A General Data Protection Regulation (GDPR) já está aí. Quem ainda não se preparou adequadamente passa a estar sujeito às temíveis multas da nova regulamentação, que entrou em vigor no final de maio último na União Europeia. Além disso, ela cria entraves à utilização de uma das principais ferramentas de suporte a litígios, utilizada por advogados. O eDiscovery, processo em que dados armazenados de forma eletrônica são identificados, localizados, preservados, coletados, processados e revisados, para servirem como evidências em casos legais civis ou criminais, depende da coleta e transporte de informações dos envolvidos. Como fica o eDiscovery nessa história?
Já faz algum tempo que o transporte de informações pessoais para fora da UE é um desafio. A diretiva de proteção de dados de 1995 criava uma série de dificuldades, mas a aplicabilidade e abrangência da GDPR, assim como suas pesadas multas, criam uma situação ainda mais complicada. Os Estados Unidos são o principal destino de informações coletadas em processos de eDiscovery. Na versão americana do Código de Processo Civil (Federal Rules of Civil Procedure), o que define a necessidade ou não de coleta de determinada informação é sua relevância para o caso – a privacidade do proprietário da informação fica em segundo plano. Já na União Europeia – e com a GDPR –, reforça-se o conceito de que privacidade é um direito humano imutável, e é aí que os problemas começam.
A GDPR ampliou sua abrangência, regulando a ação de quem armazena e processa informações pessoais dentro e fora da União Europeia, bastando que sejam informações de pessoas naturais do bloco. Com isso, empresas nos EUA que armazenam essas informações em solo americano não poderiam, em teoria, disponibilizá-las em ações judiciais, mas têm de atender às demandas locais. Como resolver esse impasse?
Não existe uma resposta simples. Até o momento, as cortes americanas têm tomando decisões inconsistentes quando uma solicitação de eDiscovery não é atendida com base na legislação da UE. E isso tem tudo a ver com o eDiscovery no Brasil e na América Latina.
Apesar de não fazermos parte da UE, onde as informações residem, nem dos EUA, para onde as informações são transportadas, o Brasil e a América Latina são destino comum de empresas das duas pontas. O nosso passado ligado ao velho continente e a relação com a crescente indústria de tecnologia americana fazem com que as legislações aplicadas por lá sejam relevantes por aqui. Vai se tornar cada vez mais comum a realização de coletas em empresas que são obrigadas a seguir a GDPR, seja por se tratar de uma empresa europeia ou pelo simples fato de processar informações de seus cidadãos. Além disso, em diversas situações, o destino da informação é um caso sendo julgado nos EUA.
Por último, legisladores, tanto do Brasil quanto do restante da América Latina, têm se movimentado no sentido de criar legislações locais de privacidade de dados pessoais, que serão, sem dúvida alguma, baseadas na GDPR. É importante levar a questão de privacidade de dados pessoais muito a sério, pois esse movimento não tem volta e os desafios tendem a crescer.
O eDiscovery na região e no mundo terá que se adaptar a mais essa exigência, auxiliando clientes a criarem estratégias que atendam suas expectativas, mantendo-se de acordo com a nova regulação. Recomendo que os consultores de eDiscovery passem a verificar junto a seus clientes e advogados a adoção da regulamentação e seus impactos ao processo.
__________
*Eduardo Sanches é sócio-diretor da VSI (Ventiv Solutions International).