Transferência internacional de dados e Acordos de Assistência Mútua

Migalhas de IA e Proteção de Dados

Os Acordos de Assistência Mútua (Mutual Legal Assistance Treaties - MLAT) são instrumentos importantíssimos para a efetivação transfronteiriça da proteção de dados pessoais. Sua utilização tem sido amplamente desejada para cenários nos quais se almeja o acesso a dados armazenados em provedores situados no exterior, ou mesmo o compartilhamento desses dados para finalidades diversas, geralmente relacionadas à persecução penal.

Tais acordos também são relevantes para que autoridades brasileiras possam colaborar com autoridades estrangeiras mediante o compartilhamento de dados mantidos em bases brasileiras, destacadamente para a obtenção de provas. Porém, a constitucionalidade dos referidos acordos não é tema pacífico e, por isso, a Ação Declaratória de Constitucionalidade n. 51 segue em julgamento perante o Supremo Tribunal Federal.

O assunto sempre foi polêmico, mas tomou corpo com a ascensão das mídias sociais e das redes de relacionamento social, suscitando dúvidas, por exemplo, quanto à necessidade ou não de que o provedor estrangeiro tenha filial no Brasil, ou quanto à aferição do local de onde se originou a conexão à internet, o que desvela problemas de jurisdição a serem solucionados pelo direito internacional¹, uma vez que se questiona os limites do princípio geral de aderência ao território para a solução de disputas nas quais a jurisdição brasileira seja acionada para compelir unilateralmente empresas estrangeiras a viabilizarem o acesso a dados armazenados em seus servidores².

Para além disso, resta saber se a constitucionalidade dos acordos MLAT é suficiente para solver todas as dúvidas existentes em relação ao tema da transferência internacional de dados, que foi tutelado no Capítulo V da Lei Geral de Proteção de Dados Pessoais (arts. 33 a 36), haja vista as preocupações com a morosidade do procedimento atrelado a tais acordos e uma suposta ineficácia de sua utilização.

A Ação Declaratória de Constitucionalidade 51: breve panorama

Em 2017, a Federação das Associações das Empresas de Tecnologia da Informação (Assespro Nacional) ajuizou a Ação Declaratória de Constitucionalidade n. 51. Nela, pretende-se validar dispositivos de cooperação internacional referentes à obtenção de conteúdo de comunicação privada sob controle de provedores de aplicação sediados no exterior³.

O argumento central da demanda é o de que, já à época, diversos tribunais brasileiros requisitavam informações a pessoas jurídicas brasileiras que eram afiliadas ao provedor estrangeiro, deixando de aplicar os instrumentos de assistência judiciária internacional utilizados habitualmente nas requisições de provas sobre pessoas e bens situados fora do país pela via da carta rogatória à autoridade estrangeira⁴.

Todavia, na ação, manifestando o receio de que as solicitações vertidas de forma direta às afiliadas locais desses provedores acabariam resultando em relutância ou omissões quanto à entrega de eventuais dados solicitados, a Assespro Nacional explicitou suas razões para asseverar que eventual afronta à soberania nacional poderia ocorrer por inobservância de comando emanado do Judiciário brasileiro.

Para a Assespro Nacional, noutras palavras, requisições dessa estirpe direcionadas a representantes brasileiros representariam "declaração branca de inconstitucionalidade" de normas já internalizadas, como o Decreto Federal nº 3.810, de 2 de maio de 2001, que promulgou o Acordo de Assistência Judiciário-Penal entre o governo da República Federativa do Brasil e o governo dos Estados Unidos da América, e também o artigo 237, inciso II, do Código de Processo Civil⁵, além dos artigos 780 e 783 do Código de Processo Penal.

O citado acordo e as normas processuais listadas viabilizam a obtenção de provas⁶ de materialidade e autoria de crimes cibernéticos, e por isso é tão importante o debate travado na ADC 51⁷, denotando a amplitude da pretensão de reafirmar a constitucionalidade dos procedimentos de cooperação jurídica internacional, conciliando a soberania brasileira e a dos Estados estrangeiros.

