por Martha Leal e Matheus Passos*
A Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) estabelecem diversos requisitos legais para que um tratamento que envolva dados pessoais possa ser considerado lícito.
Dentre as exigências normativas, no que concerne à transferência internacional de dados pessoais – que se caracteriza pela existência de fluxo de dados pessoais entre o Brasil e países terceiros no cenário nacional, e entre Estados Membros da União Europeia e países terceiros no cenário europeu -, é exigido que o país receptor desses dados forneça a garantia de segurança aos titulares dos dados pessoais no mesmo nível das suas legislações nacionais.
Olhando especificamente para a LGPD, em seu art. 5º, inciso XV, tem-se o conceito de transferência de dados indicado como sendo a “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.
O dispositivo 33 da lei estabelece então quais as hipóteses de permissão de transferência internacional de dados pessoais. Em seu inciso I, sinaliza positivamente ao tráfego de dados entre os países ou organismos internacionais que proporcionem grau de proteção adequado ao previsto na legislação nacional, conforme avaliação exclusiva realizada pela Autoridade Nacional de Proteção de Dados (ANPD).
Portanto, significa dizer que para que seja reconhecida como legal uma transferência internacional é necessário que o país terceiro seja considerado adequado para fins de garantia de proteção e segurança dos dados pessoais. Por exemplo, uma empresa com sede no Brasil que pretenda transferir dados para um parceiro nos Estados Unidos deve primeiro verificar se os EUA são considerados um país adequado pela ANPD. E, na hipótese de não o ser, impõe-se a observância das hipóteses dos incisos II à IX a depender do contexto fático.
Na mesma linha, o Regulamento Geral sobre a Proteção de Dados da UE, em seu art. 45, permite sem autorização específica a realização de uma transferência internacional de dados para um país terceiro quando este for capaz de assegurar um nível de proteção de dados compatível com o oferecido pela legislação europeia.
Quanto à decisão de conformidade ou não de um país ou órgão na União Europeia, cabe à Comissão Europeia a consideração do status de adequação do país terceiro, em que a Comissão emite a chamada “decisão de adequação” em relação a tal país.
De forma resumida, será considerado adequado um país, um território ou um setor determinado de um país terceiro pela Comissão da UE quando este tiver capacidade de demonstrar que garante a segurança jurídica e a uniformidade em termos de proteção de dados, considerando-se o nível de proteção esperado pela União Europeia.
A avaliação do nível de proteção de dados por parte da Comissão leva em conta, entre outros fatores, o respeito pelos direitos humanos e às liberdades fundamentais, a legislação em vigor, tanto em segurança pública, defesa, segurança nacional e direito penal, e as regras de proteção de dados pessoais, com destaque para a existência de uma Autoridade de Proteção de Dados efetivamente independente. A transferência internacional de dados é um tópico complexo que depende de várias considerações, incluindo a adequação do país receptor e a conformidade com as respectivas leis de proteção de dados.
Feitos os esclarecimentos acima, chamam a atenção algumas importantes decisões recentes na esfera europeia sobre o tema em questão a seguir abordadas. No nível judicial, uma das primeiras decisões no contexto europeu que versou sobre a licitude da transferência internacional de dados pessoais refere-se ao de um Tribunal Nacional da Alemanha, na cidade de Colônia, que considerou ilegal a transferência internacional de dados para os EUA, via Google Analytics.
O Tribunal reconheceu que o controlador, por meio das transferências de dados pessoais dos seus clientes visitantes do site para fins de análise e marketing, violou a legislação europeia de proteção de dados, na medida em que os titulares tinham os seus dados pessoais, como o endereço de IP e informações sobre navegador, transmitidos aos servidores do Google em território americano.
A relevância deste julgamento está no fato de que foi uma das decisões pioneiras em que um tribunal declarou ilegal uma transferência internacional aos Estados Unidos, ratificando assim a decisão do Tribunal de Justiça da União Europeia – TJUE – no caso Schrems II, que invalidou a decisão de adequação para transferências internacionais de dados pessoais da União Europeia para os Estados Unidos.
Ainda mais recentemente, em maio de 2023, o European Data Protection Board (EDPB), autoridade europeia independente e responsável por promover a cooperação entre as demais autoridades dos Estados Membros da UE, com base na investigação iniciada pela Comissão de Proteção de Dados (DPC), da Irlanda, sobre a transferência internacional de dados pessoais da UE para os EUA pela Meta (empresa detentora do Facebook, do Instagram e do WhatsApp), determinou uma multa de 1,2 bilhão de euros e a suspensão de todas as transferências futuras pelo Grupo aos EUA.
A decisão do EDPB reflete a postura rigorosa das autoridades europeias em relação às transferências internacionais e destaca a exigência de garantia de proteção de dados pessoais aos cidadãos da UE, de acordo com os padrões estabelecidos pela legislação protetiva de dados pessoais.
A decisão do EDPB contra a Meta serve como um aviso para todas as empresas que fazem negócios na UE de que as transferências internacionais de dados devem estar em conformidade com as leis europeias de proteção de dados. Portanto, é crucial para as empresas que transferem dados internacionalmente manterem-se atualizadas sobre estas decisões e regulamentações, pois elas têm implicações diretas nas operações comerciais, inclusive com reflexos no Brasil.
Atentos ao cenário nacional e levando em conta o elevado nível de influência do Regulamento Geral sobre a Proteção de Dados na legislação brasileira, impõe registrar que à ANPD, na qualidade de autoridade responsável pela proteção de dados no território brasileiro, incumbe estabelecer diretrizes e regulamentações específicas relacionadas às transferências internacionais.
De olho na agenda regulatória da Autoridade Nacional para o biênio 2022/2023, publicada pela Portaria nº 35, de 04/11/2022, constata-se que está prevista, em sua Fase 4, a regulamentação dos artigos 33, 34 e 35 da LGPD, que versam sobre o grau de proteção exigido aos países e organismos internacionais como condicionante de serem considerados aptos a receberem dados pessoais provenientes do Brasil.
E, como Autoridade de Proteção de Dados, a ANPD tem o poder e a responsabilidade de definir diretrizes e regulamentações relacionadas às transferências internacionais. Nesse contexto, é bem possível que a ANPD emita orientações específicas sobre o assunto, espelhando-se nas decisões judiciais e nas decisões emitidas pelas autoridades de proteção de dados da UE.
Observar o encaminhamento dos assuntos em matéria de proteção de dados no ambiente europeu, sem dúvida, fornece subsídios importantes para o alinhamento de expectativas de profissionais e agentes de tratamentos envolvidos com proteção de dados pessoais.
*Martha Leal é Advogada especialista em Proteção de Dados e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD)
*Matheus Passos é Doutor em Direito Constitucional pela Universidade de Lisboa e membro do Conselho Consultivo do Instituto Nacional de Proteção de Dados (INPD)