Evidente que uma mudança desse patamar ocasiona mudanças estruturais nas empresas, fazendo com que mudanças sejam sentidas em qualquer parte do globo.
Exemplificando o impacto, o capital estimado das transações de empresas que operam a transferência de dados entre EUA e Europa se calcula em 7,1 trilhões de dólares. Ainda que a comunicação dos dados não tenha cessado, a readequação causou atrasos e cancelamentos significativos. Atrasos geram prejuízos e prejuízos geram mudanças. Assim, o efeito mundial não se observa apenas no ramo tecnológico, mas direta e indiretamente em outras tantas áreas.
Dados américa latina
A discussão acerca da efetividade e segurança da transferência de dados, como ressaltado, se mostra cada vez mais global. Nesse sentido, é preciso analisar o andamento do tema na américa latina, para então poder traçar um panorama preciso.
Em se tratando de leis de proteção de dados na américa latina, dois países surgem como destaques: Brasil e Colômbia. A nova Lei Geral de Proteção de Dados, firmada em 2020, tem dado ao Brasil um posicionamento de destaque. Isto porque a lei, além de ser entendida por especialistas como uma das mais completas, traz consigo obrigações de compliance coerentes, garantido maior segurança nas transações. Ainda, a criação da ANDP (Agência Nacional de Proteção de Dados) em 2018 comprova que o país tem dedicado esforços para dar caráter de segurança aos dados.
A LGPD ainda inclui algumas partes da GDPR, como por exemplo a forma como se é entendido dados pessoais, com especial atenção aos dados pessoais sensíveis. Assim, o Brasil evolui no sentido de dar mais proteção a sua transferência de dados, sem impor, inicialmente, condições radicais às empresas.
Em sentido parecido, a Colômbia possui uma normativa exemplar acerca da proteção de dados. Algumas das leis colombianas são datadas de 2012, contudo, o país segue uma rotina de atualização para deixar suas diretrizes completas. Em curta síntese, a Colômbia estrutura seu ordenamento no Decreto 1.377/13 e nas leis 1.581/12, 1.273/09 e 1.266/08. O primeiro versa sobre o consentimento dos titulares dos dados, em um contexto de transferências internacionais e processamento. As demais leis tratam, respectivamente, sobre coleta de dados, crimes cibernéticos e privacidade de dados comerciais e financeiros.
Orientadas por suas respectivas normativas, Brasil e Colômbia têm estado na vanguarda do direito tecnológico na América latina. Outras legislações também podem ser observadas em países como México e Argentina. Neles, entretanto, a dificuldade de aplicação prática das leis, oriunda de um ordenamento já obsoleto, dificulta que avanços significativos sejam efetivamente observados.
Deste cenário, se mostra possível concluir que países como Colômbia e Brasil largam na frente para se adequar às mudanças oriundas do contexto global (caso Scherms II).
Direito Comparado Estônia
Voltando a tratar do velho continente, a União Europeia tem mostrado, ano após ano, que o intercâmbio de informações deve seguir sempre padrões éticos e seguros.
Nessa toada, um país em especial tem demonstrado real avanço, a Estônia. Localizada no leste europeu, a Estônia se desanexou da União Soviética, reconquistando sua independência, em 1991. A partir de sua independência, o país adotou diversas reformas liberais para se distanciar da extensa crise que assolou a população durante os anos de dominação. Passados 30 anos, a Estônia se tornou referência mundial em tecnologias digitais para gestão de organizações públicas e governos, além de enorme destaque na gestão de dados.
Um excelente exemplo dessa gestão de ponta foi disponibilizar aos seus cidadãos um cartão de identificação digital. Esse cartão, disponível para 99% da população, viabiliza ao cidadão mais de 500 serviços do governo, como, por exemplo, voto pela internet.
O cartão também realiza um uso extremamente inteligente dos dados pessoais. Por meio dele, médicos podem ter acesso às consultas prévias dos pacientes, fato que tem revolucionado a medicina do país, além de economizar na impressão de documentos.
Toda essa operação digital se demonstra possível por conta de um sistema chamado “X-Road”. Desenvolvido em 2001, o sistema se baseia na troca de informações descentralizada entre ministérios do governo estoniano, visando a melhor comunicação, facilidade e economia.