É inegável que eventuais manifestações expressadas na internet podem ocorrer, basicamente, de qualquer lugar. A ubiquidade da rede torna possível a qualquer pessoa, de qualquer região do mundo, lançar conteúdos na internet com projeção mundial praticamente instantânea e repercussões absolutamente variadas.

Isso faz com que, embora determinado conteúdo esteja disponível na própria rede e possa ser acessado em quase qualquer país do mundo, dificilmente se terá condições ou mesmo interesse em inibir a veiculação do que for invasivo, intrusivo ou ilícito, por exemplo.

Relembrando o julgamento do RMS 55.109, de relatoria do Ministro Reynaldo Soares da Fonseca, em 17 de novembro de 2017, Ana Lara Camargo de Castro comenta que "o Superior Tribunal de Justiça tem reiteradamente afirmado que empresa ou conglomerado transnacional sujeita-se à soberania brasileira, em cumprimento ao artigo 1º, I, da Constituição Federal, sendo, pois, desnecessária a cooperação internacional em caso de ordem judicial"⁸. Evidentemente, não se trata de um julgado isolado⁹, o que reafirma a pujança do debate em torno da viabilidade dos acordos MLAT para que se possa aclarar o campo de incidência da cooperação internacional para temas relativos à internet, mesmo com suas peculiaridades e idiossincrasias.

Para fins de investigação em matéria penal, não há dúvidas de que a existência de um acordo de assistência mútua firmado entre Brasil e Estados Unidos da América facilita o intercâmbio informacional e o deslinde de eventual investigação. Não obstante, o lançamento de conteúdos na internet, seu armazenamento e o próprio fluxo de dados ultrapassa os limites definidos pelos dois países em questão para a cooperação bilateral estipulada.

Importante audiência pública foi realizada, no início de 2020, com especialistas da sociedade civil e representantes de diversos órgãos públicos, para discutir e esclarecer o controle de dados de usuários por provedores sediados no exterior¹⁰.

É importante frisar que o artigo 33 da LGPD inaugura tema de especial relevância para a compreensão dos impactos da proteção transfronteiriça de dados pessoais. Sem dúvidas, a sociedade da informação passa por seu apogeu em tempos nos quais as relações jurídicas são realizadas com maior pujança e inegável participação de empresas sediadas em diversas localidades do exterior. As atividades de tratamento de dados, da mesma forma, envolvem a circulação de dados, aparentemente, sem controle fronteiriço ou clareza de jurisdição¹¹. Não é incomum que empresas tratem dados que percorram servidores variados, situados em diferentes países e regidos por legislações diferentes.

Nesse contexto, a compreensão da própria internet como substrato resultante do conjunto global de redes de computadores que funcionam de maneira interoperável e dinâmica impõe considerar que não há controle absoluto da rede por nenhum governo. Não é por outra razão que é tão debatida a ideia de consideração da internet como commons¹².

Fato é que a afirmação soberana de um Estado envolve seu labor legislativo e a edição de marcos regulatórios para suas competências materiais. Naturalmente, a proliferação de leis protetivas dos dados pessoais por todo o globo reflete desafios jurídicos inegáveis quanto à proteção de direitos no contexto das atividades de compartilhamento informacional - e não é diferente no Brasil.

O compartilhamento de dados armazenados no exterior

É de amplo conhecimento que a LGPD brasileira, promulgada em 14 de agosto de 2018, tem sua inspiração no Regulamento (EU) 2016/679 - o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia -, que entrou em efeito a partir de maio de 2018.

Na Europa, o referido regulamento trata, dentre outros, de temas concernentes à circulação de dados oriundos de seu território no ambiente internacional. Questões como as decisões sobre adequação, os compromissos assumidos pelo controlador para viabilizar a transferência internacional, além de outras hipóteses, constam expressamente de seu texto e impõem especificidades para o fluxo transfronteiriço de dados pessoais.

