O ano de 2023 mal começou e algumas questões importantes não apenas aparecem, como geram reflexões a respeito do Direito à Privacidade na sociedade digital. Destaco cinco questões envolvendo o cenário mundial, questões essas que, direta ou indiretamente, poderão gerar impactos no Brasil.
A primeira delas consiste em saber se os Estados Unidos aprovará uma lei abrangente de privacidade de dados.
Em que pese esforços recentes por parte do Congresso norte-americano, compreendo que não será o caso. No ano passado, o Congresso chegou bem perto de aprovar uma lei de privacidade abrangente, a denominada American Data Privacy and Protection Act (ADPPA).
Ao antecipar-se em face da lei estadual, a ADPPA encontrou oposição dos formuladores de políticas da Califórnia, que não queriam reduzir o poder de seu estado. Complexidade que é própria dos EUA.
Embora o atual presidente norte-americano, Joe Biden [1], tenha declarado recentemente que gostaria de que uma lei fosse aprovada nesse sentido, não acho que isso vá mudar a situação.
O segundo questionamento que me vem à mente é o seguinte: o que acontecerá na União Europeia?
Reflito sobre isso, pois, no ano passado, um novo acordo foi alcançado para corrigir a transferência de dados entre fronteiras após Schrems II.
Antes, contudo, de esmiuçar pontos relacionados ao Transatlantic Data Transfer Framework, importante trazer as principais balizas do caso levado a julgamento perante a Court of Justice of the European Union (CJEU).
Durante o processo, a CJEU examinou a validade do EU-US Privacy Shield em relação aos requisitos do GDPR. A CJEU considerou que a proteção de dados pessoais tinha limitações devido à legislação interna dos Estados Unidos, bem como ao acesso e uso por autoridades públicas dos EUA de dados pessoais transferidos da UE. Foi decidido que as disposições das leis dos EUA não satisfazem os requisitos que são essencialmente equivalentes aos exigidos pela legislação da UE.
Na decisão, a CJEU observou que:
a) O uso e o acesso das autoridades públicas dos EUA aos dados da UE não foram restringidos pelo princípio da proporcionalidade; e
b) o mecanismo do ombudsman não oferece aos titulares dos dados nenhuma causa de ação perante um órgão que ofereça garantias substancialmente equivalentes às exigidas pela legislação da UE.
Em relação às SCCs, a CJEU destacou que a avaliação do nível de proteção conferido deve levar em consideração:
a) ambas as cláusulas contratuais acordadas entre o exportador de dados estabelecido na UE e o destinatário da transferência estabelecido no país terceiro; e
b) aspectos relevantes do sistema jurídico desse país terceiro em relação a qualquer acesso por parte das autoridades públicas do país terceiro.
A CJEU também manteve sua posição no sentido de que as autoridades supervisoras são obrigadas a suspender ou proibir a transferência de dados para o terceiro país quando entender que a proteção exigida pela legislação da UE não pode ser assegurada por outros meios.
Além disso, a CJEU destacou que os SCC são um mecanismo que, na prática, permite assegurar o cumprimento de um nível de proteção de acordo com a legislação da UE, bem como garantir que a transferência de dados pessoais seja suspensa ou proibida em caso de de violação de tais cláusulas ou quando for impossível honrá-las.
A Comissão Europeia liberou seus SCCs revisados para consulta pública, seguidos por uma declaração conjunta emitida pelo Comitê Europeu de Proteção de Dados e pelo Supervisor Europeu de Proteção de Dados sobre o projeto de SCCs revisados.
Em 4 de junho de 2021, a Comissão Europeia adotou dois novos conjuntos de SCCs para uso entre Controladores e Processadores e para a transferência de dados pessoais para países terceiros.
Realizada a contextualização do que ocorreu no caso Schrems I, é possível dar sequência e compreender do que se trata o caso Schrems 2 [2].
Em resumo, a decisão obtida no caso Schrems II forçou as organizações a rever a maneira como abordam as transferências internacionais de dados.
Os SCCs modernizados da Comissão Europeia foram adotados em junho de 2021, dando às organizações que atualmente usam versões anteriores dos SCCs da Comissão um período de transição de 18 meses para atualizar seus contratos.
A orientação final do EDPB oferece um roteiro claro e etapas acionáveis para garantir que as transferências de dados pessoais sejam lícitas e que satisfaçam o princípio de responsabilidade previsto no artigo 5º, nº 2, do RGPD.
Embora o processo de reavaliar transferências de dados possa ser um processo complexo, companhias como o OneTrust oferecem várias soluções, incluindo modelos pré-construídos, os exportadores, podem avaliar países terceiros, realizar Avaliações de Impacto de Transferência (TIAs) e avaliar a eficácia de suas medidas complementares.
Por fim, a Estrutura de Privacidade de Dados UE-EUA, se adotada, fornecerá mais segurança jurídica para organizações que transferem dados pessoais da UE para os EUA e aos cidadãos da UE o direito de acessar um mecanismo de reparação — no entanto, o status da estrutura permanece no mãos da Comissão Europeia.
Até agora, as seguintes jurisdições foram reconhecidas como países que estariam fornecendo proteção adequada para dados pessoais (ou seja, fazem parte de uma decisão de adequação):
1) Andorra 2) Argentina 3) Canadá (organizações comerciais) 4) Ilhas Faroe 5) Guernsey 6) Israel 7) Ilha de Man 8) Japão 9) Jersey 10) Nova Zelândia 11) República da Coreia 12) Suíça 13) Uruguai 14) Reino Unido
O EDPB adotou suas recomendações finais sobre medidas complementares para ferramentas de transferência em 18 de junho de 2021, destacando um roteiro de seis etapas para auxiliar na avaliação de países terceiros e identificar e implementar medidas complementares apropriadas.