Com o X-Road, os ministérios do governo podem utilizar os dados de forma independente, mas disponibilizando para os demais órgãos. Dessa forma, os dados não se duplicam e ficam disponíveis para todo o governo, tudo com criptografia de ponta.
As vantagens são imensas. Imagine, por exemplo, não precisar ir aos cartórios registar nascimentos e óbitos de parentes e policiais não precisarem pedir documentos do registro de população para levantar a ficha de um suspeito.
Com isso, a Estônia revolucionou o modo como se encara a transferência e proteção de dados, facilitando a vida da população e deixando processos burocráticos no passado. Os ganhos também são econômicos. Segundo informações do próprio governo, o sistema X-Road permite à Estônia economizar 2% de seu PIB.
Em síntese, a utilização de dados, quando bem desenvolvida, cria um cenário extremamente favorável ao país utilizador. O exemplo estoniano tende a ser implementado em diversos países ao longo dos próximos anos. Representantes brasileiros já viajaram ao leste europeu para se informar sobre o tema. O cenário é claro, ainda que o caminho para sua implementação ainda seja longo.
Panorama Brasileiro
No Brasil, se existisse algo semelhante ao caso SCHREMS II, a situação poderia ter um tratamento muito diferente – caso uma importante proposta no projeto de Lei 2126/2011 – Marco Civil da Internet – tivesse sido aprovada.
Trata-se da previsão que estabelecia a instalação de estrutura de armazenamento, gerenciamento e disseminação de dados, por parte dos provedores de aplicações de internet, em território nacional.
Tal previsão não foi aprovada e, desta forma, o Marco Civil da Internet entrou em vigor sem estabelecer esta obrigatoriedade para as empresas estrangeiras.
Contudo, a referida proposta foi objeto de acaloradas discussões. Se por um lado, os argumentos na discussão tecnológica apresentavam uma série de motivos pelos quais esta era uma proposição fadada ao insucesso, por outro, os defensores do direito fundamental à privacidade argumentavam que esta era medida imprescindível para resguardar os direitos dos brasileiros. Referida defesa à época – estamos falando de discussão havida entre 2013 e início de 2014 – parecia mesmo antecipar uma situação como esta do caso SCHREMS.
Sem aprofundar a análise em torno das questões afetas ao direito internacional e todos os demais aspectos pelos quais este interessante caso pode ser abordado, vamos nos debruçar apenas sobre a questão que envolve o debate entre tecnologia e a defesa do direito fundamental à privacidade.
Observem que referido debate aconteceu em meio às denúncias do ex-consultor da NSA (Agência de Segurança Nacional), Edward Snowden, de que o governo norte-americano espionava cidadãos em vários países, inclusive a chanceler alemã Ângela Merkel e a então presidente Dilma Rousseff, fato este que inclusive acelerou a aprovação no Congresso Nacional do Marco Civil da Internet.
A Constituição da República, prevê de forma muito clara que a intimidade e a privacidade são invioláveis, conforme norma contida no artigo 5º, inciso X.
Todavia, a privacidade, dentre os direitos fundamentais, é um dos que mais demandam um atento, necessário e inadiável cuidado ante os desdobramentos e implicações da sociedade informacional – mais especificamente a rede mundial de computadores: a internet.
Casos como estes SCHREMS I e II são emblemáticos e nos demonstram claramente a enormidade de desafio que é cuidar da privacidade num contexto onde os dados pessoais são as mais lucrativas commodities dos grandes players do mercado de tecnologia. Que não por acaso, figuram entre as empresas mais lucrativas do planeta.
Por mais que soe inocente e pueril – do ponto de vista tecnológico – o artigo 12, do projeto de lei 2.126/2011 – que uma vez aprovado se transformou na Lei 12.965/2014 – previa a obrigatoriedade dos provedores de aplicação instalarem seus banco de dados em território nacional e que, por uma diversidade de motivos e pressões, foi suprimido do texto aprovado.
