Nossa sociedade se transforma desde sua origem. Ao longo dos séculos, as mudanças pelas quais passou impactaram múltiplas esferas e se materializam por meio de motivações de naturezas diversas. Isso não ocorreu de forma constante e linear. Pelo contrário, enquanto algumas transformações se materializam em silêncio, ao longo de anos e décadas, outras são fruto de rupturas imediatas.1

Nesse contexto, não há dúvidas de que a sociedade se encontra em um estágio de transformação sem precedentes. Trata-se de uma fase iniciada pela popularização da internet e pelo desenvolvimento exponencial de novas tecnologias e, por consequência, de novos modelos de negócio.

O avanço de tecnologias tais como objetos conectados, assistentes virtuais, inteligência artificial, servidores em nuvem, assim como a disseminação da utilização de computadores pessoais e de celulares, conduziram o desenvolvimento de modelos econômicos baseados na coleta e no processamento de informações, incluindo dados pessoais 2, e romperam barreiras geográficas. 

O tratamento de dados em grande escala através de programas de computador cada vez mais eficientes passou a influenciar a tomada de decisões em diferentes níveis: governos, empresas e pessoas fazem escolhas diárias influenciados por análises de dados. O uso de informações estruturadas também influencia o aprimoramento acelerado de áreas imprescindíveis para a humanidade, como medicina e segurança.  

O lugar preponderante ocupado pelos dados pessoais dos indivíduos nessa nova era gerou impactos relevantes em diversos setores da sociedade, o que provocou uma reflexão importante sobre a necessidade de que garantias e proteções sejam concedidas a esses dados, com o objetivo de regulamentar o seu tratamento 3por terceiros, sobretudo quando eles transitam por diferentes jurisdições. 

Atualmente, diversos são os mecanismos que visam a garantir a proteção de dados pessoais no âmbito internacional: instrumentos jurídicos internacionais reconhecem a proteção aos dados pessoais como direitos básicos dos indivíduos, regulações locais têm escopo de aplicação extraterritorial, e, em paralelo, preveem a necessidade da implementação de mecanismos de salvaguarda para fluxos internacionais de informações. 

No entanto, a implementação desses mecanismos no ambiente internacional é permeada por desafios, pois exige alinhamento e cooperação entre os países que se predispuserem a trabalhar na concretização de um ordenamento jurídico de proteção de dados comum que garanta um livre fluxo de informações de forma segura, enquanto evidencia conflitos de posicionamentos influenciados por aspectos políticos, econômicos, históricos e culturais.  

O presente verbete tem como objetivo examinar os avanços da proteção de dados pessoais nas últimas décadas e como as normas relacionadas à matéria interagem na cena internacional. Também serão abordadas as principais questões e desafios evidenciados pelo arcabouço regulatório de proteção estabelecido. 

1. Evolução da proteção de dados pessoas na cena internacional


Por serem informações capazes de identificar, direta ou indiretamente, um indivíduo, é natural que os titulares de dados pessoais4  gozem de direitos e garantias em relação ao seu tratamento por terceiros, independentemente de qualquer aspecto geográfico. Afinal, o uso inadequado de tais informações é capaz de gerar impactos sobre outros direitos relevantes assegurados ao detentor do dado, como os direitos à privacidade, à liberdade, à segurança e à igualdade. 

A proteção dos dados pessoais não é uma novidade para diversos sistemas jurídicos do mundo. Pelo contrário, textos legais preveem tal proteção há décadas. No entanto, mesmo esses textos necessitaram se adaptar com o passar dos anos para garantir que a proteção jurídica atribuída aos dados pessoais acompanhe a evolução do lugar ocupado por eles na sociedade da informação na qual vivemos. 

A Europa, por exemplo, por razões históricas e políticas, é um continente muito atento à proteção dos direitos humanos e fundamentais dos indivíduos. Os países do continente não tardaram a alçar, individual ou coletivamente, a proteção aos dados pessoais à categoria de direito fundamental. Não por acaso, o continente europeu exerce grande influência na delimitação do arcabouço de proteção de dados na esfera internacional.

A construção de um sistema jurídico de proteção de dados na Europa se iniciou com a adoção de leis nacionais que regulavam o assunto: uma tradição inaugurada pela Alemanha e seguida por outros Estados, como a França. A adoção de leis da referida natureza pela Alemanha 5e pela França 6 ocorreu no final da década de 1970 e foi motivada, principalmente, por uma rejeição popular ao aumento da intervenção do Estado na vida privada dos cidadãos, propiciada pelo uso de sistemas automatizados para o processamento de informações. 7 Tal rejeição foi estimulada pela experiência recente dos europeus com o intervencionismo que caracterizou os governos totalitários na primeira metade do século XX, especialmente o nazista.

As discussões iniciadas no continente causaram seu primeiro impacto formal no âmbito internacional em 1980, quando a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) adotou as Diretrizes para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais, 8 vigentes até os dias de hoje. Tal documento, ainda que sem caráter vinculante, estabeleceu os princípios que deveriam guiar o tratamento de dados pessoais e inspiraram diversos textos legais adotados posteriormente no mundo. 

Na sequência, o Conselho da Europa reconheceu em 1981, por meio da Convenção 108, 9 disponível para adesão por países europeus e não europeus, que a proteção à privacidade e aos dados pessoais são fundamentais à manutenção dos direitos dos homens. Trata-se do primeiro texto legal internacional sobre o tema de natureza vinculante, que em 2021 conta com 55 ratificações, das quais 9 por países não-europeus.10  Em 2018, o Conselho da Europa propôs a modernização da Convenção 108 (Convenção 108+), sob a justificativa da necessidade da adaptação do texto original às novas tecnologias de informação e comunicação e para reforçar sua implementação efetiva. 11

Em momento posterior à adoção da Convenção 108+, nos anos 2000, a União Europeia reconheceu o caráter de direito fundamental da proteção de dados pessoais por meio do artigo 8º da Carta de Direitos Fundamentais da União Europeia. 12

Não obstante o fato de que o reconhecimento do direito em referência como direito fundamental constitui uma etapa relevante na história da proteção dos dados pessoais, na União Europeia a proteção de dados pessoais já havia sido regulada de maneira aprofundada por meio da Diretiva 95/46/CE 13 adotada em 1995, relativa à proteção e ao tratamento de dados pessoais e à livre circulação dessas informações.

A Diretiva 95/46/CE foi integrada aos sistemas jurídicos dos Estados-membros da União Europeia e previa os direitos e garantias que deveriam ser atribuídos aos indivíduos quando do tratamento de suas informações por terceiros, de forma geral. Por muito tempo, tratou-se do texto principal regulando o tema na União Europeia, que em 2018 foi substituído pelo Regulamento Geral sobre a Proteção de Dados14 (RGPD), mais atento às particularidades do tratamento de dados pessoais na atual conjuntura.

