Impactos da decisão da Corte de Justiça da União Europeia sobre transferência de dados pessoais

A decisão ainda pode ser capitalizada pelo governo e pelas empresas/Unplash
A decisão ainda pode ser capitalizada pelo governo e pelas empresas/Unplash
Normas estabelecidas por lá são estratégicas para o país, o que pode facilitar ou dificultar  a entrada de empresas brasileiras noutros mercados.
Fecha de publicación: 17/07/2020
Etiquetas: LGPD

Enquanto no Brasil, acometido por intrigas paroquiais e pela pandemia, é adiado o início da eficácia plena de grande parte das normas da Lei Geral de Proteção de Dados (LGPD) para 2021, noutras terras as discussões relacionadas à proteção de dados pessoais e à preservação do equilíbrio econômico mundial são prioridade.

 

No mesmo dia em que disputas por espaço político e um lugar destacado sob os holofotes são matéria de capa no País, uma impactante decisão tomada pela Corte de Justiça da União Europeia (CJEU), a mais alta autoridade judiciária local, recebe quase nenhuma atenção, em que pesem seus efeitos para países, governos, empresas, negócios e cidadãos, que só poderão ser mensurados com clareza no passar dos anos.

 

A decisão, tomada a 16 de julho, envolve transações comerciais mundiais superiores a US$7 trilhões, a expressão financeira dos negócios diretos entre a União Europeia e os Estados Unidos.

 

Resumidamente, a Corte europeia analisou a validade e eficácia do assim chamado Privacy Shield (Escudo de Privacidade), sistema de proteção europeu-americano destinado a garantir a segurança e privacidade da transferência – e o compartilhamento – de dados pessoais entre organizações, públicas e privadas, do Velho e do Novo Mundo.

 

Ao deliberar, o Tribunal declarou a invalidade do Privacy Shield, fato que, na prática, leva a proteção dos dados pessoais transferidos ao ponto de partida anterior ao Escudo. Dois foram os argumentos decisivos: os requisitos de acesso de autoridades públicas americanas aos dados pessoais, inclusive sensíveis, não está à altura dos requisitos no âmbito da UE; restrições legais a que empresas e cidadãos ficam sujeitos, nos Estados Unidos, quando buscam reparação judicial por violação de privacidade de dados.

 

Parece pouco, mas esse debate, principalmente em tempos complexos, num mundo em que parte das economias anda pelo fio da navalha, gera ondas de choque disseminadas, inclusive no Brasil, cuja balança comercial tem óbvia e forte dependência das transações com a União Europeia e os EUA.

 

Em 1º de agosto de 2016 entrou formalmente em operação o Privacy Shield, ou Escudo de Proteção, estabelecido entre a União Europeia e os Estados Unidos. Visando a proteger os direitos fundamentais de pessoas cujos dados fossem transferidos a organizações americanas, geralmente para fins comerciais, o Escudo favorecia a transferência, mas sob um protocolo comum de salvaguarda, e para isso todos os envolvidos se comprometeriam com critérios de privacidade, de limitação de acesso e de busca judicial de reparação.

 

Embora a estrutura tivesse em vista a proteção de dados de cidadãos da União Europeia, sua concepção previa que dados de americanos recebessem, no futuro, em solo europeu, igual salvaguarda.

 

Paralelamente ao Privacy Shield, UE e EUA também firmaram o Umbrella Agreement, um acordo cooperativo transatlântico relacionado à aplicação legal da proteção de dados pessoais e à persecução de objetivos comuns, entre eles o combate ao terrorismo grave e ao tráfico internacional.

 

Desse modo, e de acordo com as normas do sistema aprovado, empresas europeias interessadas em transferência de dados para os EUA deveriam ingressar como anuentes ao sistema, e assim ser reconhecidas como hábeis para fazer a transferência, mediante registro.

 

O problema começou porque, já em 2015 – antes do acordo –, na esteira da Diretiva 95/46 e do Acórdão C-362/14 (caso Schrems), a Comissão Europeia alertava o Parlamento Europeu sobre riscos da transferência de dados aos EUA, à vista da assimetria entre a qualidade da proteção europeia e a que os Estados Unidos aplicavam internamente.

 

Diversas consultas bilaterais e iniciativas de ajuste consensual depois, não houve significativo avanço, do que resultou a decisão da CJEU.

 

Um dos ângulos dessa decisão, no entanto, age como contraponto.

 

É que a Corte deu boas evidências de que o padrão SCC de transferência – Standard Contractual Clauses –, adotado entre União Europeia e EUA, segue perfeitamente válido e aplicável. Em certa medida, isso traz benefícios ao Brasil e a empresas aqui instaladas, que, seja pela postergação do marco legal sobre a proteção de dados pessoais para 2021, seja pela dificuldade em negociar um alinhamento bilateral sobre tráfego de dados, podem se valer do SCC, padrão agora visto como aceitável.

 

Mas a decisão também pode prejudicar, e muito, as empresas no Brasil.

 

Assim porque, invalidado o Privacy Shield, a União Europeia poderá, bem provavelmente, intensificar seu nível de exigências para aprovar acordo sobre a transferência de dados envolvendo terceiros não europeus.

 

Como as transações Brasil-UE são estratégicas para o País, especialmente para evitar polarizações, e como a UE é parceira que pode facilitar – ou dificultar – a entrada de empresas brasileiras noutros mercados, é imperioso que governo e companhias intensifiquem esforços para negociar, o quanto antes, um sistema bilateral específico de proteção à transferência de dados.

Ninguém nega o avanço que a LGPD representa. Ninguém! Inclusive em relação às salvaguardas nas transferências internacionais de dados! Mas isso não basta para as questões recentes e as que ainda surgirão.

Algumas medidas, como adiar para 2021 a eficácia de certos dispositivos, em nada ajudam o Brasil a se apresentar como third part privilegiado, e menos ainda em negócios que dependem de ativo tão valioso como os dados pessoais. Conquanto haja muita especulação sobre as razões desse adiamento, o certo é que ele retira das empresas quaisquer vantagens que poderiam explorar após a decisão da CJEU.

 

Sempre haverá quem argumente que essa decisão, como a pandemia de COVID-19, não poderia ser adivinhada.

 

Não se trata se adivinhar. Num caso e noutro, os sinais sempre estiveram por aqui. O Brasil é que, instintiva ou deliberadamente, os ignorou.

 

A decisão ainda pode ser capitalizada pelo governo e pelas empresas. Só é preciso coragem e intenso trabalho. Quem se dispõe?

 

*Japyassú Resende Lima é advogado do Lopes Pinto, Nagasse Advogados.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.