Em 21 de fevereiro, o Conselho Nacional de Justiça, fundado em seu poder de apreciação da legalidade dos atos administrativos praticados por membros ou órgãos do Poder Judiciário, determinou que o Tribunal de Justiça do Estado de São Paulo se abstenha de praticar qualquer ato tendente à contratação da Microsoft para a “completa transformação digital das atividades do Tribunal”. Trata-se de um contrato, celebrado sem licitação, pelo valor total de R$ 1,32 bilhão.
Além da polêmica sobre a legalidade da vultosa contratação sem licitação, um dos fundamentos elencados na decisão do CNJ é o receio de que a empresa americana mantenha, em solo estrangeiro, a guarda e acesso a dados judiciais do Brasil, incluindo uma “infinidade de informações sobre a vida, a economia e a sociedade brasileira, o que, ressalvadas as cautelas certamente previstas, pode vir a colocar em risco a segurança e os interesses nacionais do Brasil”.
Sob o aspecto da Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará seguramente em vigor durante a execução do contrato em comento e é plenamente aplicável à Administração Pública, os fatos anunciados suscitam várias questões interessantes. A primeira refere-se à necessidade ou não do consentimento para a transferência internacional dos dados pessoais detidos por entes públicos a pessoa jurídica de direito privado (art. 27 LGPD). Embora os processos judiciais sejam de público acesso - exceto os que correm em segredo de justiça -, isso não implica que os titulares dos dados pessoais neles contidos consintam tacitamente quanto à transferência internacional dos dados em comento.
A questão complica-se um pouco mais em razão da origem americana da Microsoft. Embora os EUA não disponham de uma lei geral de proteção de dados pessoais a nível federal, a Microsoft integra o Privacy Shield, programa desenhado para garantir a transferência segura dos dados entre os EUA e a União Europeia (e a Suíça). Tal estatuto poderia ser considerado como capaz de assegurar o tratamento adequado dos dados pessoais no contexto das transferências internacionais de dados do Brasil para a Microsoft, nos EUA (art. 33, II da LGPD). Admita-se, pelo debate, que após a realização de um estudo os elementos acima descritos sejam superados. Ainda assim subsistiria o problema da informação prévia sobre a transferência internacional dos dados pessoais, atendendo-se o princípio da transparência. Tal informação prévia seria incorporada ao Regimento Interno do TJ/SP? Constaria da Política de Privacidade do Tribunal?
Finalmente, outro ponto que merece atenção é o impacto do Cloud Act (Clarifying Lawful Overseas Use of Data Act) americano sobre o contrato em questão. O referido dispositivo abre a possibilidade de um canal de cooperação direta entre o governo dos EUA e de países terceiros visando acessar os dados de empresas americanas estocados mesmo fora dos EUA e, em contrapartida, de empresas estrangeiras estocados nos EUA. Sob reserva da existência de um inquérito criminal visando uma pessoa ou um elemento identificador, o Cloud Act oferece uma base legal às autoridades americanas para a obtenção de documentos, e-mails, e qualquer tipo de comunicação captados no exterior por servidores de empresas americanas.
Essas questões — ainda sem resposta — merecem seguramente uma reflexão aprofundada. Somente lembrando que, para evitar esse tipo de quebra-cabeças, a própria Microsoft abriu recentemente dois data centers na França para estocar localmente os dados de clientes europeus.
________
*Fernando Santiago é sócio fundador do Chenut Oliveira Santiago Advogados, exerce suas atividades no Brasil e na Europa representando empresas brasileiras e estrangeiras em assuntos relacionados à proteção de dados pessoais.