Na esteira dos movimentos do continente europeu, a segunda metade do século XX e o início do século XXI foram marcados pela adoção de legislações para regular a proteção de dados pessoais ao redor de todo o mundo. Segundo o mapa das legislações de proteção de dados ao redor do globo 15, disponibilizado pela Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD), em 2020, 66% dos países reconhecidos pela Organização das Nações Unidas possuíam legislação regulando, de forma setorial ou geral, a matéria, enquanto 10% dos países estavam no processo de adoção de um diploma legal nesse sentido. 

Ainda que os textos legais que tratam de proteção de dados já adotados nos mais diferentes níveis tenham abordagens regulatórias distintas, o que será melhor detalhado na próxima seção deste verbete, há uma certa concordância ao redor do mundo sobre os princípios que devem reger o tratamento de dados pessoais, em linha com as Diretrizes da OCDE.16  O relatório intitulado “Regulação de Proteção de Dados e  Fluxos Internacionais de Dados: Implicações para o Comércio e o Desenvolvimento” da Seção de Análise de Tecnologias de Informação da Divisão de Tecnologia e Logística da UNCTAD,17  publicado em 2016,  trata do assunto de forma muito precisa: 

“Embora numerosas iniciativas nacionais, regionais e internacionais [de proteção de dados] tenham adotado abordagens regulatórias bastante diferentes, existe um grau notável de harmonização e coerência em torno dos princípios fundamentais que as sustentam, como discutido abaixo. 

Os princípios comuns incluem a necessidade de ter uma razão legítima para qualquer atividade de processamento, obtida através de consentimento ou de alguma outra justificativa que equilibre os interesses privados e públicos que possam se sobrepor. As obrigações relativas à qualidade dos dados pessoais que estão sendo processados é outro princípio fundamental, exigindo que os dados sejam precisos, completos e mantidos atualizados. O cumprimento deste princípio deve ser mutuamente benéfico tanto para o sujeito do processamento quanto para o processador. 

O papel da segurança dos dados é fundamental. Seja física, lógica ou organizacional, as medidas de segurança devem proteger contra atos deliberados de uso indevido, bem como a perda ou destruição acidental de dados. Assim como em relação às questões de qualidade dos dados, a implementação de medidas de segurança apropriada deve combinar as necessidades dos indivíduos, da entidade que processa os dados pessoais e, de fato, da sociedade em geral. Os formuladores de políticas reconhecem cada vez mais a Internet tanto como uma "infra-estrutura nacional crítica", sobre a qual uma proporção crescente das atividades econômicas e sociais diárias é realizada, quanto como uma fonte de vulnerabilidade e ameaça. Abordar esta dualidade e implementar medidas adequadas de segurança de dados deve ser um componente central da resposta política”. [tradução livre] [grifou-se]

O atual cenário da regulação de proteção de dados pessoais no mundo demonstra o lugar de relevância que passou a ser ocupado pelo assunto no âmbito do direito e do desenvolvimento de políticas nacionais e internacionais. Além de proteger direitos humanos e civis, as normas sobre o assunto também têm sido vistas por muitos atores da sociedade como necessária para o desenvolvimento da inovação e para garantir o bom desenvolvimento das relações internacionais.


2. Principais abordagens regulatórias de proteção de dados pessoais ao redor do mundo


A regulação da proteção de dados pessoais ao redor do mundo ocorre a partir de diferentes abordagens, a depender de diversos fatores, como a forma pela qual os países se organizam internamente e seus costumes jurisdicionais.  A principal diferença dessas abordagens se baseia no alcance material das normas de proteção de dados. Nesse sentido, os modelos mais recorrentes são os de regulação setorial ou geral. 

O primeiro modelo se baseia na propositura de legislações esparsas que regulam o tratamento de dados pessoais com foco em elementos específicos. As regulações podem ser direcionadas, por exemplo, ao setor público ou ao privado, a determinados setores do mercado (saúde, financeiro etc.), e a categorias de titulares de dados distintos (pacientes, consumidores, crianças etc.).

Referido modelo apresenta como ponto positivo a abordagem mais detida de aspectos característicos que podem surgir no tratamento de dados pessoais na esfera regulada. Por outro lado, países que adotam apenas regulações setoriais geralmente possuem brechas na sua legislação, deixando tratamentos de dados relevantes que ocorrem em outros contextos desguarnecidos de regras. 18 Ainda, entidades que estão sujeitas a mais de uma lei setorial em uma jurisdição podem ter maior dificuldade para garantir um nível satisfatório de adequação, uma vez que precisam estar atentas a diplomas distintos e observar que, ao cumprir um deles, não irá descumprir o(s) outro(s). 

O exemplo mais relevante de jurisdição que atualmente se baseia em uma abordagem setorial de regulação da proteção de dados pessoais é a dos Estados Unidos da América, país que, na esfera federal, não possui uma lei geral para regular o tema.  Por outro lado, há inúmeros textos legais que se aplicam a setores regulados ou que protegem categorias de titulares distintos. A título exemplificativo, o Gramm Leach Billey Act (GLBA) 20governa o tratamento de dados pessoais pelo setor financeiro, o Health Information Portability and Accountability Act (HIPAA)21  protege dados pessoais tratados por entidades do setor da saúde, e dados pessoais de crianças são protegidos pelo Children Online Privacy Protection Act (COPPA)22. Austrália e Canadá são outros exemplos de países que se guiam pela abordagem setorial. 23

O segundo modelo propõe que um mesmo regime de proteção de dados se aplique a todos os tratamentos de dados pessoais independentemente de elementos específicos. Desse modo, todas as entidades – públicas ou privadas – que tratem dados pessoais estarão, via de regra, sujeitas às mesmas obrigações, enquanto todo titular de dados terá acesso às mesmas garantiras e direitos. 

A grande vantagem dessa abordagem é que ela tende a atribuir maior segurança jurídica tanto às entidades que tratam dados pessoais – que passam a ter maior previsibilidade quanto às suas possibilidades e limites -, quanto aos titulares dos dados. Assim, embora regulações gerais requeiram um esforço generalizado de adequação, elas contribuem com um ambiente mais propício para o desenvolvimento econômico e tecnológico de sociedades e para a segurança de seus titulares. 

O grande representante desse modelo é o RGPD da União Europeia 24, que versa sobre os princípios e determina as regras, obrigações e direitos que deverão ser comuns a todos os tratamentos de dados pessoais levados a cabo por qualquer entidade, pública ou privada, sujeita à jurisdição do bloco político-econômico. Além da União Europeia, países como Brasil, com a Lei Geral de Proteção de Dados (Lei Federal 13.709/2018 ou LGPD) 25, a Argentina, com a Ley de Protección de los Datos Personales (Lei 25.326/2000 ou PDPA),26 e o Japão, com o Act on the Protection of Personal Information (Lei  57/2003 ou APPI), 27seguem o modelo de regulação geral em relação à proteção de dados pessoais. 

