Por Marcelo Santos
Em decisão recente divulgada pelo órgão regulador da União Europeia, a EDPS (Autoridade Europeia para a Proteção de Dados) aplicou a maior sanção da história da GDPR, até o momento. O alvo da sanção foi a empresa Meta, tendo como fundamento o fato da empresa proceder, há anos, com o armazenamento ilegal de dados de cidadãos europeus nos EUA.
Além disso, a empresa que controla o Facebook, Whatsapp e Instagram, foi proibida de continuar a enviar dados europeus para os Estados Unidos, além da exclusão de todos os dados lá existentes.
Em manifestação, a Meta informou que apelará da decisão, afirmando que ocorreu uma falha na decisão, tratando-se de um equívoco e abrindo precedentes muito perigosos no compartilhamento de dados entre Europa e América do Norte.
Vale lembrar, também, que o WhatsApp LLC está na lista de investigação da ANPD (Autoridade Nacional de Proteção de Dados), no qual está sendo averiguado, como é feito o compartilhamento de dados com as empresas do Grupo Meta.
Mas, o que é exatamente “transferência internacional de dados pessoais”?
Como pode ser percebido de maneira intuitiva, a transferência internacional de dados pessoais nada mais é, do que o ato de enviar qualquer dado que possa identificar ou tornar uma pessoa identificável de um país a outro.
Com a globalização e a troca de informações cada vez mais intensas e valiosas entre as empresas, é comum que dados pessoais sejam transferidos para outro país.
Porém, o que realmente importa nesta questão é: como os meus dados serão cuidados nesse outro lugar de destino?
É exatamente essa a preocupação que a Lei Geral de Proteção de Dados (Lei 13.709/18, mais conhecida como LGPD) e a GDPR, já mencionada na notícia acima, trazem à luz. O intuito da normativa é garantir que, ao enviar dados pessoais coletados no Brasil, o tratamento desses dados, não ocorra em local que não possui regulamentação para proteção dos dados pessoais.
O Art. 33 da LGPD, traz também outras exceções para a transferência internacional de dados, desde que, sejam cumpridos os seguintes requisitos: que o controlador ofereça e comprove garantias de cumprimento dos direitos e proteção dos titulares, como por exemplo, possuir cláusulas contratuais especificas para determinada transferência.
E no Brasil? O que a Autoridade Nacional de Proteção de Dados (ANPD) fala a respeito disso? Já existem sanções?
Apesar da exigência legal mencionada anteriormente, os artigos 33, 34 e 35 da LGPD ainda não foram regulamentados pela ANPD.
No entanto, é importante ressaltar que esses artigos já estão na pauta da Agenda Regulatória do biênio 2023-2024. Destaca-se que esta regulamentação é considerada essencial para complementar a implementação adequada da LGPD, sem negligenciar outros temas abordados pelos artigos não mencionados neste contexto.
O enfoque dessa agenda é concentrar-se nas cláusulas padrões e específicas que as organizações podem utilizar para adequar seus fluxos de transferência de dados, priorizando outras questões em vez de disciplinar, por enquanto, as regras e procedimentos relacionados à avaliação do nível de adequação de proteção de dados de um país. (Nota técnica 20/2022/CGN/ANPD)É importante ressaltar, que os incisos I e II do Artigo 33 já estão em pleno vigor e têm aplicabilidade imediata. Esses incisos estabelecem que a transferência internacional de dados é permitida quando ocorrer para países ou organismos internacionais que ofereçam um nível adequado de proteção de dados pessoais, conforme previsto na Lei. A outra possibilidade é que o controlador precisa oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e regime de proteção dos dados pessoais.
Portanto, caso essas exigências legais sejam descumpridas, o infrator está, sim, passível de aplicação de sanção pela ANPD, podendo ter como punição valores de até R$50.000.000,00, a depender do caso concreto (Art. 52, Lei 13709/2018).
Por essa razão é necessário que as empresas se atentem com quais parceiros, fornecedores ou clientes ocorre esse fluxo de dados internacionais. É importante considerar o nível de regulação de cada país ou organização em relação à proteção e privacidade de dados. Além disso, é fundamental adotar cláusulas ou medidas que eliminem ou reduzam os riscos nesse processo.
É importante que as empresas adotem uma abordagem responsável e segura na transferência de dados pessoais, protegendo a privacidade e a conformidade com as regulamentações aplicáveis e se resguardando legalmente de eventuais sanções.
Referências:
Presidência do EDPB | European Data Protection Board (europa.eu)
Meta recebe multa recorde de US$ 1,3 bilhão da UE por violar privacidade de dados (cnnbrasil.com.br)
Processos de Fiscalização — Autoridade Nacional de Proteção de Dados (www.gov.br)
ANPD publica Agenda Regulatória 2023-2024 — Autoridade Nacional de Proteção de Dados (www.gov.br)
Marcelo Santos é advogado pela FUMEC, Pós-graduado em Direito e Gestão Jurídica IBMEC-MG, MBA em Privacidade e Proteção de Dados pela CEDIN. Atuação nas áreas de Direito Civil, elaboração contratual na área cível em geral e empresarial, experiência e avaliação de riscos processuais jurídicos/administrativos. Consultor na HECT Consultoria.