Embora o objetivo merecesse ser louvado, qual seja, a proteção da privacidade dos brasileiros; a solução sugerida pelo legislador não resistiria a um encontro com o atual estádio de desenvolvimento da internet. Basta imaginarmos os CDN´s – Content Delivery Network – que distribuem aos usuários os mesmos conteúdos em vários servidores espalhados pelos continentes, que é oferecido ao usuário de acordo com a sua localização. A simples duplicação dos arquivos armazenados em território nacional e enviado para servidores em outros países, via CDN, já comprometeria a boa intenção de tentar preservar a privacidade dos dados dos cidadãos brasileiros.
As circunstâncias em que se deram o desenrolar do caso SCHREMS, poderiam de algum modo, se reproduzir no Brasil, justamente neste sentido é que, a busca por meios de se garantir a privacidade na rede precisa ser discutida de maneira global, pois o enfrentamento aos problemas de uma rede de alcance mundial, não pode ser feito de maneira isolada.
Conclusão
Diante de todo exposto, se mostra possível aferir que o tema da proteção de dados não se trata de qualquer novidade para o mundo. Ao contrário, já possui assentamentos bem definidos em vários pontos do globo, mesmo que que ainda se desenvolve gradualmente em outros lugares.
Contudo, o que se pode afirmar é que o modo com que cada país e instituição (pública ou privada) encara a temática da proteção de dados vem sendo reestruturado, ante o enorme crescimento de importância que o cuidado com as informações on-line adquiriu, consequência direta do avanço tecnológico.
Nessa toada, o caso Schrems II veio para mostrar ao mundo que o intercâmbio de dados não poderá ser realizado sem protocolos específicos de segurança e privacidade. De modo geral, o contexto não é de restrições as ações das empresa e governos, mas que o manuseio dos dados seja realizado em observância aos princípios da privacidade e segurança, por exemplo. Logicamente que as implicações iniciais do referido caso se aplicam majoritariamente à Europa e aos EUA, mas as consequências se evidenciaram de forma global.
Por fim, caberá aos países colocar suas diretrizes alinhadas ao rumo da correta proteção de dados. O Brasil demonstrou enorme seriedade com o assunto ao implementar a LGPD, mas ainda existem diversos desafios a serem superados. Com o tempo, poderá se observar se nos aproximamos mais do excelente exemplo da Estônia ou do pacato caso de Argentina e México.
Referências Bibliográficas:
AKERMAN SHINOHARA, JULIA. Caso Schrems II: Impactos na Transferência Internacional de Dados Pessoais. Disponível em: <https: //www.machadomeyer.com.br/pt/inteligencia-juridica/publicacoes-ij/tecnologia/caso-schrems-ii-impactos-na-transferencia-internacional-de-dados-pessoais>. Acesso em: 29 mar. de 2021.
BATISTA, Luana Scandian. OBREGÓN, Marcelo Fernando Quiroga. Os impactos do Regulamento Europeu Geral sobre Proteção de Dados (EU GDPR) no Brasil. Revista Internacional CONSINTER de Direito, N.º 62, p. 19-41, 2020. Disponível em: <https://www.derechoycambiosocial.com/revista062/Los_impactos_del_Reglamento_Europeo.pdf>. Acesso em: 20 mar. de 2021
DE OLIVEIRA MAZZUOLI, Valerio. Curso de direito Internacional Privado – 2. ed. Rio de Janeiro – Editora Forense, 2015.
DEMOLINER, Karine Silva. NETO, Eugênio Facchini. Direito à privacidade e novas tecnologias: breves considerações acerca da proteção de dados pessoais no Brasil e na Europa. Revista Internacional CONSINTER de Direito, Nº 07, p. 19, 2018. Disponível em: <https://revistaconsinter.com/en/revistas/ano-iv-numero-vii/direitos-difusos-coletivos-e-individuais-homogeneos/direito-a-privacidade-e-novas-tecnologias-breves-consideracoes-acerca-da-protecao-de-dados-pessoais-no-brasil-e-na-europa/>. Acesso em: 25 mar. de 2021.
MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o Direito do Consumidor. Revista dos Tribunais, São Paulo, v. 108, n. 1009, p. 173-222, 2019.
Estonian Goverment official website. Riigi Teataja. Disponível em: <https://www.riigiteataja.ee/en/>. Acesso em: 30 mar. de 2021.