Da liberdade religiosa à transferência internacional de dados, o que a Europa pode nos ensinar sobre a LGPD
Ao invés de tentar prever os problemas no futuro pela simples análise da letra da lei, o melhor a fazer para se adequar é analisar problemas já enfrentados pelo Tribunal de Justiça da União Europeia.
quarta-feira, 7 de outubro de 2020
Atualizado às 12:44
Após dois anos da sua promulgação e muitas tentativas de adiamento, a Lei Geral de Proteção de Dados está em vigor no Brasil. A notícia caiu como uma bomba para os empresários e operadores do direito, causando uma verdadeira corrida em busca da adequação das empresas e a elaboração desenfreada de textos sobre a lei.
Nos últimos dias, vejo colegas publicando desesperadamente textos, artigos, dentre outras publicações, todos com títulos similares, tais como "LGPD o que muda" "LGPD quais os impactos na sua empresa" e "os Impactos da LGPD nas áreas x, y e z".
São textos muitos bem escritos e embasados na lei, os quais recomendo a leitura, contudo, a maioria destes esbarram nas limitações óbvias de tratar de uma lei que acabou de entrar em vigor, contendo muitas suposições e divagações acerca do texto "cru" da legislação.
Situação similar ocorreu no período entre a promulgação e o início da vigência do denominado "Novo Código de Processo Civil", quando se iniciou uma série de aulas, palestras, discussões e vídeos em que foram profetizadas diversas problemáticas que poderiam ocorrer, a maioria das quais nunca aconteceu.
Temo, contudo, que na ânsia de ajudarmos os empresários e as pessoas físicas a entender o assunto, nós, operadores do direito, proporcionemos um efeito contrário, trazendo ainda mais dúvidas e inseguranças em relação a LGPD.
Sugiro uma abordagem diferente da matéria, em que ao invés de tentar prever os problemas no futuro pela simples análise da letra da lei, façamos uma análise dos problemas já enfrentados em legislações similares já implementadas no mundo.
Neste ponto, até pela minha atuação no direito europeu, utilizarei como paradigma as questões relacionadas à proteção de dados na União Europeia, em especial o regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, o denominado General Data Protection Regulation, ou apenas "GDPR".
Minha escolha pela utilização das problemáticas relacionadas ao GDPR não é por acaso, tendo sido feita diante da similaridade proposital com a LGPD, tendo o legislador brasileiro se baseado no GDPR para a elaboração da norma nacional.
A proteção de dados na Europa remonta ao ano de 1970, quando foi aprovado pelo Estado Alemão de Hesse o Hessiches Datenschutzgesetz - Ato de Proteção de Dados de Hesse. Posteriormente, em 1973, a Suécia editou a primeira norma nacional sobre a proteção de dados, a Datalegen (lei 289 de 11 de maio de 1973). Outros países também elaboraram normas de proteção de dados na sequência, como a Dinamarca, a França e a Espanha, por exemplo.
Com o passar dos anos, a proteção dos dados tomou importância transnacional, sendo editada em 1995 a primeira legislação unificada europeia acerca da proteção de dados, a Diretiva da Comissão Europeia 95/46/CE, que estabelecia regras a serem cumpridas por todos os Estados-Membros da União Europeia.
Marco importante na proteção de dados foi o desenvolvimento em conjunto entre a UE e os EUA dos Princípios Internacionais de Privacidade Safe Harbor, entre 1998 e 2000, cujo objetivo era evitar que as organizações privadas sediadas nos referidos territórios divulgassem ou perdessem acidentalmente dados pessoais.
Os Princípios de Privacidade Safe Harbor foram anulados pelo Tribunal de Justiça Europeu aos 06 de outubro de 2015, sob o fundamento de que a proteção concedida era insuficiente, acarretando a elaboração de uma nova estrutura de fluxos de dados transatlânticos, a denominada "EU-US Privacy Shield".
Aos 27 de abril de 2016, a Comissão Europeia publicou o regulamento (UE) 2016/679, revogando a Diretiva 95/46/CE, atualizando a norma comunitária acerca da proteção de dados pessoais de pessoas físicas. O GDPR teve sua vigência iniciada aos 25 de maio de 2018.
