MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A proteção de dados pessoais no Brasil e as perspectivas na importação internacional de dados da Europa

A proteção de dados pessoais no Brasil e as perspectivas na importação internacional de dados da Europa

Embora a lei brasileira, por si só, não garanta de imediato a transferência transfronteiriça de dados pessoais da Europa para o Brasil, futuramente ela poderá ser levada em consideração pela Comissão Europeia para avaliar se o Brasil garante um nível de proteção adequado.

quarta-feira, 29 de agosto de 2018

Atualizado em 23 de setembro de 2019 17:45

No dia 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi parcialmente sancionada pela Presidência da República. O referido diploma legal (Lei 13.709/18) traz uma série de dispositivos visando resguardar os dados pessoais de seus titulares (pessoas naturais), seja nos meios digitais, seja em outros meios, e deverá ser observada tanto por pessoas jurídicas de direito público, quanto de direito privado.

Além disso, a LGPD estabelece os requisitos para o tratamento de dados pessoais ordinários, dos sensíveis e dos de crianças e adolescentes; direitos do titular de dados, tais como o direito ao acesso, direito à correção de dados, direito à anonimização, bloqueio ou eliminação de dados desnecessários e excessivos, direito à portabilidade dos dados, direito à eliminação dos dados,dentre outros; e traz também dispositivos sobre a transferência internacional de dados.

É importante destacar também que a lei em comento cria obrigações ao controlador e operador dos dados, estipula a indicação do encarregado pelo tratamento dos dados, responsabilidade por danos morais e patrimoniais e sanções administrativas como advertência, publicização da infração e multa, a qual poderá alcançar até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada ao importe de R$ 50.000.000,00 (cinquenta milhões de reais)por infração.

Indo além da importância para a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, a LGPD impulsiona o Brasil ao encontro do padrão promovido pelo Regulamento Geral sobre a Proteção de Dados (RGPD ou GDPR - General Data Protection Regulation, em inglês, sigla pela qual o ato legislativo ficou mais conhecido) da União Europeia (UE), o qual entrou em vigor no dia 25 de Maio de 2018. O Regulamento Europeu fortaleceu o nível de proteção dos dados dos indivíduos e aperfeiçoou o sistema de proteção de dados na seara da transferência internacional em comparação com a revogada Diretiva de 1995.

O GDPR assevera que é necessário observar e cumprir seus dispositivos no caso de qualquer transferência de dados pessoais para fora da União Europeia e do Espaço Econômico Europeu (EEE) a um país terceiro ou organização internacional visando a realização do tratamento dos dados. Dito de outra forma, tanto o responsável pelo tratamento (data controller, ou controlador dedados), quanto o subcontratante (data processor, ou processador dos dados) precisam realizar compliance com o GDPR caso haja interesse em exportar dados pessoais para fora da União Europeia e do Espaço Econômico Europeu.

Dentre os diversos instrumentos e mecanismos permitidos expressamente pelo GDPR para a operação de transferência internacional de dados, tais como cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia, regras vinculativas aplicáveis às empresas, cláusulas contratuais elaboradas pelas partes e aprovadas pela autoridade competente, consentimento explícito concedido pelo titular dos dados, transferência necessária por razões de interesse público, destaca-se o da decisão de adequação (adequacy decision).

As transferências com base em decisão de adequação (conforme definida pelo artigo 45 da GDPR) são o método mais simples de implementar uma exportação de dados, uma vez que não há necessidade de autorização específica da autoridade supervisora para tanto ou de apresentação de demais garantias. Logo,a transferência para um país terceiro considerado adequado se assemelha a uma realizada entre países da União Europeia.

A decisão de adequação é dada pela Comissão Europeia ao considerar que um país, território ou organização internacional fornece um nível de proteção de dados suficientemente adequado aos padrões do GDPR.

Atualmente, os países incluídos na lista da Comissão são os seguintes:Andorra, Argentina, Canadá (em relação às organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai e Estados Unidos (limitado ao Privacy Shield). Destaca-se que o Japão e a Coréia do Sul estão sob análise da Comissão e, a depender do resultado, poderão ser objeto de decisão de adequação no porvir. É importante salientar que a Comissão deverá avaliar periodicamente se o país, território, organização internacional ou setores específicos do país continuam a assegurar um nível adequado de proteção de dados pessoais, o que poderá resultar na manutenção, revogação,alteração ou suspensão da decisão de adequação.

Dentre os critérios para tal decisão destacam-se o respeito pelos direitos humanos e liberdades fundamentais, a existência e o funcionamento efetivo de autoridades de controle da proteção de dados e o compromisso do Estado em relação à proteção de dados.

Em suma, a correta implementação da LGPD projetará o Brasil como país que se preocupa com e regulamenta a proteção dos dados pessoais, seguindo a tendência internacional capitaneada pelo GDPR. Embora a lei brasileira, por si só, não garanta de imediato a transferência transfronteiriça de dados pessoais da Europa para o Brasil, futuramente ela poderá ser levada em consideração pela Comissão Europeia para avaliar se o Brasil garante um nível de proteção adequado.

Nesse viés, espera-se que, com a entrada em vigor da LGPD e seu efetivo funcionamento, cumprimento e fiscalização, a proteção de dados no Brasil possa ser objeto de análise pela Comissão Europeia. Caso uma decisão de adequação seja tomada nesse contexto, ela poderá viabilizar a importação de dados pessoais provenientes da UE e do EEE sem a necessidade de autorização específica, o que poderá não apenas ter impactos favoráveis em relações comerciais entre o país e o continente europeu (uma vez que facilitará e muito a transferência de dados para empresas, inclusive as multinacionais), como também será um indicativo de que o Brasil realmente assegura a proteção dos dados pessoais na perspectiva da UE.
__________

*Mateus Mello Garrute é advogado e mestre em Direito Processual pela UFES.

*Estela Schmidt é advogada e bacharel em Direito pela Universidade Presbiteriana Mackenzie.

 

 

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca