Recentemente, a Corte de Justiça da União Europeia (CJEU) publicou sua decisão pela invalidade do EU-US Privacy Shield como base para as transferências internacionais de dados pessoais da União Europeia (UE) para os Estados Unidos (EUA), no caso que ficou conhecido como “Schrems II”. Essa decisão também estabeleceu que a validade das cláusulas contratuais padrão (standard contractual clauses, ou “SCC”) previstas no Regulamento nº 2016/679, o General Data Protection Regulation (GDPR), não decorre de uma simples assinatura, mas de uma verificação ativa se de fato elas são cumpridas na prática. Tendo em vista que a lei 13.709/18, a Lei Geral de Proteção de Dados Pessoais (LGPD) “importou” o mecanismo de validação de transferências internacionais de dados pessoais com base nas “cláusulas-padrão contratuais”, que lições podem ser aprendidas com base na discussão internacional acerca do mecanismo com origem no GDPR? E qual o impacto da decisão para as transferências internacionais de dados pessoais realizadas do Brasil para os EUA, quando a LGPD estiver em vigor, e para a intenção da entrada do Brasil na Organização para a Cooperação e Desenvolvimento Econômico (OCDE)?
A discussão sobre a proteção dos dados pessoais nas transferências internacionais teve origem em 2013, quando o advogado e ativista da privacidade austríaco Maximilian (conhecido como “Max”) Schrems apresentou uma reclamação perante a Autoridade Supervisora Irlandesa (Data Protection Commissioner, ou DPC) tendo por base o Safe Harbour Agreement. Segundo ele, as revelações de Edward Snowden em 2013 significam que os EUA não apresentavam proteção suficiente para os dados pessoais e privacidade contra a vigilância das autoridades públicas americanas. A reclamação de Max Schrems foi direcionada ao Facebook, que estava transferindo dados pessoais de titulares na UE para os EUA, assim como muitas outras empresas. A reclamação chegou à Suprema Corte Irlandesa e, posteriormente, à CJEU. Em 2015, a CJEU decidiu que o Safe Harbour era inválido e não apresentava proteção suficiente para os dados pessoais transferidos da UE para os EUA. O caso ficou conhecido como “Schrems I”.
Em resposta à decisão, muitas empresas baseadas na UE que realizavam esse tipo de transferência internacional para os EUA passaram a se apoiar nas SCC como mecanismo de validação da operação. Em paralelo, a UE e os EUA passaram a trabalhar em um novo framework, o EU-US Privacy Shield, como substituição ao Safe Harbour. Em 2016, uma decisão de adequação da Comissão Europeia considerou o Privacy Shield uma estrutura que possibilitava uma proteção aos dados pessoais equivalente à determinada pelo GDPR para as transferências internacionais de dados da UE para os EUA. Mais de 5 mil empresas americanas se cadastraram no Privacy Shield.
Novamente, Max Schrems questiona a validade do mecanismo estabelecido para a garantia da proteção de dados pessoais nos fluxos da UE para os EUA. Em 2018, a Suprema Corte da Irlanda leva à CJEU o novo caso (“Schrems II”) para julgamento. O processo somente chegou ao fim no dia 16 de Julho de 2020, quando a CJEU decidiu que (i) o EU-US Privacy Shield não garante o mesmo nível de proteção estabelecido pelo GDPR para os dados pessoais enviados aos EUA, uma vez que não viabiliza o efetivo exercício dos direitos dos titulares e nem limita os poderes de vigilância conferidos pela legislação americana ao governo, e (ii) a validade das SCC depende de o controlador averiguar, na prática, o cumprimento das obrigações impostas, devendo suspender a transferência ou rescindir o contrato caso as obrigações não sejam ou não possam ser cumpridas.
A decisão gerou impactos e reflexões em todo o mundo, inclusive no Brasil. Uma das reflexões remete à importação do modelo de legitimação das transferências internacionais de dados pessoais com base nas “cláusulas-padrão contratuais” (art. 33, inciso II, alínea b, LGPD), o equivalente às SCC, e sua utilização na prática. Semelhantemente ao GDPR, a LGPD, em seu art. 35 e parágrafos, prevê que a definição do conteúdo de cláusulas-padrão contratuais deverá ser realizada pela Autoridade Nacional de Proteção de Dados (ANPD), a partir de requisitos como a:
I. verificação das condições mínimas para a transferência, que observem os direitos, garantias e princípios da LGPD;
II. solicitação de informações suplementares ou diligências para verificação quanto às operações de tratamento;
III. observância dos princípios de proteção de dados pessoais e dos direitos dos titulares, analisados de acordo com as medidas técnicas e organizacionais adotadas pelo operador.