Entendo ser o GDPR mais completo que a LGPD, contendo 173 (cento e setenta e três) considerados e 99 (noventa e nove) artigos que discriminam detalhadamente as funções de cada parte no tratamento de dados, tais como: (I) o Responsável pelo Tratamento; (II) o Subcontratante; (III) o Destinatário; (IV) o Terceiro; (V) o Representante; (VI) o Data Protection Officer (DPO); dentre outros.
Já a LGPD remete muitas de suas aplicações à norma posterior, a ser emitida pela Autoridade Nacional de Proteção de Dados. Exemplo disso são as funções do DPO (Encarregado pelo Tratamento de Dados Pessoais), descritas na LGPD em apenas um artigo, transferindo à autoridade nacional a competência de edição de normas complementares sobre a definição e as atribuições do encarregado.
Como desde 1995 a União Europeia possui uma norma de proteção de dados comunitária, muitos dos problemas que serão enfrentados pelo Brasil já foram abordados pelo Tribunal de Justiça Europeu, sendo extremamente útil a análise dessas decisões para a prevenção de possíveis litígios e a adequação correta das empresas e pessoas físicas à LGPD.
Como exemplo, uma problemática que possivelmente o Brasil terá que enfrentar diz respeito ao conflito entre privacidade x liberdade de religião, apurando-se qual a responsabilidade de uma comunidade religiosa pela coleta de dados por seus membros, na atividade de pregação ou evangelização.
Essa matéria já foi tratada recentemente pelo Tribunal de Justiça da União Europeia, em decisão prejudicial que teve como partes a Autoridade Finlandesa de Proteção de Dados e a Comunidade das Testemunhas de Jeová na Finlândia.
O caso, em resumo, dizia respeito a problemática envolvendo a colheita de dados pessoais sensíveis pelos membros da Comunidade das Testemunhas de Jeová na atividade de pregação porta-a-porta. A Autoridade Finlandesa de Proteção de Dados alegou que essa atividade deveria seguir as normas contidas na diretiva 95/46/CE, então vigente quando iniciou a demanda, inclusive com a vedação do tratamento de dados sensíveis, como, por exemplo, a orientação religiosa. Já a Comunidade das Testemunhas de Jeová alegou em sua defesa que as atividades eram desenvolvidas voluntariamente por seus membros, sem qualquer interferência superior que não fosse a determinação divina e que a forma de tratamento dos dados não se enquadraria no conceito de ficheiros, sendo de acesso apenas dos respectivos membros, enquadrando-se na hipótese de utilização dos dados para fins pessoais e domésticos, não sendo abrangidos pela diretiva 95/46/CE e pelo GDPR.
Em sede de análise da questão pelo Supremo Tribunal Administrativo da Finlândia, a referida corte submeteu ao Tribunal de Justiça da União Europeia quatro questões prejudiciais, solicitando resposta para fins de embasar a sua decisão. As questões diziam respeito às definições de termos da diretiva 95/46/CE e ao enquadramento, ou não, da Comunidade das Testemunhas de Jeová nestes termos.
A primeira questão buscava saber se a atividade religiosa de um modo geral estaria abarcada pela diretiva 95/46/CE , suscitando um possível conflito entre a Privacidade e a Liberdade Religiosa e se as anotações tomadas pelos membros da comunidade religiosa na atividade de pregação porta-a-porta seria considerada obtenção de dados para fins pessoais e domésticos, o que, em tese, excluiria a necessidade de adequação as normas comunitárias de proteção de dados.
Já na segunda questão, o Supremo Tribunal Administrativo da Finlândia solicitou auxílio para entender o conceito de "ficheiro" de acordo com a Diretiva 95/46/CE e o GDPR, questionando se deveria ser entendido de forma restritiva como um arquivo de fichas, índice ou sistema de classificação, destinado à pesquisa de dados ou se poderia ser interpretado de maneira ampla, como um conjunto de anotações em que seria possível extrair com facilidade e sem custos desproporcionais as informações necessárias para uma utilização posterior. Essa informação seria de extrema importância para a resolução da controvérsia, pois, a Comunidade das Testemunhas de Jeová aduziu em sua defesa que mantinha apenas um conjunto de anotações desorganizadas e que não poderiam ser enquadradas como ficheiro, para fins de aplicação do GDPR.
