Contratação de software em nuvem no estrangeiro e a estratégia de eleição do foro pela lei de privacidade mais favorável

Nos últimos anos, a adoção de softwares em nuvem (SaaS - Software as a Service) tem se tornado uma tendência cada vez mais relevante no cenário corporativo global. Com a crescente necessidade de flexibilidade, redução de custos e eficiência operacional, empresas dos mais diversos os ramos estão migrando suas operações para soluções baseadas na nuvem.

Uma das principais vantagens da contratação de software em nuvem é a redução dos custos operacionais. Empresas que utilizam sistemas tradicionais geralmente precisam investir em servidores físicos, manutenção, atualizações de hardware e infraestrutura. Com a opção da nuvem, os custos são transferidos para o provedor de serviços, o que resulta em uma economia significativa.

Nesse sentido, os EUA têm desempenhado um papel central na popularização de softwares em nuvem, principalmente devido ao custo elevado dos servidores e da hospedagem brasileira e também à presença de grandes provedores norte-americanos de SaaS como AWS - Amazon Web Services¹, Microsoft Azure² e Google Cloud. Esses gigantes tecnológicos têm democratizado o acesso a soluções avançadas e personalizáveis, o que impulsiona ainda mais a demanda.

No entanto, surgem preocupações em torno da segurança e da privacidade dos dados e a lei aplicável ao tratamento, tendo em vista o envio desses dados à país estrangeiro. Sendo assim, é mister ressaltar uma percepção recente que tive em minha atuação na área: a crescente prática de eleição do melhor país para o tratamento e processamento dos dados em nuvem, levando em consideração a lei de privacidade mais favorável, isto é, a menos conflitante, a que possibilitará a plena e exclusiva aplicabilidade da LGPD.

No sistema dos EUA, o legislativo é estruturado de maneira descentralizada, o que significa que diferentes estados podem ter legislações distintas sobre a proteção de dados. Enquanto o país como um todo não possui uma lei federal de proteção de dados equivalente ao GDPR ou à LGPD, vários estados têm implementado suas próprias regulamentações para garantir a privacidade e a segurança das informações pessoais.

A Califórnia, por exemplo, se destaca com o CCPA - California Consumer Privacy Act, uma das legislações mais rigorosas e avançadas em relação à privacidade de dados nos EUA. O CCPA oferece aos consumidores o direito de saber quais dados estão sendo coletados sobre eles, o direito de excluir esses dados e o direito de optar por não ter seus dados vendidos a terceiros, e tem a sua aplicabilidade a todas as empresas que processem dados de residentes da California ou que tenham receita bruta anual superior à $ 25.000.000 (vinte e cinco milhões de dólares)³. A lei da Califórnia é vista como um marco importante, e outros estados começaram a seguir o exemplo, elaborando suas próprias regulamentações.

Em comparação com a GDPR, por exemplo, a aplicabilidade da norma europeia se estende a empresas que oferecem bens ou serviços ou que realizam o tratamento de dados na União Europeia⁴, mesmo que não estejam estabelecidas na Europa, o que torna o foro não tão atrativo, visto que podem haver, em concomitância, a aplicação de duas legislações sobre privacidade, a brasileira e a europeia.

Portanto, no momento de contratar um software em nuvem, os EUA têm se mostrado como um local mais atrativo, com a ressalva da atenção ao estado em que o provedor de serviços está sediado e sob qual jurisdição as operações estarão submetidas. A eleição de um estado com uma legislação mais favorável em termos de interpretação da lei de proteção de dados pode ser decisiva para a conformidade e a mitigação de riscos. Estados como Nevada (NPICICA), Colorado (CPA), Virginia (VCDPA) e Utah (UCPA) já começaram a adotar legislações de proteção de dados, mas a aplicação e o rigor dessas leis podem variar significativamente.

Essa dinâmica, embora possa causar desafios para empresas que atuam em vários estados, também abre oportunidades para que empresas escolham estados cujas leis sejam mais adequadas ao seu modelo de negócio. A legislação da Vírginia, por exemplo, possui uma abordagem muito favorável às empresas brasileiras, eis que a VCDPA - Virgínia Consumer Data Protection Act⁵ dispõe que a legislação só irá se aplicar às empresas que realizarem o tratamento dos dados de cidadãos da Virgínia.

Nos termos da VCDPA, § 59.1-576. Âmbito; isenções: "A. Este capítulo se aplica a pessoas que conduzem negócios na comunidade ou produzem produtos ou serviços direcionados a residentes da Comunidade e que (i) durante um ano civil, controlam ou processam dados pessoais de pelo menos 100.000 consumidores ou (ii) controlam ou processam dados pessoais de pelo menos 25.000 consumidores e obtêm mais de 50 por cento da receita bruta da venda de dados pessoais".

Essa disposição, que exige que os produtos ou serviços sejam "direcionados a residentes da Comunidade" (ou seja, aos habitantes da Virgínia), implica que, mesmo que uma empresa estrangeira esteja processando dados nos EUA, a legislação estadual só será aplicável se os dados pertencerem a residentes da Virgínia. Isso proporciona às empresas brasileiras que operam em solo americano uma maior flexibilidade ao lidar com os dados de seus próprios cidadãos.

Esse ponto específico da VCDPA, com relação a limitação de sua aplicação a residentes da Virgínia, harmoniza-se com o art. 3º, II e III da LGPD (lei geral de proteção de dados do Brasil), que determina que a LGPD será aplicável ao tratamento de dados de indivíduos localizados no Brasil, independentemente de onde o tratamento ocorra. Ou seja, mesmo que a empresa brasileira processe dados de cidadãos brasileiros nos EUA, a LGPD será a legislação unicamente aplicável, garantindo mitigação de eventuais litígios em solo estrangeiro, além de reduzir riscos pela aplicação de uma legislação "caseira".

Por outro lado, o desafio para as empresas é a necessidade de monitorar constantemente os dados que estão sendo processados e determinar se eles se aplicam ou não às disposições da VCDPA. Negócios que atendem clientes em várias jurisdições dos EUA podem precisar implementar políticas de privacidade altamente detalhadas para garantir que os dados de residentes da Virgínia sejam tratados de acordo com a legislação local, enquanto os dados de outros consumidores sigam suas respectivas legislações.

Portanto, ao escolher o processamento de dados em nuvem no Estado da Virgínia, as empresas brasileiras podem se beneficiar de uma estrutura legal menos intrusiva no que diz respeito aos dados de cidadãos não americanos, como é o caso dos brasileiros. Isso lhes permite operar com maior segurança, sabendo que a LGPD continua a ser a principal legislação aplicável para os dados de cidadãos brasileiros, enquanto a VCDPA apenas regula os dados de residentes da Virgínia.

Sob a ótica da regulamentação brasileira, cabe destacar que a autoridade nacional de proteção de dados, por meio recente resolução CD/ANPD 19/24 regulou as cláusulas padrão que devem ser inseridas nos contratos de processamento de dados em nuvem. Dessa forma, as empresas que adotarem esse modelo de operação devem incluir essas disposições obrigatórias em seus acordos com os fornecedores de SaaS, assegurando conformidade com as exigências da LGPD.

Por fim, ressalto que a escolha estratégica da legislação aplicável pode ser a diferença entre o sucesso e o fracasso na gestão de dados pessoais em escala internacional, garantindo maior segurança jurídica e previsibilidade, além da conformidade com a lei de privacidade brasileira.