Também vale a pena destacar que "mais explícito ainda é o Regulamento (UE) 2018/1807, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de dados não pessoais na União Europeia, o qual complementa o RGPD. Este, além de distinguir "dados pessoais" de "dados não pessoais" e de restringir a sua aplicação a estes, incluindo as situações em que ambos "estejam indissociavelmente ligados", reitera a imperatividade dos regimes de proteção dos dados pessoais (Art.ºs 2.º n.º 2 e 3.º 1)"¹³.

Na LGPD, o tema também encontra previsão específica. O artigo 5º, inciso XV, conceitua a transferência internacional como a transferência de dados para um país estrangeiro ou organismo internacional do qual o Brasil seja membro¹⁴. O conceito é vago e, naturalmente, demanda interpretação sistemática da lei e de seus outros dispositivos. Cita-se, nesse ponto, que o inciso subsequente (XVI) do artigo 5º descreve a transferência internacional como hipótese de "uso compartilhado de dados", diferindo-a, ao menos conceitualmente, do acervo de situações caracterizadoras das atividades de "tratamento de dados" (art. 5º, inc. X).

O artigo 3º da LGPD também é de fundamental cognição, pois define que a atividade deve ter por objetivo a oferta de bens ou serviços com finalidade econômica, que a operação de tratamento deve ser realizada em território nacional e/ou que os dados que são objeto de tratamento devem ser coletados no território nacional (art. 3º, inc. I a III)¹⁵.

Ademais, é importante lembrar que a lei estabelece os casos em que a LGPD não se aplica ao tratamento de dados pessoais (art. 4º), o que permite concluir que a transferência internacional é a atividade de transferência ou compartilhamento para um país estrangeiro, entre pessoas físicas ou jurídicas de direito público ou privado, incluindo organismos internacionais dos quais o Brasil seja membro, de dados coletados em território nacional e/ou cujo tratamento tenha sido realizado no país.

A LGPD não possui critérios tão diretos quanto os do art.º 45, n.º 2, do RGPD, a exemplo da exigência de decisão de adequação por parte da autoridade nacional¹⁶, mas estabelece que a sua autorização (inc. V) é uma das possibilidades para a transferência internacional de dados. Outra conclusão que se extrai é a de que algumas hipóteses ("bases legais") para o tratamento de dados pessoais podem ser apresentadas em função da transferência internacional. Por exemplo: a proteção da vida ou da incolumidade física do titular ou de terceiro (art. 33, IV c/c art. 7º, VII), o consentimento (art. 33, VIII c/c art. 7º, I) e o cumprimento de obrigação legal ou regulatória pelo controlador, a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, e o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 33 c/c art. 7º, II, V e VI).

Em sequência ao que prevê o artigo 33, inciso I, da LGPD, o artigo 34 descreve os critérios a serem considerados pela ANPD para aferir o nível de adequação do país estrangeiro ou do organismo internacional a ponto de considerá-lo suficiente para lastrear a operação de transferência internacional: (i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares; (iv) a adoção de medidas de segurança previstas em regulamento; (v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e (vi) outras circunstâncias específicas relativas à transferência¹⁷.

Pelo §3º do artigo 35, a ANPD pode designar organismos de certificação para definir e verificar o conteúdo de cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta para a realização da transferência internacional de dados. Cabe lembrar, nesse ponto, que o artigo 4º, inciso XIII, do Decreto nº 10.474/2020, prevê a atribuição do Conselho Diretor da ANPD para "designar e fiscalizar organismos de certificação para a verificação da permissão para a transferência de dados internacional". A ANPD ainda poderá rever os atos praticados pelos organismos de certificação, segundo o que prevê o §4º do artigo 35 e, caso haja descumprimento da lei, os mesmos poderão ser anulados (vide, ainda, o que dispõe o art. 4º, inciso XIV, do Decreto nº 10.474/2020).