A terceira e a quarta questões diziam respeito ao conceito de Responsável pelo Tratamento de Dados de acordo com o GDPR, trazendo a dúvida se a Comunidade das Testemunhas de Jeová poderia ser enquadrada como Responsável pelo Tratamento apenas por desempenhar papel efetivo na orientação das atividades de seus membros ou se seria necessária uma orientação escrita com recomendações e instruções específicas. Os questionamentos foram motivados pela alegação da Comunidade das Testemunhas de Jeová de que não eram os Responsáveis pelo Tratamento, eis que orientavam as atividades de seus membros, que seguiam a vontade e as ordens divinas.
O Tribunal de Justiça da União Europeia (TJ/UE) tramitou o pedido por meio do processo C-25/17, respondendo as questões em 1º de fevereiro de 2018, por intermédio do Advogado-Geral do Tribunal de Justiça Europeu, Dr. Paolo Mengozzi.
Em relação a primeira questão, o TJ/UE entendeu que a recolha de dados pelos membros da Comunidade das Testemunhas de Jeová na atividade de pregação porta-a-porta não se afigura obtenção para fins pessoais e domésticos, sujeitando-se, portanto, às normas de proteção de dados previstas no direito comunitário. Sobre a Liberdade de Religião, o TJ/UE entendeu pela inexistência de violação ao direito, eis que não se impõe qualquer restrição a atividade de pregação porta-a-porta, regulamentando-se apenas a forma de armazenamento de eventuais dados colhidos na atividade, quando verificada tal situação. Entendeu-se que nesse caso a Liberdade de Religião deve caminhar em conjunto com o direito à privacidade do titular dos dados, muitas vezes sequer praticante da mesma religião.
Quanto a segunda questão, o TJ/UE entendeu que ainda que não fosse organizado formalmente em fichas estruturadas, "o conjunto dos dados pessoais recolhidos de forma não automatizada pelos membros de uma comunidade religiosa, no âmbito de uma atividade como a que está em causa no processo principal, segundo uma repartição geográfica determinada e que tem como finalidade a preparação das visitas posteriores às pessoas com as quais se iniciou um diálogo espiritual pode constituir um ficheiro".
No terceiro e quarto questionamentos, o TJ/UE entendeu pela aplicação ampliada do conceito de Responsável pelo Tratamento dos Dados, aduzindo que "uma comunidade religiosa, que organiza uma atividade de pregação no âmbito da qual são recolhidos dados pessoais, pode ser considerada responsável pelo tratamento, apesar de ela própria não ter acesso aos dados pessoais assinalados pelos seus membros." O TJ/UE entendeu pela inexigibilidade da comprovação de instruções escritas aos membros, bastando a comprovação de que a comunidade religiosa esteja em condições de exercer influência sobre a forma de tratamento dos dados coletados.
Segundo informações colhidas no último censo do IBGE, 92% (noventa e dois por cento) dos brasileiros são adeptos ou possuem familiaridade com alguma religião, sendo que na maioria delas são coletados dados enquadrados na LGPD como sensíveis de e por seus membros, havendo grande probabilidade de que discussões como as acima apontadas sejam objeto de atenção pela Autoridade Nacional de Proteção de Dados, recomendando-se que os lideres religiosos já se previnam e adotem políticas de proteção dos dados adequadas à LGPD.
Outro processo interessante de ser analisado é o pedido de decisão prejudicial apresentado pela High Court (Tribunal Superior da Irlanda), em caso envolvendo a transferência internacional de dados entre o Facebook Ireland Ltd. e o Fecebook Inc., sua sociedade-mãe, sediada nos EUA.
O litígio central foi proposto pelo Comissário para a Proteção de Dados da Irlanda, Data Protection Commissioner (DPC), por conta de uma queixa de um cidadão austríaco, denominado M. Schrems, que alegou que as práticas de vigilância estatal exercidas pelas autoridades públicas dos EUA seriam incompatíveis com as normas de proteção de dados da UE, razão pela qual se opunha à transferência de dados entre o Facebook Ireland e o Facebook Inc., afirmando haver violação ao GDPR.
As questões prejudiciais apresentadas possuíam tamanha importância que diversas empresas e estados-membros se manifestaram sobre o assunto, destacando-se os Estados Unidos da América e os Governos belga, checo, alemão, neerlandês, austríaco, polaco, português e do Reino Unido, além das sociedades empresariais EPIC, BSA e Digitaleurope.
