Migalhas de IA e Proteção de Dados

Breve análise sobre a transferência internacional de dados: Resolução CD/ANPD nº 19, de 23 de agosto de 2024

O texto trata da regulamentação e das garantias necessárias para a transferência internacional de dados pessoais sob a LGPD no Brasil.

30/8/2024

Considerações Iniciais 

As garantias adequadas para a transferência internacional são de extrema relevância para se assegurar o livre fluxo de informações e do bem-estar do comércio em âmbito global. A discussão sobre os parâmetros e hipóteses de transferência de dados entre países, ou grupos de países, envolve aspectos técnicos, econômicos, jurídicos, de circulação de dados da internet, de modelos globais de negócio, a respeito das leis aplicáveis aos dados armazenados ou em circulação.1

A grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos. Devido à necessidade de harmonização entre legislações de diferentes países, as operações além das fronteiras nacionais de um país implicam maiores riscos aos direitos e liberdades dos titulares2.

 De acordo com a Portaria nº 11 de 27 de janeiro de 2021, que tornou pública a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022, os artigos 33, 34 e 35 da LGPD começassem a ser regulamentados no segundo semestre de 20223.

 Nessa direção, a ANPD seguiu com os procedimentos necessários ao andamento às exigências da regulação do fluxo internacional de dados na  Lei Geral de Proteção de Dados (LGPD)4 e publicou, em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19, que aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais (CPCs).5

Diante da necessária busca de que o Brasil esteja dentro dos padrões internacionais relacionados às melhores práticas de proteção aos dados pessoais, ressalta-se a importância da matéria. A seguir objetiva-se uma breve análise sobre: 1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações; 2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais; 3.

1. LEI GERAL DE PROTEÇÃO DE DADOS E O FLUXO INTERNACIONAL DE INFORMAÇÕES

A partir da lei 13.7096, de 14 de agosto de 2018, conhecida como LGPD, o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais. A proteção de dados pessoais, anteriormente tratada de maneira esparsa no ordenamento jurídico nacional, estruturou-se em uma legislação específica7. A LGPD inaugurou um sistema que está focado na prevenção e na criação de uma cultura de proteção de dados pessoais8.

A legislação brasileira dialoga9 com outros diplomas legais vigentes, garantindo a ampla tutela aos titulares de dados10. Apresenta diferentes hipóteses para operações transfronteiriças, tratando do tema, especificamente, no Capítulo V, intitulado “Da Transferência Internacional de Dados”, respectivamente, nos artigos 33 a 36.

 A LGPD traz a previsão da transferência internacional de dados pessoais abordando os aspectos relacionados às regras aplicáveis ao fluxo para países e organismos internacionais. Ao total, são apresentadas nove hipóteses em que se permite o fluxo internacional de dados, sendo este considerado como um rol taxativo.

Importa destacar que não há hierarquia entre entre os mecanismos de transfere^ncia, sendo que o me´todo escolhido dependera´ da finalidade e do contexto para o tratamento dos dados pessoais11. Em rol taxativo, o artigo 33 define as hipóteses em que a transferência internacional é permitida12.

Alternativamente, o fluxo de informações pessoais para fora do território nacional só é permitido caso, i) os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD; ii) o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD; iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; v) a autoridade nacional autorizar a transferência; vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional; vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; viii) o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo, claramente, esta e outras finalidades; e ix) é necessária para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD.

O artigo 34 está relacionado aos tópicos que devem ser levados em conta quando da definição de nível de proteção adequado de país estrangeiro ou organismo internacional13. O dispositivo 35 trata sobre a definição das CPCs e verificação de outras salvaguardas14, enquanto o artigo 36 apresenta observância aos princípios gerais de proteção e dos direitos do titular15.

2. A DIFERENÇA ENTRE TRANSFERÊNCIA INTERNACIONAL DE DADOS E O TRÂNSITO DE DADOS PESSOAIS

Segundo Robert Bond, “'transferência” não é o mesmo que “trânsito” de informações16. Os dados pessoais podem passar pelo país B no caminho do país A para o país C, sem, no entanto, nenhuma operação de processamento substancial ocorrer neste caminho, já que a transferência é para o país C17.

Por exemplo, no caso de uma empresa sediada na Alemanha enviar dados para uma empresa baseada nos Estados Unidos da América (EUA), mas, durante a transferência, os dados passarem pelo território uruguaio, sem, de fato, acontecer qualquer tratamento das informações no país. Casos como este servem de modelos para diferenciar “tranferência” e “trânsito”, porque, na situação supramencionada, a operação internacional é realizada apenas entre a empresa alemã e a empresa norte-americana, sendo que os dados apenas transitaram no Uruguai18.

Diante do fluxo internacional de dados, considera-se como “exportador” o agente de tratamento que transferirá os dados pessoais para um “importador”, localizado em outro país. Considera-se como “importador” o agente de tratamento situado fora do território nacional, que receberá esses dados do “exportador”. No exemplo acima, o “importador” seria a empresa norte-americana e o “exportador”, a empresa alemã.

3. RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 

1. Publicada em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19 aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais. As novas normas sobre o fluxo transfronteiriço de informações pessoais entram em vigor na data de sua publicac¸a~o, sendo assim, necessário que os agentes de tratamento se adequem às exigências sobre os procedimentos e regras aplicáveis a tais operações.

2. Em relação às cla´usulas contratuais para realizar transfere^ncias internacionais de dados devera~o incorporar as cla´usulas-padra~o contratuais aprovadas pela ANPD, existe o prazo de ate´ 12 (doze) meses, contados da data de publicac¸a~o da Resoluc¸a~o, para a adequação por parte dos agentes de tratamento.

3. A Resolução destaca os requisitos necessários para as operações que envolvam decisões de adequação, cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais e normas corporativas globais. Além disso, ressalta que é possível a realizac¸a~o de transfere^ncia internacional de dados com base nos mecanismos previstos no art. 33 da LGPD que na~o dependam de regulamentac¸a~o, desde que atendidas as  especificidades do caso concreto e os requisitos legais aplica´veis.

4. Destaca que a transfere^ncia internacional de dados pessoais deve ser realizada em conformidade com o disposto na LGPD e na Resolução, observadas as seguintes diretriz garantia de cumprimento dos princi´pios, dos direitos do titular e de ni´vel de protec¸a~o equivalente ao previsto na legislac¸a~o nacional, independentemente do pai´s onde estejam localizados os dados pessoais objeto da transfere^ncia.

5. Reitera a necessária a implementac¸a~o de medidas efetivas de transpare^ncia, assegurando o fornecimento de informac¸o~es claras, precisas e facilmente acessi´veis aos titulares. Além disso, a adoc¸a~o de boas pra´ticas e de medidas de prevenc¸a~o e seguranc¸a apropriadas e compati´veis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operac¸a~o.

6. Defende que o fluxo internacional de informações deve estar limitado ao mi´nimo necessa´rio para o alcance de suas finalidades, com abrange^ncia dos dados pertinentes, proporcionais e na~o excessivos em relac¸a~o a`s finalidades do tratamento de dados.

7. Toda a operação somente será realizada para atender a propo´sitos legi´timos, especi´ficos, expli´citos e informados ao titular, sem possibilidade de tratamento posterior de forma incompati´vel com essas finalidades, e desde que amparada em uma das hipo´teses legais previstas no art. 7º ou no art. 11 da LGPD ou em um dos seguintes mecanismos va´lidos de realizac¸a~o da transfere^ncia internacional.

8. A aplicac¸a~o da legislac¸a~o nacional a` transfere^ncia internacional de dados independe do meio utilizado para sua realizac¸a~o, do pai´s de sede dos agentes de tratamento ou do pai´s onde estejam localizados os dados.

9. Estabelece que a LGPD é aplicável aos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no territo´rio nacional. A LGPD na~o se aplica aos dados pessoais provenientes do exterior somente quando ocorrer: a) tra^nsito de dados pessoais, sem a ocorre^ncia de comunicac¸a~o ou uso compartilhado de dados com agente de tratamento situado em territo´rio nacional; b) retorno dos dados pessoais, objeto de tratamento no territo´rio nacional, exclusivamente ao pai´s ou organismo internacional de provenie^ncia, desde que:o pai´s ou organismo internacional de provenie^ncia proporcione grau de protec¸a~o de dados pessoais adequado, reconhecido por decisa~o da ANPD; c) a legislac¸a~o do pai´s ou as normas aplica´veis ao organismo internacional de provenie^ncia se apliquem a` operac¸a~o realizada; d) a situac¸a~o especi´fica e excepcional de na~o aplicac¸a~o da LGPD.

10. Cabe ao controlador verificar se a operac¸a~o de tratamento:  a) caracteriza transfere^ncia internacional de dados;      b) submete-se a` legislac¸a~o nacional de protec¸a~o de dados pessoais; c) esta´ amparada em hipo´tese legal e em mecanismo de transfere^ncia internacional va´lidos.

11. A transfere^ncia internacional de dados sera´ caracterizada quando o exportador transferir dados pessoais para o importador. A coleta internacional de dados na~o caracteriza transfere^ncia internacional de dados e observara´ as disposic¸o~es da LGPD, quando verificada uma das hipo´teses indicadas no art. 3º da LGPD.

12. Quaisquer operações que envolvam aspecto transnacional devem respeitar os princípios de proteção de dados e salvaguardar os direitos dos titulares. A lei preve^ um conjunto de normas destinadas a garantir a higidez das operac¸o~es de transfere^ncia internacional19, estabelecendo que os países interessados neste tipo de transação devem oferecer garantias em mesmo grau que aquele oferecido pela LGPD.

13. O controlador ou o operador que deixem de adotar as medidas de segurança cabíveis respondem pelos danos decorrentes de violação da segurança dos dados. A LGPD imputa responsabilidade aos agentes de tratamento a definição sobre medidas técnicas, administrativas e de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais, ou ilícitas, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito20. 

14. As CPCs aprovadas pela ANPD garantem que exportadores e importadores de dados apliquem as mesmas medidas técnicas e organizacionais, em termos de proteção de dados no Brasil. Dessa forma, garantindo a proteção dos direitos e liberdades dos titulares dos dados.

15. Em todos os casos de fluxo internacional de dados, deve-se realizar avaliação de todas as circunstâncias da transferência e deve-se considerar a adoção de medidas adicionais para garantir proteção suficiente aos titulares.

16. As cláusulas-modelo elaboradas pela autoridade brasileira, contém as obrigações das partes envolvidas na transferência e os direitos dos titulares dos dados a serem transferidos. Caso o controlador adote as CPCs sugeridas pela autoridade, vincular-se-á a todos os requisitos e as obrigações estipuladas no documento, podendo realizar a transferência dos dados pessoais sem a necessidade de anuência da ANPD ou dos respectivos titulares.

CONSIDERAÇÕES FINAIS

A Resolução CD/ANPD nº 19 integra os esforços para que o Brasil conte com um sistema robusto de definição, aprovação e fiscalização do fluxo transnacional de dados pessoais, garantindo a efetividade internacional do sistema de proteção brasileiro.

Ao regulamentar o tema da transferência internacional de dados, a ANPD se posicionou no cenário internacional, defendendo o sistema de proteção de dados brasileiro. O estabelecimento de regras e procedimentos direcionados à garantia dos direitos dos titulares é fundamental para a eficácia da LGPD.

A disponibilização de cláusulas-tipo auxilia os agentes de tratamento diante do cumprimento de seus deveres e justa proteção de direitos dos titulares, ainda que existam diferentes níveis legislações de proteção de dados ao redor do mundo.

__________

1 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2019.

2 FUNDAÇÃO GETULIO VARGAS (FGV). Guia de Proteção De Dados Pessoais: Transferência Internacional. São Paulo: FGV. 2020, p. 15. Disponível aqui. Acesso em: 10 fev. 2022.

3 BRASIL. Portaria nº 11, de 27 de janeiro de 2021. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2021. Disponível aqui. Acesso em: 25 jan. 2022.         

4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Proposta de realização de Tomada de Subsídios para regulamentação de transferência internacional de dados pessoais, nos termos dos arts. 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018. Brasília. 2021. Disponível aqui. Acesso em: 12 jun. 2022.

5 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.  Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Brasília. Disponível em: < RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 - RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 - DOU - Imprensa Nacional (in.gov.br)>, acessado em 29 de agosto de 2024.

6 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022

7 DONEDA, Danilo … [et al.]. Tratado de Proteção de Dados Pessoais. Prefácio. Rio de Janeiro: Forense, 2021.

8 MENDES, Laura Schertel Ferreira. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, n. 39, jul./dez. 2018, p. 186.

9 MARQUES, Claudia Lima. Diálogo das Fontes: do conflito à coordenação de normas no direito brasileiro. São Paulo: Revista dos Tribunais. 2012, p. 23.

10 Carta de apoio à sanção da Lei de Proteção de Dados do Presidente do Brasilcon, Diógenes Carvalho, e da Ex-Presidente do Brasilcon, Cláudia Lima Marques, RDC 119, p. 517-520.

11 LEONARDI, Marcel. Transfere^ncia Internacional de Dados Pessoais. In: DONEDA, Danilo … [et al.]. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021, p. 303.

12 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022.

Art. 33.

“A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; V – quando a autoridade nacional autorizar a transferência; VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.”

13 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 34 da Lei Geral de Proteção de Dados.

Art. 34.

“O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;

II - a natureza dos dados;

III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;

IV - a adoção de medidas de segurança previstas em regulamento;

V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

VI - outras circunstâncias específicas relativas à transferência.”.

14 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 35 da Lei Geral de Proteção de Dados.

Art. 35.

“A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.

§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.

15 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 36 da Lei Geral de Proteção de Dados.

Art. 36.

As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.”.

16 BOND, Robert. International Transfers of Personal Data - an update. Business Law International. v. 5, n. 3, 2014, p. 424. De acordo com o autor, “'transfer' is not the same as 'transit'. Personal data may pass through country B on the way from country A to country C, but if no substantive processing operation takes place en route, the transfer is to country C.”.

17 BOND, Robert. International Transfers of Personal Data - an update. Business Law International. v. 5, n. 3, 2014, p. 424.

18 INFORMATION COMMISSIONER'S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). London: Information Commissioner's Office (ICO). 2021, p. 228. Disponível aqui. Acesso em: 3 jul. 2022.

19 CARVALHO, Angelo Gamba Prata de. Transfere^ncia internacional de dados na lei geral de protec¸a~o de dados - Forc¸a normativa e efetividade diante do cena´rio transnacional. In: FRAZA~O, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). A Lei Geral de Protec¸a~o de Dados Pessoais e suas repercusso~es no direito brasileiro. Sa~o Paulo: Revista dos Tribunais. 2019, p. 623.

20 CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL); CENTRO DE DIREITO, INTERNET E SOCIEDADE DO INSTITUTO BRASILIENSE DE DIREITO PÚBLICO (CEDIS-IDP). O papel da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) conforme a nova Lei Geral de Proteção de Dados Pessoais (LGPD). 2020, p. 7. Disponível aqui. Acesso em: 25 jan. 2022.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.