O 5§º do dispositivo, finalmente, faz remissão aos parâmetros de segurança da informação descritos no artigo 46, §§1º e 2º, da LGPD¹⁸ quanto à parametrização da análise de suficiência da observância dos princípios gerais de proteção e dos direitos do titular referidas no caput do artigo¹⁹.

Enfim, o que se nota é que há inúmeras regras que podem, eventualmente, representar empecilhos para a concretização de finalidades específicas relacionadas à cooperação em matéria internacional, instigando reflexões sobre o eventual contraste de tais normas com as disposições de acordos internacionais.

Notas conclusivas

Várias nuances podem ser colhidas do inciso I do artigo 33 da LGPD. Uma delas é a nítida preocupação com a equivalência de adequação do grau de proteção jurídica conferido pelo outro país envolvido na transferência internacional aos dados pessoais ao grau de proteção brasileiro. Por se tratar de conceito aberto, o entendimento sobre a adequação de que trata a lei demandará colmatação pelo labor regulatório infralegal da Autoridade Nacional de Proteção de Dados. E, de fato, o referido tema é o quarto da lista de "ações" da Agenda Regulatória estabelecida pela ANPD para o biênio 2023-2024²⁰.

Porém, este é apenas um problema preliminar em relação à compatibilização das previsões da LGPD com os rigores da cooperação internacional em matéria de proteção de dados pessoais, especialmente para que eventual Acordo de Assistência Mútua (MLAT) firmado com país estrangeiro se coadune com a exceção definida no artigo 4º, inciso III, "d", da LGPD, pelo qual se excetua da incidência normativa a atividade de tratamento de dados relacionada a investigação e repressão de infrações penais.

O principal desafio que se enfrenta diz respeito à soberania brasileira e ao receio concernente ao efetivo cumprimento de ordens judiciais emanadas de autoridades brasileiras. Sem dúvidas, há muitos pontos nebulosos em torno da questão, apesar de já se ter pronunciamentos do STJ a esse respeito. Não obstante, o pronunciamento do STF quanto à constitucionalidade dos acordos MLAT tem o condão de propiciar renovada leitura relacionada à reafirmação da soberania do Estado brasileiro e à impertinência da interferência estrangeira na inviabilização ou obstaculização da obtenção de provas relevantes para investigações.

Reconhecer a constitucionalidade dos MLATs é, portanto, um primeiro passo para a superação de diversas dificuldades concernentes a investigações de delitos perpetrados na internet, mas também para a consolidação de maior clareza interpretativa em relação a temas relacionados à jurisdição, inclusive para afastar antinomias com o tema da transferência internacional de dados definido na LGPD, que são, em essência, antinomias apenas aparentes.

__________

1 BASSO, Maristela; POLIDO, Fabrício Bertini Pasquot. Jurisdição e lei aplicável na internet: adjudicando litígios de violação de direitos da personalidade e as redes de relacionamento social. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto (Coord.). Direito & internet: aspectos jurídicos relevantes. São Paulo, Quartier Latin, 2008, v. 2, p. 442-490.

2 LAUX, Francisco de Mesquita. Redes sociais e limites da jurisdição: planos da territorialidade e efetividade. São Paulo: Thomson Reuters Brasil, 2021, p. 281-283.

3 BRASIL. Supremo Tribunal Federal. ADC 51. Consulta Processual. Disponível aqui. Acesso em: 5 jan. 2023.

4 BRASIL. Supremo Tribunal Federal. ADC 51. Consulta Processual. Disponível aqui. Acesso em: 5 jan. 2023.

5 Sobre a relevância do Código de Processo Civil brasileiro em matéria de cooperação jurídica internacional, conferir POLIDO, Fabrício Bertini Pasquot. Fundamentos, estruturas e mecanismos da cooperação jurídica internacional e o Código de Processo Civil brasileiro. Revista dos Tribunais, São Paulo, v. 990, p. 37-82, 2018.

