Conjur
27/10/2021
Por – Fabricio Polido
Muito tem sido dito sobre a necessária independência da Autoridade Nacional de Proteção de Dados (ANPD) entre nós, mas pouco se sabe da real importância desse tema quando o assunto é cooperação digital e transferência internacional de dados. Se realmente vingar um projeto de lei estabelecendo a autonomia institucional e política da autoridade, com sua desejada desvinculação da Presidência da República, o Brasil poderá ser mais otimista quanto às pretensões de se tornar um país conferindo níveis adequados de proteção de dados nos processos envolvendo dados na União Europeia. Isso serviria igualmente, em certa medida, para seu desejado ingresso na OCDE. Esses eventos podem ser mais longínquos, todavia destacam o papel de instituições robustas, transparentes e independentes no campo da governança da privacidade e proteção de dados.
No ano passado mesmo, a OCDE já havia antecipado as preocupações sobre a relação estrutural entre a ANPD e o Executivo brasileiro, a respeito de uma possível revisão do próprio artigo 55-A da Lei Geral de Proteção de Dados. Uma expectativa seria, de antemão, que a ANPD funcionasse com total autonomia, que suas nomeações para presidência e conselhos fossem estabelecidas por processos transparentes, justos e especialmente centrados em conhecimentos técnicos reais. No atual estágio da discussão, ser um “órgão da administração pública federal, integrante da Presidência da República” não deixaria de trazer as dificuldades típicas dos processos de revisão de pares (peer review) por organismos internacionais. Em geral, eles não captam muitas das especificidades da autoridade de proteção de dados em uma das maiores economias do globo, larga comunidade digital e, ao mesmo tempo, de um país cambaleante nos seus rumos democráticos.
Tal como a inspiração da LGPD veio do Regulamento Europeu de Proteção de Dados, em movimento naturalizado por muitos, a Comissão Europeia terá a tarefa de conduzir os procedimentos de tomada de uma decisão de adequação para o Brasil. Prevista no artigo 45 (1) do regulamento, a decisão de adequação é o reconhecimento da Comissão da União Europeia de que um país apresenta nível de proteção de dados pessoais compatível com aquele conferido pela normativa europeia. Do ponto de vista prático, a decisão opera como uma extensão da proteção conferida pelas regras do regulamento, aplicáveis diretamente para todos Estados-membros e suas autoridades nacionais de proteção de dados, para países terceiros. Pela decisão, a comissão, considerada a “guardiã dos tratados” na União Europeia, busca assegurar que as regras de proteção do regulamento continuem aplicáveis aos titulares de dados europeus quando localizados em territórios estrangeiros e que as regras do Estado considerado “adequado” alcancem o escopo de política normativa do regulamento, em particular quanto às operações envolvendo transferência internacional de dados. Quando há a decisão de que um país terceiro é adequado, a comissão reconhece ser possível transferir dados de residentes na União para um controlador sediado naquele país. Nesse caso, não há a necessidade de que garantias suplementares de privacidade e proteção de dados sejam apresentadas. Em suma, ter uma decisão da comissão seria reconhecer que a adequação permite a transferência de dados entre membros da UE e terceiros, tal como se ela ocorresse somente entre Estados-membros da UE.
E como se processa a decisão de adequação na União Europeia? Vários passos são necessários. Após o protocolo de pedido junto à Comissão Europeia, são avaliados os requisitos formais e materiais em linha com o artigo 45 do regulamento. A comissão formula uma proposta de decisão de adequação, caso o órgão seja favorável, e pede ao Conselho Europeu de Proteção de Dados para emitir sua opinião. Na sequência, o processo passa por aprovação de todos os estados-membros da União Europeia e a Comissão publica a decisão de adequação em relação ao país terceiro examinado. Ao lado do procedimento, a Comissão analisa uma série de elementos capazes de demonstrar que um país é adequado para proteção de dados, em nível equiparável àquele perseguido pelo regulamento. A “proteção adequada”, desse modo, requer que o país terceiro possa assegurar, por força de seu direito doméstico e obrigações internacionais, o grau de proteção de direitos e liberdades fundamentais relacionadas a dados e que seja essencialmente equivalente àquele conferido no domínio intracomunitário. Se a proteção não pode ser assegurada, as alternativas caem nas hipóteses estabelecidas pelo artigo 45 do regulamento. Segundo elas, agentes de tratamento devem fornecer salvaguardas adicionais para titulares de dados transferidos da UE para o país terceiro; as autoridades nacionais podem ser requeridas a suspender ou proibir a transferência a países terceiros; dados que já tenham sido transferidos devem retornar aos seus titulares na União ou serem eliminados.
No processo de análise dos elementos para habilitação do país terceiro como adequado para proteção de dados, a comissão leva em consideração todas as circunstâncias relacionadas a operações de tratamento envolvendo transferência internacional de dados ou um conjunto de operações. Igualmente, o órgão analisa certos elementos específicos associados às transferências, como localização de servidores, uso de operadores de tratamento e serviços associados. O processo de tomada de decisão, naturalmente, é embasado nas regras do Regulamento Europeu, com a ressalva de que durante a análise, a comissão deve realizá-la sem discriminação — arbitrária e injustificada — de um país terceiro e que a decisão não constitua uma barreira implícita ao comércio.