Importante ressaltar que essa abordagem regulatória não impede que Estados baseados em leis gerais emanem também leis específicas que regulem o tratamento de dados pessoais de forma setorial. Na realidade, esse modelo híbrido é bastante recorrente, principalmente diante do fato de que muitos países já possuíam leis setoriais quando adotaram regulações gerais e, na maioria dos casos, não optaram pelo caminho da revogação das primeiras. 

Apenas como referência, na União Europeia, por exemplo, a Diretiva 2002/58 CE 28, conhecida como “e-Privacy” regula a proteção da privacidade no âmbito do setor de comunicações eletrônicas, enquanto a Diretiva (UE) 2016/680 29regula o tratamento de dados pessoais para fins de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais. No Brasil o tratamento de dados pessoais  também é objeto de outros diplomas normativos, como do Código de Defesa do Consumidor (Lei Federal 8.078/1990)30, que regula a proteção dos consumidores, do Marco Civil da Internet (Lei Federal 12.965/2014)31 , que disciplina o uso da internet no Brasil, e do Código de Ética Médica (Resolução CFM 2.217/2018)32, que determina as normas a serem seguidas pelos médicos no exercício de sua profissão no país.

O maior desafio da abordagem híbrida de regulação consiste em garantir coerência entre os diplomas gerais e setoriais. Garantir tal consistência na adoção de leis setoriais posteriores às leis gerais é tarefa possível, bastando, para tanto, a atenção dos legisladores na propositura dos diplomas mais recentes. As antinomias jurídicas envolvendo leis setoriais e gerais já incorporadas pelo ordenamento jurídico, no entanto, precisarão ser resolvidas por meio dos processos de interpretação a serem conduzidos pelos operadores do direito. Os conflitos de lei em modelos regulatórios híbridos representam um contraponto à segurança jurídica típica das abordagens gerais de regulação de proteção de dados. 

Não há dúvidas de que a principal diferença de abordagens de regulação ao redor do mundo se relaciona com o alcance material das normas legais. De todo modo, outra diferença relevante que merece conhecimento diz respeito ao método para aplicação das leis. Enquanto algumas leis são exercidas pelos próprios indivíduos e por seus representantes por meio do ajuizamento de ações individuais ou coletivas, outras atribuem a autoridades públicas o ofício de fiscalizar e garantir o respeito aos direitos dos titulares de dados. Comumente, as jurisdições que adotam o segundo modelo, também garantem a aplicação das leis por meio do primeiro. 

As diferentes abordagens regulatórias existentes evidenciam que, embora a proteção de dados pessoais tenha se tornado um assunto internacional devido aos fluxos transfronteiriçoes de informações potencializados pela internet e que haja um consenso sobre os princípios que devem reger tal proteção, as entidades e os indivíduos poderão estar sujeitos a regimes distintos e, frequentemente, de aplicação concorrente, a depender dos seus escopos de aplicação territorial e material. Os desafios e questões que decorrem dessa realidade necessitam de reflexão, caso a sociedade intencione alcançar uma proteção de dados pessoais verdadeiramente internacional que ao mesmo tempo garanta proteção satisfatória aos indivíduos e o fluxo livre de informações.


3. Proteção internacional de dados em prática: aspectos relevantes


3.1. A extraterritorialidade das normas de proteção de dados e o conflito de leis


Com o decorrer do tempo, os reguladores perceberam que não atribuir um alcance extraterritorial às leis de proteção de dados frustraria o objetivo de normas dessa natureza, uma vez que a internet permite (i) que entidades tratem dados pessoais de indivíduos a partir de qualquer lugar do mundo, independentemente de onde estiverem estabelecidas fisicamente; e (ii) o fluxo de informações para além de fronteiras geográficas. 

Já que parte significativa dos Estados reconhece a proteção aos dados pessoais como elemento que compõe os direitos humanos, é natural que os legisladores vislumbrem que tal proteção acompanhe os dados pessoais em qualquer lugar do mundo. O fato de que agentes de tratamento não estejam fisicamente estabelecidos no território do qual a norma é emanada não deveria ser um obstáculo à proteção reconhecida a essas informações. 

Esse raciocínio é incitado ainda pelo fato de que a proteção conferida aos dados pessoais em determinado local nem sempre encontrará proteção correspondente no exterior. Assim, países (ou blocos político-econômicos, como a União Europeia) podem se expor a situações onde os dados pessoais de indivíduos situados no seu território estão sujeitos a uma proteção inferior àquela conferida internamente. 

Por esses motivos, as normas jurídicas de proteção de dados pessoais atentas ao impacto da internet no tratamento de tais informações foram promulgadas com previsão de aplicação extraterritorial.  O RGPD na União Europeia, a LGPD no Brasil e o COPPA nos Estados Unidos são exemplos de regulações com previsão de alcance direto a entidades não estabelecidas nos seus respectivos territórios.

A extensão unilateral do alcance territorial da jurisdição não é um fenômeno raro no direito. Pelo contrário, trata-se de mecanismo usual adotado sobretudo em matérias penal e consumerista como forma de garantir a eficácia de determinadas previsões jurídicas e a ampla tutela de direitos.  Em relação à extraterritorialidade das normas de proteção de dados, o Article 29 – Working Party Group 34 (WP29) emitiu uma opinião em 2002 concluindo que o fluxo internacional de dados pessoais deve ser objeto do direito internacional.35  Trata-se de conclusão esperada, tendo em vista as características dos fluxos de dados na internet, conforme mencionado anteriormente. Na prática, no entanto, o escopo de aplicação material dessas normas gera questões relevantes de direito.

A adoção de múltiplas normas com alcance extraterritorial versando sobre proteção de dados pessoais por países distintos e seu reconhecimento pelas regras de direito internacional dão ensejo a conflitos positivos de leis, o que pode gerar insegurança jurídica às entidades sujeitas a mais de uma norma concomitantemente e, também, entraves para a circulação de dados de forma propícia a atender os diversos interesses envolvidos em tal circulação. 

A problemática envolvendo conflitos positivos de lei foi examinada pelo W29 em relação a leis de proteção de dados, conforme abaixo: 36

“Uma pesquisa do direito internacional sugere que os Estados têm tendência a utilizar vários critérios alternativos para determinar extensivamente o escopo de aplicação do direito nacional, a fim de cobrir o maior número possível de casos no interesse de proteger o mais amplamente possível os consumidores e a indústria nacional. Inevitavelmente, esta tendência resulta na aplicação de várias leis nacionais a uma situação que envolve um elemento transfronteiriço. Os instrumentos jurídicos internacionais, portanto, tentam determinar os critérios relevantes de forma neutra e não discriminatória. Entretanto, a mais recente tentativa de progredir em uma minuta convenção sobre a lei aplicável aos contratos sob os auspícios da "Haia A "Conferência" falhou, porque os países não conseguiram chegar a acordo sobre o critério decisivo. Isto indica o cerne do problema ao discutir a lei aplicável: um equilíbrio justo tem a serem atingidos entre os vários interesses dos países envolvidos”. [tradução livre – grifou-se]

Um exemplo bastante emblemático de conflitos de leis versando sobre dados pessoais decorre da sobreposição entre o Cloud Act37, adotado pelos Estados Unidos dois meses antes da entrada em vigor do RGPD, e a norma europeia. Em suma, o Cloud Act permite que autoridades americanas requeiram dados pessoais a empresas americanas, independentemente de onde os dados estejam localizados, por meio de simples ordens judiciais e mandados no âmbito de investigações. A norma americana dispensa a necessidade de que haja um Acordo de Cooperação Internacional (MLAT) entre os Estados Unidos e o país onde estejam localizadas as informações para que haja sua divulgação. 