Embora a questão prejudicial posta ao TJUE dissesse respeito à validade ou não da decisão 2010/87, que previu as cláusulas contratuais-tipo necessárias para a transferência de dados internacionais, na LGPD denominadas como cláusulas-padrão, o ponto importante que ressalto é acerca da deliberação sobre a possibilidade da autoridade de proteção de dados impor restrições à transferência de dados para países terceiros, mesmo quando há contratos celebrados em que constem as cláusulas-tipo, sendo necessária a observância das garantias adequadas, que também passam por uma legislação similar ao GDPR em relação às intervenções estatais.
Assim, no âmbito da decisão prejudicial, o TJ/UE ressaltou que mesmo com a celebração de contrato incluindo as cláusulas-tipo, a constatação da insegurança no tratamento dos dados pessoais no país terceiro autoriza a determinação de suspensão ou encerramento das transferências por parte da autoridade de controle. Apenas a título de curiosidade, no processo que gerou a questão prejudicial a High Court foi reconhecido indícios de que, por conta de seus programas de fiscalização e vigilância, os EUA procedem a tratamentos massivos e indiscriminados de dados pessoais que podem expor os titulares dos dados a um risco de violação dos seus direitos.
Outros tantos julgados do TJUE podem ser utilizados como ensinamentos para fins de adequação das empresas brasileiras a LGPD, como o processo C-708/18, que tratou da videovigilância para garantir a segurança e proteção das pessoas, bens e valores, o processo C-507/17, que tratou da supressão de referências nos motores de busca na internet tendo como parte o Google LLC., o processo C-345/17, que tratou da publicação dos vídeos gravados pelos agentes de segurança durante a execução de atos procedimentais, comparando a Privacidade e a Liberdade de Expressão, dentre tantos outros.
O que pretendo demonstrar com esse artigo é que a simples análise do texto da LGPD não é suficiente para proteger as empresas brasileiras de futuras autuações ou responsabilizações, até pela incompletude da legislação, sugerindo-se que os profissionais que assessoram as empresas se atentem para as questões já decididas pelas Cortes de outros países, em especial pelo TJUE.
Por óbvio, sei que as decisões não serão as mesmas, até por conta da necessidade de os julgadores levarem em causa os fatores macroambientais do país, contudo, em um mundo cada vez mais globalizado, ainda mais quando falamos de tratamento de dados, fontes internacionais ganham uma importância ainda maior.
Finalizo lembrando que adequar a empresa apenas para a LGPD é ignorar diversas oportunidades futuras de crescimento, sendo o ideal que a empresa esteja, também, em consonância com as normas internacionais de proteção de dados. Nesse sentido, realizar a adequação de acordo com o GDPR significa dizer que a empresa está apta a negociar com mais de 500 milhões de pessoas e mais de 27 (vinte e sete) países que compõem o bloco, o que se traduz em uma infinidade de opções.
_________
European Privacy Framework. Disponível clicando aqui
Governo Federal. Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados. Disponível clicando aqui acessado no dia 22/9/20;
IBGE. Censo 2020 . Disponível clicando aqui
KRUG, Clara. A segurança digital da Europa. Disponível clicando aqui
Lex Magister - A Diretiva Europeia sobre Proteção de Dados Pessoais - uma Análise de seus Aspectos Gerais. Disponível clicando aqui
The History of the General Data Protection Regulation. Disponível clicando aqui
Tribunal de Justiça da União Europeia. Processo C-25/17. Disponível clicando aqui acessado no dia 22/9/20.
Tribunal de Justiça da União Europeia. Processo C-311/18. Disponível clicando aqui acessado no dia 22/9/20;
Tribunal de Justiça da União Europeia. Processo C-708/18. Disponível em clicando aqui acessado no dia 22/9/20;
Tribunal de Justiça da União Europeia. Processo C-507/17. Disponível clicando aqui acessado no dia 22/9/20;
Tribunal de Justiça da União Europeia. Processo C-136/17. Disponível clicando aqui acessado no dia 22/9/20;
Tribunal de Justiça da União Europeia. Processo C-272/19. Disponível clicando aqui acessado no dia 22/9/20;
União Europeia. Escudo de Proteção da Privacidade UE-EUA: Terceira análise congratula-se com os progressos realizados e identifica medidas para progredir. Disponível clicando aqui
União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. Disponível clicando aqui
_________
*Thiago Barelli Bet é sócio do escritório Barelli & Gastaldello Advogados Associados. Especialista em Direito Processual Civil e em Direito Civil. Mestrando em Direito Civil pela Faculdade de Direito da Universidade de Lisboa.