Vale destacar que alguns critérios ou variáveis analíticas são traçadas pela comissão, com base na experiência acumulada desde os tempos da Diretiva 95/46 sobre processamento de dados [1] e densificadas no regulamento (cf., por exemplo, considerandos 103 e ss; artigo 45 (2) do regulamento). Eles passam, de modo ilustrativo, por referenciais históricos e institucionais do país analisado, sistema de governo, existência de uma constituição escrita ou não; processo legislativo e formas de aprovação, promulgação e alteração das leis vigentes, a primazia do Estado de Direito, garantias de acesso à justiça e à aplicação das regras e normas internacionais em matéria de direitos humanos. Em especial, são considerados os marcos evolutivos das normas de proteção de dados, se há retrospecto possível a ser feito nesse domínio, se as normas e obrigações existentes alcançam condutas de entes públicos e privados, e se exceções ao tratamento com base no interesse público são apenas admitidas realmente em caráter de excepcionalidade. Enfim, o processo leva em conta tudo quanto poderia ser esperado de uma sociedade democrática ancorada em preocupações — sociais, políticas e culturais — relacionadas às liberdades e garantias fundamentais em privacidade e proteção de dados.
Um destaque no procedimento de tomada de decisão de adequação pela Comissão Europeia também se refere ao conjunto de fontes normativas e sua efetividade no quadro jurídico de proteção de dados. Esse conjunto não se restringe às leis e regulamentos (em sentido formal), mas contempla também códigos de condutas, princípios, atividades e orientações dos órgãos de autorregulamentação da indústria (por exemplo, nas áreas de mídias, mensagens não solicitadas — spams —, pesquisa de mercados, e-commerce), além de regulamentação aplicável a setores relevantes para proteção de dados, como os financeiros, seguros e de saúde. São levados em consideração os compromissos internacionais assumidos pelo país terceiro decorrentes de sua participação nos sistemas multilaterais ou regionais, em particular no que diz respeito à proteção dos dados pessoais, bem como o cumprimento dessas obrigações. A comissão também examina a existência de bases principiológicas do direito vigente naquele país examinado, como ações e remédios contra violação de privacidade, quebra de confiança, proteção incidental relativa à difamação, falsidade maliciosa, negligência, entre outros. Por fim, no processo decisório de adequação, o órgão europeu volta-se para a apreciação das garantias administrativas e judiciais quanto à aplicação das normas de proteção de dados e à independência das autoridades regulatórias/de supervisão, consideradas suas atuações como desvinculadas de um órgão ou agente político. Essa variável de análise, inclusive, busca assegurar que interesses das partes relevantes nas relações envolvendo dados possam ser contempladas, sobretudo titulares de dados, controladores, encarregados. E que sejam asseguradas as medidas de prevenção e sanção relacionadas ao tratamento ilegal de dados pessoais.
Do ponto de vista meramente formal, o Brasil preenche a maioria dos requisitos, todavia poderá enfrentar algumas dificuldades nos quesitos Estado de Direito, independência da autoridade de proteção de dados e compromissos internacionais, e que podem ser levantadas pela própria comissão, o CEPD ou algum estado-membro. O processo de tomada da decisão de adequação implica um escrutínio externo das leis, práticas e instituições do Estado, o que faz com que seja estabelecido diálogo cooperativo com a União Europeia. Isso porque a preocupação ulterior é aquela de assegurar a proteção dos dados de titulares que estejam sob transferência internacional (na prática, a “cruzar fronteiras”). Legítimas, portanto, serão as expectativas por parte dos titulares de dados residentes na União Europeia e dos responsáveis pelo tratamento dos dados estabelecidos no Brasil para que a decisão de adequação será alcançada em relação ao Estado brasileiro. Ela também reduz os custos associados às garantias adicionais e outros trâmites burocráticos específicos, nos termos do regulamento.
Fatores sensitivos, contudo, permanecem a alertar nosso país nesse percurso do processo relativo à decisão de adequação pela União Europeia. Entre eles destacam-se a frágil situação de dependência estrutural da ANPD em relação à Presidência da República; a falha no cumprimento das sentenças da Corte Interamericana de Direitos Humanos pelo Estado brasileiro e de outras obrigações decorrentes de tratados e convenções em matéria de direitos humanos (incluindo liberdades comunicativas e informativas e proteção da vida privada) e de integração regional (a exemplo dos atos normativos do Mercosul). Por outro lado, respostas dadas pelo Congresso Nacional e pelo Judiciário brasileiro têm diretamente respaldado o objetivo de política normativa em proteção de dados, fazendo valer normas jurídicas e sociais de microssistemas que hoje importam para o campo da privacidade, ou constitucionalizando-as formal e materialmente, como no caso da recente Proposta de Emenda à Constituição nº 17/2019, aprovada pelo Senado Federal [2].
Como se aguarda, o principal efeito da decisão de adequação, além da possibilidade de tornar segura a transferência internacional de dados de titulares na UE, sem a necessidade de outros mecanismos de transferência (e.g. cláusulas contratuais padrão, BCRs, selos, certificações), estará também o caráter simbólico, diplomático e cooperativo dos diálogos entre a União Europeia e Brasil. Não diferentemente, a decisão cumpre um papel de promover o fluxo transnacional de dados livre de travas burocráticas adicionais e mais custos sociais para os agentes de tratamento operando legitimamente no Brasil, fazendo respeitar, igualmente, suas normas corporativas e políticas de privacidade em escala global. Ser considerado adequado aos olhos da União Europeia também é uma porta de entrada para uma relação política mais estreita entre as regiões, facilitando as operações e criando oportunidades econômicas futuras.
Disponível em: https://www.conjur.com.br/2021-out-27/polido-instituicoes-privacidade-oportunidades-brasil