Ocorre que o RGPD estabelece que, para que haja o tratamento de dados pessoais – incluindo transferências internacionais -, deve haver uma base legal válida que o justifique. Ainda, a norma europeia estabelece que a transferência internacional de dados fundada em uma ordem judicial apenas poderá ocorrer se baseada em um acordo internacional 38, como um MLAT. 39 Ao examinar esses requisitos à luz do Cloud Act, o European Data Protection Board (EDPB) 40 concluiu que seria ilegal a disponibilização de dados pessoais por empresas americanas sujeitas ao RGPD com base na norma americana,  uma vez que não haveria uma base legal válida para justificar tal disponibilização e que não há, entre a União Europeia e os Estados Unidos, acordo internacional que viabilize a execução de decisões fundamentadas pelo Cloud Act. Em outras palavras, o RGPD e o Cloud Act seriam incompatíveis entre si.

A conclusão do EDPB representa desafios às entidades sujeitas concomitantemente aos dois textos legais. Afinal, se uma empresa americana é intimada a disponibilizar dados pessoais coletados e armazenados na União Europeia no âmbito de uma investigação nos Estados Unidos, ela dificilmente conseguirá atender à ordem sem violar o RGPD.  Esse é apenas um caso de conflitos entre leis, mas situações similares com outras jurisdições tendem a ocorrer. 

O cerne da questão é que o conflito positivo de leis cria ônus aos entes privados com atuação internacional (que representam, cada vez mais, parcela relevante das empresas no mercado), que mesmo que não meçam esforços para se adequar às leis às quais estão sujeitos, se deparam com impasses jurídicos de impossível solução.  

O cenário em destaque reforça o debate sobre a necessidade de iniciativas mundiais e coerentes na regulação de aspectos de proteção de dados pessoais. A esse respeito, Paul Hert e Michal Czerniawski escreveram: 42

“O trabalho não deve parar aí e também deve se voltar para conflitos de jurisdições envolvendo partes não pertencentes à UE. Tanto Thornauer quanto Reed enfatizam a necessidade de complementar abordagens unilaterais com as abordagens multilaterais para buscar normas e regras comuns para resolver conflitos jurisdicionais. Isto não só é garantido pelo interesse do indivíduo (seja o controlador/processador ou o sujeito dos dados), mas também pelos interesses do Estado em coexistir. Conflitos de jurisdição dentro da União colocam em perigo o processo de integração europeia, os conflitos de jurisdição com países terceiros são igualmente perigosos”. [tradução livre] [grifou-se]

A adoção de normas com efeito extraterritorial que imponham obrigações incompatíveis e concorrentes às mesmas entidades, é um desestímulo à dinamicidade dos fluxos internacionais de dados que ocupam papel de destaque no desenvolvimento da sociedade, além de poder gerar embates entre Estados soberanos.


3.2. Cooperação internacional e proteção de dados


Para que conflitos positivos de leis sejam cada vez menos recorrentes, é necessário que haja  estímulo à cooperação internacional no âmbito da proteção de dados. Trata-se, sem dúvidas, de um meio para a pavimentação de um caminho comum na regulação da matéria pelos diversos Estados com participação relevante na cena internacional, garantindo maior segurança jurídica aos indivíduos e entidades privadas e maior fluidez para os fluxos transfronteiriços. 

Nesse sentido, a Convenção 108, anteriormente mencionada, é sem dúvida o principal diploma internacional a reconhecer e estimular a assistência mútua entre seus signatários, objetivando dar eficiência à proteção aos dados pessoais de forma global. 

O artigo 13 da Convenção 108 determina que todos os signatários deverão se auxiliar mutuamente com o objetivo de implementá-la (art. 13.1.) e deverão designar uma ou mais autoridades nacionais como responsáveis para tal missão (art. 13.2.).  Do referido dispositivo legal, decorrem na prática duas principais atribuições aos Estados signatários (art. 13.3): (a) o fornecimento mútuo de informações sobre as leis e práticas administrativas internas relacionadas ao campo de proteção de dados pessoais; e (b) a adoção de medidas para fornecer, na extensão permitida pela lei nacional, informações factuais relacionadas a processamentos de dados pessoais que ocorram em seu território (o compartilhamento dos dados pessoais objetos dos processamentos está fora do escopo da obrigação). 

Já o artigo 14 da Convenção 108 estabelece a obrigação dos Estados signatários de dar assistência aos indivíduos estrangeiros no exercício de seus direitos relativos à proteção de dados pessoais, inclusive quanto aos direitos reconhecidos no Estado de origem do indivíduo, por meio da cooperação entre as autoridades (art. 14.2). 

A Convenção 108+, se adotada, também conterá previsões importantes para reforçar a cooperação internacional prevista no texto original da Convenção 108. 43 O aumento da eficiência da cooperação entre os Estados foi, na verdade, um dos motivos que levou à proposta de modernização desta última. 44

Dentre as novidades propostas está a obrigação de cooperação na coordenação de investigações e na tomada de medidas conjuntas pelas autoridades nacionais de proteção de dados, nos casos que envolvam fluxos sujeitos às jurisdições de mais de um Estado signatário.  A Convenção 108+ também prevê a criação de um fórum envolvendo tais autoridades para organizar a cooperação e as obrigações previstas na norma. 45

Além da Convenção 108, outras iniciativas e mecanismos velam pela cooperação internacional para a proteção à privacidade e aos dados pessoais.

A OCDE possui um grupo de trabalho em segurança e privacidade na economia digital (“Working Party on Security and Privacy in the Digital Economy”) que reúne especialistas em políticas públicas dos países membros e parceiros da OCDE, de empresas, da sociedade civil e de técnicos em internet, para compartilhar experiências sobre segurança e privacidade em um ambiente interconectado aberto e globalizado. 46No  âmbito do grupo de trabalho, a OCDE emitiu uma recomendação em  2007 incentivando a cooperação entre as autoridades na execução das leis locais de proteção de dados pessoais. 47

Outro exemplo é a Global Privacy Assembly (GPA), organização que conta com a participação de mais de 130 autoridades de proteção de dados pessoais do mundo, fundada em 1979 e que se encontra anualmente com o objetivo de incitar o desenvolvimento de lideranças em proteção de dados e privacidade. A GPA adota resoluções e possui grupos de trabalho voltados para o impacto de temas relevantes ao desenvolvimento da sociedade da informação. 48

Grupos e iniciativas internacionais com recorte regional também se organizam com o intuito de trabalhar no desenvolvimento de entendimentos e em esforços relacionados a interesses e preocupações comuns de seus membros. A French Speaking Association of Personal Data Protection Authorities (AFAPDP) 49 e o Asia Pacific Privacy Forum (APPA)50  são organizações que representam essa categoria.