A LGPD ainda atribui ao controlador a responsabilidade de verificar se as cláusulas-padrão contratuais estão sendo cumpridas, com base no princípio da responsabilização (art. 6º, inciso X), segundo o qual ele deve ser capaz de comprovar (i) a observância e o cumprimento das normas de proteção de dados pessoais e a eficácia dessas medidas e, (ii) quando o destinatário dos dados for um operador, a verificação das normas aplicáveis à matéria, conforme seu território, e do nível de observância de instruções passadas pelo controlador (art. 39).
Pode-se verificar, portanto, que a LGPD traz os mesmos elementos presentes na decisão “Schrems II” para questionar e buscar invalidar a transferência de dados internacionais do Brasil para os EUA. Em outras palavras, por mais que tenhamos um sistema robusto de definição, aprovação e fiscalização de cláusulas-padrão contratuais, com uma carga de responsabilidade por cumpri-las expressamente imposta ao controlador, estamos sujeitos a termos esse mecanismo de salvaguarda também questionado, tanto no âmbito administrativo como no do Poder Judiciário, como ocorreu no caso julgado pela CJEU.
O questionamento desse fluxo internacional de dados pode gerar insegurança jurídica para as empresas com operação no território brasileiro quando a LGPD estiver em vigor. Isso porque muitas empresas utilizam servidores de nuvem localizados nos EUA para armazenamento de dados, uma vez que o custo é significativamente menor.
A decisão da CJEU nos faz refletir se a legislação de vigilância dos EUA também será considerada uma ameaça às condições de proteção de dados pessoais exigidas pela LGPD. Na avaliação do destinatário dos dados nos EUA, feita pelo controlador, deve-se considerar o operador como não aderente à LGPD? Os EUA serão considerados pela ANPD como um país que proporciona grau de proteção de dados pessoais adequado ao previsto na LGPD? Em caso negativo, a ANPD e demais órgãos administrativos e Poder Judiciário vão entender que as transferências internacionais baseadas em cláusulas-padrão contratuais serão válidas? Como as empresas deverão se posicionar nesse cenário? Serão obrigadas a despender maiores custos com armazenamento no Brasil ou em outro país considerado adequado ao nível de proteção de dados imposto pela LGPD?
O caso “Schrems II” também nos leva a refletir sobre os impactos dessa decisão na intenção de entrada do Brasil na OCDE, que pode lhe render maior credibilidade internacional e atração de investimentos. Considerando a decisão da CJEU, o alinhamento do Brasil com o posicionamento europeu garantiria maior chance de entrada na OCDE? Essa análise é complexa, pois tanto países da União Europeia quanto os próprios EUA, são membros da organização internacional e votam pela entrada ou não de um novo membro. Se o Brasil se alinhar ao posicionamento da UE, pode se indispor comercialmente com os EUA; se ao dos EUA, poderia se indispor comercialmente com a UE. Estamos diante de dois players poderosos econômica e politicamente.
Há uma espécie de uma guerra comercial entre UE e EUA e o Brasil está entendendo seu posicionamento no meio dessa discussão, que engloba soberania, direitos humanos, interesses políticos e econômicos. Nossa legislação de proteção de dados se inspirou no modelo europeu (GDPR), mas isso não significa que tudo o que a UE decide ou institui é a melhor decisão ou o caminho mais adequado para o cenário brasileiro. Para que o Brasil se posicione de forma segura no cenário internacional no que diz respeito às transferências de dados pessoais, recomendamos unir a Academia, setor público e privado em um diálogo aberto para a construção do caminho do Brasil - que não precisa pender nem para os EUA e nem para a UE, pois temos soberania e criatividade para construir o nosso caminho, que pode muito bem ser uma terceira via.
____________
*Caroline Teófilo é consultora de privacidade e segurança, advogada especialista em Direito Digital, Proteção de Dados e Segurança da Informação; Formada pelo Centro Universitário FIEO; Especializada em Direito Empresarial pela FGV-SP; Certificada em “Auditor Líder em Segurança da Informação” pela PECB e como “Data Protection Officer” ("DPO") pela EXIN; Professora da pós-graduação do SENAC e Instrutora de cursos para formação de DPO na FIA.
*Daniela M. Monte Serrat Cabella é advogada especialista em Proteção de Dados e Privacidade. Pós-graduada em Gestão da Inovação e Direito Digital pela FIA, Bacharel em Direito pela USP, certificada em ISO 27001 e como Data Protection Officer (DPO) pela Exin. Certificada em Negociação Avançada por Harvard, em Contratos Internacionais pela International Chamber of Commerce (França) e Gestão Ágil de Equipes pela University of Virginia.