Para receber nossa newsletter diária inscreva-se aqui!
O alerta soou em 1º de janeiro, quando começou a vigorar o Acordo de Comércio e Cooperação entre a União Europeia e o Reino Unido (EU-UK Trade and Cooperation Agreement). O fundamento desse acordo é a definição de balizas para regimes preferenciais em setores como transporte, comércio digital, aviação e tráfego de dados pessoais (com o Reino Unido ainda considerado um Estado-Membro da União Europeia em tempos pós-Brexit).
A transferência de dados pessoais é o mais recente desafio entre companhias localizadas em países com legislação própria, mas lastreadas em conceitos e interpretações específicos.
Na prática, a transferência – para compartilhamento ou não – de dados pessoais se submete, num primeiro momento, a um período de concomitância legal. Na fase seguinte há um regime duplo: europeu (General Data Protection Regulation, GDPR) e um chamado GDPR-UK. Sob a ótica de seus fundamentos (mesmo que tais regimes sejam próximos e o acordo tenha previsão de um futuro sistema harmonizado) cada um tende a se distanciar pragmaticamente do outro. Ou seja: empresas que querem transferir dados pessoais de determinado país formalmente europeu ao Reino Unido, e vice-versa, precisarão compatibilizar a legislação vigente em ambas as pontas.
Além disso, as companhias também precisarão identificar se estarão sujeitas ao GDPR-EU, ao GDPR-UK, ou a ambos. E não se trata de, na dúvida, se sujeitar aos dois, por dificuldade de opção: é que talvez isso não seja possível, pois o período de transição – seis meses, segundo o acordo – poderá não ser suficiente para superar as assimetrias.
Como isso pode afetar o Brasil?
O que União Europeia e Reino Unido fizeram tem tudo para criar tendência mundo afora. Como a LGPD é calcada na GDPR, que estabelece uma sistemática de transferência de dados baseada no free flow under law, em breve o Brasil terá que lidar com problema muito semelhante. Nem sempre a legislação dos países envolvidos na transferência será mutuamente compatível, o que pode dificultar, e muito, o tráfego de dados.
Assim, empresas no Brasil que desejarem transferir dados pessoais a outro país, em especial europeu, enfrentarão um dilema: ou confiarão no princípio data origin country, sob o risco de que, uma vez transferidos, os dados se sujeitem à legislação do destino, que pode ser mais gravosa ou limitante; ou farão a transferência priorizando a legislação externa, correndo risco de penalização pela LGPD; ou, pior, transferirão os dados apostando na harmonização entre as leis interna e externa, o que pode abrir possibilidade de dupla contestação.
Para a LGPD, a transferência internacional de dados pessoais (art. 33), quando de interesse privado, é possível tão-somente se o receptor tiver “grau adequado” de proteção tomada a LGPD como referencial, ou se o controlador transferente puder assegurar que os dados terão “garantias” similares às conferidas no Brasil. Não é preciso muito para ver que tais requisitos sofrem de forte subjetividade sem critérios objetivos como contrapeso.
Um aspecto que pode ser abalado se refere às bases legais da transferência – que é um tipo de tratamento, segundo a LGPD (art. 5º, inc. X). Pode ocorrer que a base legal de transferência utilizada por uma empresa submetida à LGPD talvez não seja válida no país receptor dos dados pessoais, ou que a base legal aceita no receptor não seja admitida no Brasil. Isso talvez exija a adoção do regime de dual basis policy, em que quem transfere dados precisa confiar numa base legal flexível – basc –, posto que isso não resolva todos os impasses.
Sempre há possibilidade de que países entre os quais ocorra transferência de dados pessoais decidam compatibilizar suas legislações, mas não há garantia de que isso será feito. E tampouco se pode dizer que tal medida se dará na velocidade necessária.
Não há, no passado recente, legislação tão desafiadora. Mesmo organizações que já vinham se preparando têm enfrentado dificuldades, navegando entre a mitificação da proteção de dados pessoais e o conveniente hermetismo do tema, incentivado pela mercantilização. E esses desafios estão apenas no começo, até porque a ressignificação do conceito de dados pessoais, ainda considerados mercadoria, vai demorar.
Bases legais, compartilhamento, DPO, titular, controlador, mapeamento, tudo isso é novo o bastante para gerar perplexidade grave o suficiente para exigir atitudes responsáveis e valiosas quanto seja para merecer um planejamento legal eficaz e maduro. A ideia de que dados pessoais são elementos proprietários de um indivíduo – um direito fundamental – mudou a forma com que são tratados e passou a exigir melhor robustez em termos de conformidade legal (compliance) e governança, mesmo à custa de pesadas penalidades.
De qualquer maneira, as organizações precisam, desde agora, estabelecer uma política para lidar com isso, como a Data Common Policy (DCP), boa prática adotada por empresas e grupos. Discutir largamente o assunto e implementar medidas assim podem evitar impasses, reduzir a responsabilização de governança sobre os administradores e antecipar soluções.
*Japyassú Resende Lima é sócio de corporativo e estratégico (Data Privacy, LGPD/GDPR, Regulatório, Transportes, Logística, Infraestrutura, Compliance, Governança e Investimentos) do Lopes Pinto, Nagasse Advogados Associados.
Add new comment