A cooperação internacional, não só do ponto de vista prático (por exemplo, por meio dos novos mecanismos propostos pela Convenção 108+), mas também teórico (através de grupos de estudos sobre temas relevantes e trocas de informações sobre práticas internas e leis nacionais pelas autoridades), tende a auxiliar a padronização do arcabouço jurídico de proteção de dados pessoais ao redor do mundo e a tomada de medidas coordenadas e efetivas pelas autoridades de proteção de dados. 

Isso porque a intensificação de tal cooperação em casos envolvendo a tutela de dados pessoais contribuirá para que as autoridades nacionais e, consequentemente, os próprios Estados, desenvolvam valores e regras jurídicas de proteção de dados pessoais cada vez mais alinhados. Nesse ambiente, espera-se que, ao menos de modo geral, os conflitos entre leis com dispositivos incompatíveis tornem-se cada vez mais raros, o que reforçará a segurança jurídica dos envolvidos nos fluxos internacionais de informações.


3.3. Decisões de adequação e transferências internacionais


Em linha com a mesmas motivações que levam os Estados a adotarem leis com escopo de aplicação extraterritorial, diversas regulações de proteção de dados pessoais condicionam as transferências internacionais de dados51  à existência de uma decisão de adequação que reconheça que o Estado ou organismo internacional receptor das informações possui um nível satisfatório de proteção de dados pessoais.  52O objetivo é assegurar que os dados pessoais sejam transferidos apenas para entidades ou territórios terceiros que garantam tutela adequada a essas informações . 

A União Europeia é tradicionalmente quem possui maior experiência com decisões de adequação,53 uma vez que a sistemática é prevista desde a Diretiva 95/46/CE, tendo sido mantida no RGPD. De acordo com o RGPD,54 a Comissão Europeia é a autoridade competente para tomar decisões da referida natureza, que deverá se atentar a determinados elementos relacionados ao Estado ou organismo estrangeiro na verificação da adequação55, sendo eles, em resumo: o primado do Estado de Direito, a existência de uma autoridade de proteção de dados pessoais, os compromissos internacionais aos quais tenha se vinculado (especialmente os relacionados a dados pessoais).

As decisões de adequação permitem, em princípio, o fluxo internacional de dados pessoais de forma livre sem que seja necessária a adoção de medidas adicionais de salvaguarda para viabilizar a transferência (explicadas no Subcapítulo 3.4. deste verbete). 

A autodeclaração do poder de um Estado ou um bloco político-econômico para reconhecer a adequação de um Estado terceiro (ou organismo internacional) em relação à sua sistemática de proteção de dados pode gerar impactos relevantes na ordem global de regulação do tema. Isso porque, a depender do nível de influência política e econômica daquele que emite as decisões de adequação, os países terceiros tendem a buscar se alinharem com o primeiro. 

O bloco europeu ilustra bem tais impactos. Após a adoção do RGPD, que aumentou a rigidez das condições para o tratamento de dados pessoais dentro e fora da União Europeia, diversos países se movimentaram no sentido de adotar regulações também mais rigorosas sobre o tema, a exemplo do próprio Brasil. Esses movimentos foram incentivados, é claro, pelas novas demandas geradas pela intensificação dos fluxos de dados propiciada pelo uso da internet e de novas tecnologias (como visto no Capítulo 1 deste verbete), mas também pela nova norma europeia. Os países que mantêm relações estreitas com a União Europeia almejam o livre fluxo de dados com seu território, o qual permite o desenvolvimento de relações econômicas com menos obstáculos. A adoção de textos legais de proteção de dados similares ao RGPD aumenta as chances do reconhecimento de adequação pela Comissão Europeia. 

A decisão de adequação emitida pela Comissão Europeia em 2019 quanto ao Japão56  demonstra o quanto decisões dessa natureza geralmente estão alinhadas com interesses mais amplos dos entes envolvidos. A referida decisão foi precedida de uma série de compromissos assumidos pelo Estado nipônico, tais como a adoção de regras adicionais para equalizar o sistema japonês com o sistema europeu de proteção de dados e a implementação de um mecanismo para atender a solicitações de titulares dos dados pessoais de europeus no Japão. 

À primeira vista, seria razoável questionar as razões pelas quais o Japão assumiu tantos compromissos em relação à União Europeia, apenas para ser reconhecido como um Estado com um nível satisfatório de proteção de dados. Ocorre que as negociações para o reconhecimento da adequação se desenvolveram no âmbito das tratativas de um Acordo de Parceria Econômico entre a União Europeia e o Japão 57, no qual, dentre outros, as partes previam a abertura dos seus mercados de serviços (e.g. financeiros, e-commerce, telecomunicações e transporte), da qual decorreria um intenso fluxo de dados pessoais transfronteiriços. Para a União Europeia, a garantia da proteção dos dados pessoais advindos de seu território era, portanto, um aspecto relevante para o sucesso do acordo.

É importante notar, como contraponto, que a sistemática de decisões de adequação – assim como o próprio efeito extraterritorial de normas de proteção de dados - nem sempre é bem recebida pelos Estados terceiros. A União Europeia, por exemplo, recebeu muitas críticas por um suposto imperialismo de proteção de dados quando adotou o RGPD. De acordo com as críticas, alguns dos dispositivos da norma legal constrangeriam entidades e países fora da União Europeia a se curvarem ao sistema europeu. De todo modo, não há dúvidas de que a sistemática de decisões de adequação contribui para a uniformização do arcabouço internacional de proteção de dados. 


3.4. Mecanismos de salvaguarda para transferências internacionais


As leis de proteção de dados ao redor do mundo comumente preveem a possibilidade de adoção de mecanismos de salvaguarda para a transferência internacional de dados pelas entidades que os transferem como alternativa aos casos em que não existir uma decisão que reconheça a adequação do sistema de proteção de dados pessoais do país ou organismo receptor.  58

Exemplos dos referidos mecanismos são as normas corporativas globais (“binding corporate rules” ou BCRs), as cláusulas-padrão contratuais (“standard contracutal clauses” ou SCCs), os códigos de conduta e as cláusulas específicas que podem ser implementadas de acordo com a transferência. Por meio da adoção de qualquer desses instrumentos, o controlador assume o compromisso de oferecer e comprovar garantias para tratar os dados pessoais que são objeto da transferência de forma alinhada aos princípios, obrigações e direitos estabelecidos pela legislação que os estabelece. 