Esse novo arranjo, o Transatlantic Data Transfer Framework, faz alterações no regime de vigilância dos EUA por meio de ordem executiva e revive o EU-US Privacy Shield. Está atualmente sob revisão pela Comissão Europeia. Uma vez finalizado, certamente será contestado por Schrems, e veremos o que pensa o Tribunal Europeu de Justiça em “Schrems 3: O Retorno de Schrems”.
Em 2022, o Reino Unido disse que abandonaria seu GDPR depois de promulgá-lo alguns anos antes em uma versão quase literal do GDPR da UE. O barulho sobre isso parece ter diminuído devido a toda a agitação do governo. Talvez o Reino Unido tenha objetivos maiores para alcançar ou, em caso negativo, é possível que testemunhemos algo ainda em 2023 sobre o tema. Só o tempo dirá.
O terceiro questionamento consiste no seguinte: Será que a Índia finalmente aprovará uma lei de privacidade de dados? Acompanhando um pouco as discussões daquele país, a impressão que dá é a de que todo ano é supostamente “o ano”, assim como esperamos, na música de, Sábado à Noite, composta por Lulu Santos, que algo possa acontecer.
Para que o leitor do texto compreenda um pouco do cenário, conforme publicado em 23.01.2023, no Business Standard [3], a Índia, através de seu ministro das Comunicações, Eletrônica e Tecnologia da Informação (TI) Ashwini Vaishnaw tentará elaborar um modelo para os direitos individuais, ao mesmo tempo em que dará uma vantagem à inovação por meio de sua proposta de lei de proteção de dados pessoais digitais.
Vaishnaw, no entanto, disse que não seria fácil de implementar, pois, “cada passo dado pode ser prejudicial para o outro lado”.
A versão mais recente do projeto de lei foi lançada depois que a versão de 2019 foi descartada, de acordo com a recomendação de uma comissão permanente do Parlamento.
O quarto questionamento que merece reflexão diz respeito ao seguinte: No âmbito dos Estados Unidos serão aprovadas novas leis de privacidade?
Em que pese vários projetos de lei nos estados daquele país em 2022 terem tramitado, talvez os Estados tenham feito uma pausa por causa do projeto de lei federal sobre privacidade, o American Data Privacy and Protection Act (ADPPA).
Agora que o ADPPA fracassou, os estados podem retomar sua marcha adiante.
O quinto questionamento em âmbito internacional consiste em saber qual será o impacto da entrada em vigor das leis estaduais de privacidade dos EUA.
As leis de privacidade do consumidor da Califórnia, Colorado, Connecticut, Utah e Virgínia entram em vigor este ano.
A aplicação da CCPA pela nova Agência de Proteção à Privacidade da Califórnia (CPPA) começará este ano. E a CCPA agora se aplica, de forma mais ampla, aos dados dos funcionários. Importante acompanhar os desdobramentos das referidas leis. Não duvido que muito provavelmente a Suprema Corte norte-americana se debruçará sobre o “ecossistema” legislativo, até mesmo porque envolverá, em perspectivas jamais vistas, a própria percepção de federalismo norte-americano.
Diante das questões acima, em relação ao Brasil, destaco algumas ponderações e preocupações, a saber:
1) O federalismo brasileiro permitiu, em tese, algo menos complexo e dramático em relação àquilo que ocorre nos Estados Unidos, por exemplo, consistindo na regulamentação do tema “proteção de dados” através de legislação federal, qual seja: a Lei nº13.709, de 2018 e as alterações trazidas pela Lei nº 13.853, de 2019;
2) O Brasil não figura na lista de países que fornecem proteção adequada para dados pessoais. Em um mundo cada vez mais globalizado e conectado, isso pode gerar, a médio prazo, impactos negativos em termos econômicos e negociais;
3) A estruturação de todo o microssistema previsto na referida legislação é questão primordial para o bom andamento, desenvolvimento e manutenção da proteção de dados no Brasil, esforço que deverá ocorrer de forma conjunta, por todas as esferas de Poder no âmbito Federal.
Aguardemos os próximos capítulos no cenário mundial e nacional!
[1] Exemplo disso pode ser visto no link a seguir: <https://www.cnet.com/news/privacy/biden-calls-for-congress-to-unite-against-big-tech-abuses/>. Acesso em: 23. jan. 2023.
[2] Para saber mais sobre o caso Schrems II, vide o link a seguir: <Para saber mais sobre o caso Scherms II, acesse:https://www.dataguidance.com/resource/definitive-guide-schrems-ii#Schrems%20II%20Judgment>.Acesso em: 23. jan.2023.
[3] A integra da reportagem pode ser acessada no link a seguir: https://www.business-standard.com/article/economy-policy/data-law-to-strike-balance-between-individual-rights-innovation-vaishnaw-123012300953_1.html. Acesso em: 23.jan.2023.
Víctor Minervino Quintiere é doutor em Direito pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), Research Fellow na Universitá degli studi Roma TRE na Itália, mestre em Direito pelo Instituto Brasiliense de Direito Público (IDP), sócio no escritório Bruno Espiñeira Lemos & Quintiere Advogados, professor do programa de pós-graduação em Direito Penal do Centro Universitário de Brasília (Uniceub), professor convidado do programa de pós-graduação da Escola Baiana de Direito em Direito Penal e professor da Faculdade de Ciências Jurídicas (Fajs) do Centro Universitário de Brasília (Uniceub).