6 PAGLIARINI, Alexandre Coutinho; KOSAK, Ana Paula. A cooperação jurídica internacional em matéria penal entre Brasil e Estados Unidos e o direito à prova. Revista de Direito Constitucional e Internacional, São Paulo, v. 29, n. 123, p. 271-291, jan./fev. 2021, p. 288.

7 GUIDI, Guilherme Berti de Castro; REZEK, Francisco. Crimes na internet e cooperação internacional em matéria penal entre Brasil e Estados Unidos. Revista Brasileira de Políticas Públicas, Brasília, v. 8, n. 1, p. 276-288, 2018, p. 283-284.

8 CASTRO, Ana Lara Camargo de. Crimes cibernéticos e óbices ao cumprimento do Acordo de Cooperação Internacional (MLAT) com base nos standards de causa provável e liberdade de expressão do direito estadunidense. Revista do Ministério Público do Estado do Rio de Janeiro, Rio de Janeiro, n. 76, p. 19-49, abr./jun. 2020, p. 42.

9 Vide também RMS 55.019, DJe 12/12/2017, Rel. Min. Joel Ilan Paciornik (Yahoo); RHC 84.100, DJe 21/03/2018, Rel. Min. Felix Fischer; RMS 53.213, DJe 13/05/2019, Rel. Min. Ribeiro Dantas (Apple); Inq 784, DJe 28/08/2013, Rel.ª Min.ª Laurita Vaz (Google).

10 BRASIL. Supremo Tribunal Federal. ADC 51. Audiência Pública - Transcrições. 10 fev. 2020. Disponível aqui. Acesso em: 5 jan. 2023.

11 GOLDSMITH, Jack; WU, Tim. Who controls the Internet? Illusions of a borderless world. Oxford: Oxford University Press, 2006, p. 13.

12 Conferir, por todos, as críticas de Mark Raymond a essa proposta: RAYMOND, Mark. Puncturing the myth of the Internet as a Commons. Georgetown Journal of International Affairs, Washington, D.C., n. 14, p. 53-64, 2013. Em sentido mais amplo, conferir HOLMAN, JoAnne; MCGREGOR, Michael. The Internet as Commons: The Issue of Access. Communication Law and Policy, Oxfordshire, v. 10, n. 3, p. 267-289, jun. 2010.

13 MASSENO, Manuel David; MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A segurança na proteção de dados: entre o RGPD europeu e a LGPD brasileira. In: LOPES, Teresa Maria Geraldes da Cunha; SAÉNZ GALLEGOS, María Luisa (Org.). Ensayos sobre derecho y sociedad en la era tecnológica. Ciudad de México: UMSNH, 2020, p. 143.

14 MARTINS, Amanda Cunha e Mello Smith. Transferência internacional de dados pessoais. Belo Horizonte: D'Plácido, 2021, p. 217-232.

15 FRAJHOF, Isabella Z.; SOMBRA, Thiago Luis. A transferência internacional de dados pessoais. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 268.

16 VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation (GDPR): a practical guide. Cham: Springer, 2017, p. 116.

17 MARTINS, Amanda Cunha e Mello Smith. Transferência internacional de dados pessoais. Belo Horizonte: D'Plácido, 2021, p. 118.

18 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Segurança, boas práticas, governança e compliance. In: LIMA, Cíntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020, p. 351-352.

19 FRAJHOF, Isabella Z.; KREMER, Bianca. Art. 35 - Da transferência internacional de dados. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (Coord.). Comentários à Lei Geral de Proteção de Dados Pessoais. Indaiatuba: Foco, 2022, p. 351.

20 BRASIL. Autoridade Nacional de Proteção de Dados. Agenda Regulatória 2023-2024. Disponível aqui. Acesso em: 5 jan. 2023.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

Transferência internacional de dados e Acordos de Assistência Mútua (MLAT)