As leis de proteção de dados tendem a atribuir a responsabilidade pela redação ou pela aprovação dos mecanismos de salvaguarda a agentes públicos.59 Uma vez redigidos ou aprovados, tais mecanismos são adotados pelos entes privados de acordo com as transferências internacionais a que derem origem. Os mecanismos de salvaguarda fornecem certo grau de flexibilidade para a iniciativa privada que, dentre as diversas opções disponíveis, pode eleger aquela que melhor atenda aos interesses e peculiaridades de determinado fluxo ou atividade60.

Em um primeiro momento, diante do escopo extraterritorial cada vez mais comum às leis de proteção de dados pessoais, a imposição da adoção dos referidos mecanismos pode não parecer necessária.61 Afinal, a sujeição pelo agente de tratamento à norma em sua integralidade (efeito decorrente da referida extraterritorialidade) representa, em tese, maior proteção aos titulares dos dados pessoais, quando comparada à proteção resultante da adoção de mecanismos específicos de salvaguarda. No entanto, a existência de tais mecanismos cumpre papel importante na proteção de dados na esfera internacional. 

De fato, diversos são os casos em que, ainda que uma entidade não tenha um estabelecimento no país de onde emana a lei de aplicação extraterritorial, suas atividades são claramente voltadas para o mercado do país e sua presença no território, ainda que virtual, é de grande relevância. Nessas hipóteses, a aplicação direta da lei na prática é mais provável e a tendência de que a entidade se adeque ao diploma legal aplicável é maior (já que a inadequação pode causar, além de sanções, impactos reputacionais). 

Em outras ocasiões, no entanto, entidades sediadas no exterior prestam serviços que envolvem o tratamento de dados pessoais advindos do país de origem da norma de forma indireta e/ou bastante discreta (como, por exemplo, quando empresas monitoram o comportamento de indivíduos na internet em benefício de terceiros). Em casos dessa natureza, os titulares de dados e mesmo as autoridades têm pouca visibilidade das atividades de tratamento de dados desenvolvidas, ainda que elas possam atrair a aplicação integral da lei de proteção de dados. Por consequência, são remotas as chances de que tais empresas tomem medidas para se adequar ostensivamente à norma. Os mecanismos de salvaguarda têm a capacidade de alcançar essas entidades e de impor a elas o tratamento dos dados pessoais de maneira adequada à luz da norma legal que determina sua adoção.

A título de exemplo, imagine-se o cenário em que uma empresa americana de relevante presença global contrate uma empresa de atuação local nos Estados Unidos da América para prestar serviços que envolvam, indiretamente, o tratamento de dados pessoais coletados no Brasil 62.  Ainda que, diante do âmbito de aplicação extraterritorial do da LGPD, a empresa local devesse se adequar à lei, na prática, as chances para tanto são remotas.  Nesse cenário hipotético, portanto, a imposição da adoção de mecanismos de salvaguarda como as SCCs para a transferência pela empresa de atuação global – que estaria mais exposta em caso de violação da LGPD –, assegurará, em algum grau e ainda que pela via contratual, que o tratamento ulterior pela prestadora de serviços local ocorra em consonância com os preceitos básicos da lei brasileira. 

Outro aspecto decorrente da adoção de mecanismos de salvaguarda diz respeito à inclinação à adoção dos critérios mais rígidos de proteção de dados por todas as empresas de um mesmo grupo econômico multinacional. Nos casos de empresas com presença na União Europeia, por exemplo, para que a unidade localizada no bloco possa transferir dados para uma outra entidade sediada em país terceiro não reconhecido por uma decisão de adequação, as duas deverão adotar um mecanismo de salvaguarda. No caso da execução de BCRs, é muito comum que, ainda que as demais unidades do grupo econômico não estejam envolvidas na transferência sujeita ao RGPD, todas as unidades sejam parte do documento. Isso ocorre porque, para fins de governança, muitas vezes é mais eficiente que todas as unidades do grupo adotem de forma padronizada os mesmos processos e padrões em relação a um tema (como a proteção de dados pessoais). Nesses casos, tende a prevalecer o regime mais rigoroso. Em um cenário dessa natureza, as regulações de proteção de dados acabam alcançando entidades com as quais não se relacionam diretamente.

Os mecanismos de salvaguarda demonstram, assim, ser importantes aliados na proteção internacional dos dados pessoais. Afinal, a implementação de mecanismos dessa natureza aumenta o alcance das normas legais de proteção de dados, além de instigar a autorregulação do setor privado no que se refere ao tema.


4. Conclusão


Como visto, o ecossistema internacional de proteção de dados pessoais se transformou ao longo de décadas. Nos últimos anos, as discussões envolvendo a necessidade da uniformização das regulações de proteção de dados pessoais ao redor do mundo ganharam tração. Garantir a segurança e a privacidade dos titulares dos dados sem, no entanto, criar óbices ao desenvolvimento da sociedade (em suas mais diferentes esferas: econômica, tecnológica, social e política) demonstra-se um verdadeiro desafio.

Os Estados de Direito alçaram a proteção aos dados pessoais à categoria de direito fundamental. Não por outro motivo, regulações de proteção de dados pessoais são adotadas com escopos visando a proteger tais informações independentemente de sua localização geográfica. Esse movimento gera conflitos positivos de leis – algumas vezes incompatíveis – causando atritos envolvendo a soberania dos Estados, pondo à prova a eficácia dos textos adotados e gerando insegurança jurídica àqueles que se veem sujeitos a mais de um diploma de forma concorrente.

Com o objetivo de mitigar essas fricções e encontrar um caminho comum de regulação para que os dados pessoais circulem livremente e possibilitem o desenvolvimento da sociedade e da economia, é importante construir um sistema internacional de cooperação internacional que se atente à sua proteção. 

Para este fim, parece crucial que os diferentes modelos de proteção de dados se articulem entre si. Isso poderá ocorrer por meio da troca de informações e conhecimentos e pela assistência mútua na execução das leis nacionais entre as autoridades de proteção de dados pessoais. As decisões de adequação e os mecanismos de salvaguarda, previstos por diferentes legislações, também demonstram força para contribuir nesse sentido. 

A forma como o arcabouço internacional de proteção de dados pessoais vem se delineando demonstra que, apesar dos inúmeros desafios, os principais players reconhecem que tal proteção deve ser atribuída de maneira alinhada a despeito de barreiras geográficas, viabilizando os fluxos livres de informações e desenvolvimentos ainda mais relevantes para a sociedade. Resta, no entanto, a reflexão sobre como esse arcabouço internacional dialogará com a soberania dos Estados, tendo em vista que, mesmo em um ambiente de cooperação, interesses e prioridades de determinados países ou blocos políticos econômicos comumente sobressaem-se a outros.


Notas

O autor agradece a cooperação de Jaqueline Simas Claveland de Oliveira.

2  Segundo definição do art. 5º, I, da Lei Federal 13,709/2018 (Lei Geral de Proteção de Dados ou LGPD), dado pessoal é qualquer “informação relacionada a pessoa natural identificada ou identificável”.

3  Segundo definição do art. 5º, X, da LGPD, tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. 

4 Segundo definição do art. 5º, X, da LGPD, titular é “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

5  Lei Federal de proteção contra o uso indevido de dados pessoais no processamento de dados de 27 de janeiro de 1977 (Gesetz zum Schutz vor MiBbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz - BDSG).

6  Lei 78-17, de 6 de Janeiro de 1978 relativa à informática, aos arquivos e às liberdades (Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertésLoi Informatique et Libertés).  

7  É interessante notar que muito embora atualmente a grande preocupação relacionada aos dados pessoais gire em torno do seu uso por empresas do setor privado, no passado essa preocupação se relacionava à possibilidade da prática de abusos pelos Estados ao terem acesso a informações da esfera da vida privada dos cidadãos. 

8  Diretrizes da OCDE para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais. Disponível em <http://www.oecd.org/sti/ieconomy/15590254.pdf>. Acesso em 12.03.2021.

9  Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108) de 28 de janeiro de 1981. Disponível em inglês e francês em <https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108>. Acesso em 12.03.2021.

10  O Brasil não é signatário da Convenção 108. Em outubro de 2018, o Brasil tornou-se membro observador da Convenção, o que o permite participar do Comitê da Convenção e, consequentemente, das reuniões que ocorrem duas vezes ao ano em Strasbourg para discutir aspectos relevantes de proteção de dados pessoais.

11  Tratado 223 disponível em <https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2018/09-10/Convention_108_EN.pdf>. Acesso em 08.06.2021. A entrada em vigor da Convenção 108 ocorrerá com sua ratificação por todos os membros da Convenção 108 ou em 11 de outubro de 2023, se na data ao menos 38 membros da Convenção 108 houverem ratificado a proposta de modernização.

12  Artigo 8º Proteção de dados pessoais.  1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.  Carta dos Direitos Fundamentais da União Europeia de 18 de dezembro de 2020. Disponível em <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32000X1218(01)&from=EN>. Acesso em 09.03.2021.

13  Diretiva 95/46/CE de 24 de outubro de 1995. Disponível em <https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A31995L0046>. Acesso em 04.03.2021.

14  REGULAMENTO (UE) 2016/679 de 27 de abril de 2016. Disponível em <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679>. Acesso em 04.03.2021.

15  Disponível em <https://unctad.org/page/data-protection-and-privacy-legislation-worldwide>. Acesso em 04.03.2021.

16  A referida concordância não abrange, por questões conhecidas, países com regimes antidemocráticos. 

17  UNCTAD. Data protection regulations and international data flows: Implications for trade and development, 2016. Disponível em <https://unctad.org/system/files/official-document/dtlstict2016d1_en.pdf>. Acesso em 04.03.2021.

18  Nesse sentido, o relatório “Regulação de Proteção de Dados e Fluxos Internacionais de Dados: Implicações para o Comércio e o Desenvolvimento” (op. cit. 12), destacou em 2016 que: “Many national data protection laws contain significant gaps and exemptions. For example, some laws exclude small businesses (e.g. Australia and Canada) or small data sets (for example, Japan excludes data sets with less than 5,000 entries) from data protection laws.16 Other common exemptions apply to: 1) types of data subject (e.g. only to children, or not to employee data); 2) the sensitivity of data (e.g. only to sensitive data like health  r financial records); 3) sources of data (e.g. restricted to either online or offline data collection); and/or 4) sectoral data (e.g. exemptions related to the private and public sector, or laws that are restricted to specific sectors like health and credit).(…) The exemptions create several problems from a trade perspective. They require a wide range of stakeholders (business, trading partners, consumers and regulators) to identify and categorize data in complex ways. They severely limit opportunities for countries to meet an ‘adequacy test’ for cross-border transfers (see below). Finally, they can lead to complex complaints and disputes over coverage.” 

19  Há movimentos no Congresso Americano visando à adoção de uma lei federal geral de proteção de dados pessoais. 

 20 Disponível em <https://www.govinfo.gov/content/pkg/PLAW-106publ102/pdf/PLAW-106publ102.pdf>. Acesso em 14.03.2021. 

 21 Disponível em <https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/combined-regulation-text/index.html>.. Acesso em 14.03.2021. 

 22 Disponível em <https://www.ecfr.gov/cgi-bin/text idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5> . Acesso em 14.03.2021. 

 23 Informações extraídas das páginas dedicadas à Austrália e ao Canadá no One Trust Data Guidance. Disponível em  <https://www.dataguidance.com/notes/canada-data-protection-overview e https://www.dataguidance.com/notes/australia-data-protection-overview>. Acesso em 14.03.2021. 

 24 A Diretiva 95/46/CE, predecessora do RGPD, também seguia o modelo regulatório geral.

25  Disponível em <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em 14.03.2021. 

 26 Disponível em espanhol em <https://www.oas.org/juridico/pdfs/arg_ley25326.pdf>. Acesso em 14.03.2021.

27  Tradução em inglês disponível em <https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_of_Personal_Information.pdf>. Acesso em 14.03.2021.

28  Disponível em <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32002L0058>. Acesso em 14.03.2021.

29 Disponível em <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L0680>. Acesso em 14.03.2021.

30 Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em 14.03.2021.

31  Disponível em <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 14.03.2021.

32  Disponível em <https://portal.cfm.org.br/images/PDF/cem2019.pdf>. Acesso em 14.03.2021.

33  Nesse sentido, o Article 29 – Working Party Group (WP29) estabeleceu que “Such international effects of protective rules express generally the concern of the legislator or of the judge to protect citizens where necessary in spite of the intrinsic difficulties of enforcement linked to the cross-frontier situation involved and to apply them in practice in order to ensure that the aim pursued is reached.” Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites”. Disponível em <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp56_en.pdf>. Acesso em 27.03.2021.

 34 O WP29 era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da EU, pela Autoridade Europeia de Proteção de Dados e pela Comissão Europeia à luz da Diretiva 95/46/CE. Ele foi substituído pelo European Data Protection Board (EDPB) em 2018 com o advento do RGPD. No entanto, diversas das suas opiniões são utilizadas como diretrizes até hoje e/ou foram incorporadas oficialmente pelo EDPB. 

35  Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites (p. 30).

36  Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites (p. 5).

37  Disponível em <https://epic.org/privacy/cloud-act/cloud-act-text.pdf>. Acesso em 13.03.2021.

38  Art. 48 do GDPR. 

 39 Mutual Agreement Assistance Treaty. 

 40 Vide nota 33.

41  Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence. Disponível em: <https://edpb.europa.eu/sites/default/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf>.  Acesso em 14.03.2021.

 42 HERT Paul; CZERNIAWSKI, Michal. Expanding the european data protection scope beyond territory: article 3 of the general data protection regulation in its wider context, pp. 230-243.

43  Um quadro comparativo entre a Convenção 108 e Convenção 108+ está disponível em inglês em <https://rm.coe.int/cahdata-convention-108-table-e-april2018/16808ac958>. Acesso em  08.06.2021.

44  Nesse sentido, os considerandos da Convenção 108+ estabelecem que: “(…) Recognising that it is necessary to promote at the global level the fundamental values of respect for privacy and protection of personal data, thereby contributing to the free flow of information between people;  Recognising the interest of a reinforcement of international co-operation between the Parties to the Convention (…)”. 

45  Art. 17 da Convenção 108+. 

46  Informações sobre o grupo de trabalho da OCDE estão disponíveis em <https://www.oecd.org/sti/ieconomy/workingpartyonsecurityandprivacyinthedigitaleconomyspde.htm>. Acesso em 15.05.2021.

47 Disponível em <https://www.oecd.org/digital/ieconomy/38770483.pdf>. Acesso em 15.05.2021.

48  Informações sobre a GPA estão disponíveis em <https://globalprivacyassembly.org/>. Acesso em 15.05.2021.

49  Informações sobre a AFAPDP estão disponíveis em <https://www.afapdp.org/>. Acesso em 13.05.2021.

50  Informações sobre a APPA estão disponíveis em <https://www.appaforum.org/>. Acesso em 13.05.2021.

51  O art. 5º, XV da LGPD conceitua transferência internacional de dados como “a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.

52  Para referência, tanto a LGPD (art. 33.1) quanto o RGPD (art. 45) possuem previsões que estabelecem a possibilidade de transferência internacional de dados para países ou organismos que proporcionem grau adequado de proteção aos dados transferidos.

53  “Com efeito, à luz da antiga Diretiva europeia, a Corte de Justiça da União Europeia decidiu, no conhecido caso Schrems, que o sentido de adequação exigido do país para o qual se transferem dados pessoais de cidadãos europeus deve ser apreendido a partir da observância de garantias essenciais que que assegurem que o sistema jurídico destinatário seja ˜essencialmente equivalente ao da União Europeia, o que se obteria não a partir de uma avaliação profunda do ordenamento, mas de uma análise superficial dos mecanismos à disposição” (CARVALHO, Angelo Gamba Prata de. Transferência internacional de dados na Lei Geral de Proteção de Dados: força normativa e efetividade diante do cenário transnacional).

 54 Art. 45.1. do RGPD.

55  Art. 45.2. do RGPD.

56  Informações sobre a decisão de adequação estão disponíveis em <https://ec.europa.eu/commission/presscorner/detail/en/IP_19_421>. Acesso em 07.06.2021.

57  Informações sobre o acordo de parceria estão disponíveis <https://ec.europa.eu/commission/presscorner/detail/en/IP_18_6749>. Acesso em 07.06.2021.

58  Além das decisões de adequação e dos mecanismos de salvaguarda, comumente as regulações de proteção de dados preveem outras hipóteses em que a transferência internacional será permitida (como nos casos das derrogações previstas pelo art. 49 do RGPD, na União Europeia, e as hipóteses estabelecidas pelos incisos III-IX do art. 33 da LGPD, no Brasil). O presente verbete concentrou-se nas decisões de adequação e nos mecanismos de salvaguarda, diante de sua maior repercussão nas relações internacionais.

59  Sob a égide do RGPD, a responsabilidade é compartilhada entre a Comissão Europeia e as autoridades de proteção de dados dos Estados-Membros que compõem a União Europeia. Na LGPD, tal responsabilidade ficou a cargo da Autoridade Nacional de Proteção de Dados Pessoais.

60  SCCs, por exemplo, podem ser incluídas como anexos dos mais diversos contratos. As BCRs podem regular o tratamento de dados pessoais de diversas unidades de um grupo de empresas multinacional. A adoção de códigos de conduta por sua vez, além de viabilizar a transferência internacional de dados pessoais, pode ser um diferencial competitivo que destaque a empresa de suas concorrentes no mercado.

61  A interface entre os efeitos extraterritoriais das legislações de proteção de dados e a necessidade de adoção de mecanismos de salvaguarda para transferência internacional são objeto de vastas discussões, sobretudo no âmbito do RGPD na União Europeia. Em novembro de 2019, quando publicou as diretrizes sobre o escopo de aplicação territorial do RGPD, o EDPB se comprometeu a analisar tal interface. No entanto, devido à complexidade do tema, até a data de publicação deste verbete, as diretrizes ainda não haviam sido publicadas.  (Guidelines 3/2018 on the territorial scope of the GDPR (article 3). Cap. 2.e. Disponível em <https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf)>. Acesso em 13.05.2021.

62  De acordo com o art. 3º, II, a LGPD se aplica desde que “a atividade de tratamento tenha por objetivo (...) o tratamento de dados de indivíduos localizados no território nacional”.

Referências

BOURGEOIS, Matthieu. Droit de la donnée: príncipes théoriques et approche pratique. Paris: LexisNexis, 2017. 

CARVALHO, Angelo Gamba Prata de. Transferência internacional de dados na Lei Geral de Proteção de Dados: força normativa e efetividade diante do cenário transnacional. Gustavo Tepedino, Ana Frazão e Milena Donato Oliva (coords.). São Paulo: Thomson Reuters Brasil, 2019.

CATTARUZZA, Amaël. Géopolitque des données numériques – pouvoir et conflits à l`heure du big data. Paris: Le Cavalier Bleu, 2019. 

FRAJHOF, Isabella Z; SOMBRA, Thiago Luis. A transferência internacional de dados pessoais. A LGPD e o novo marco normativo do Brasil. Caitlin Mulholland (coord.).  Porto Alegre: Arquipélogo, 2020.

HERT Paul de; CZERNIAWSKI, Michal. expanding the european data protection scope beyond territory: article 3 of the general data protection regulation in its wider context. International data privacy law, v. 6, n. 3, 2016, pp. 230-243.

KUNER, Cristopher. Data protection law and international jurisdiction on the internet (Part 1). International Journal of Law and Information Technology. Oxford, UK: Oxford University Press, 2010.

LAMBER, Paul. Understanding the New European Data Protection Rules. Boca Roton, Florida: CRC Press, 2017. 

SOLOVA, Daniel J.; Paul M. Schwartz. Information privacy law. 5. ed. New York: Wolters Kluwer, 2015.

WIMMER, Kurter. GDPR extraterritorial reach: conflict with international law? Privacy laws & business international report, v. 157, 2019, pp. 6-8.

Citação

BRANCHER, Paulo Marcos Rodrigues. Proteção internacional de dados pessoais. Enciclopédia jurídica da PUC-SP. Celso Fernandes Campilongo, Alvaro de Azevedo Gonzaga e André Luiz Freire (coords.). Tomo: Direito Internacional. Cláudio Finkelstein, Clarisse Laupman Ferraz Lima (coord. de tomo). 1. ed. São Paulo: Pontifícia Universidade Católica de São Paulo, 2017. Disponível em: https://enciclopediajuridica.pucsp.br/verbete/496/edicao-1/protecao-internacional-de-dados-pessoais

Edições

Tomo Direito Internacional, Edição 1, Fevereiro de 2022