O tratamento legal conferido à transferência internacional de dados

Com as redes sociais, os dados pessoais ficam cada vez mais expostos | Fonte: Luke Chesser via Unsplash
Com as redes sociais, os dados pessoais ficam cada vez mais expostos | Fonte: Luke Chesser via Unsplash

Cresceu, nos últimos meses, um esforço político em prol da elaboração de uma regulamentação mais específica no que se refere à proteção de dados. A intensificação no uso das redes sociais aumentou consideravelmente o volume de informações pessoais armazenadas nos servidores das Big Techs, trazendo consigo implicações políticas, jurídicas e econômicas a nível mundial. Após o Brexit e a ascensão de ideias da extrema-direita em países como Estados Unidos e Brasil, foi possível verificar quão politicamente relevante pode ser a gestão que se faz deste vasto núcleo de dados, jogando luz a um ambiente que até alguns anos atrás parecia seguir a lógica do “vale-tudo”.

Notou-se, desta feita, um incremento nas discussões sobre crimes cibernéticos, uso das redes sociais em campanhas eleitorais e regulação das mídias sociais. Quanto à transferência de dados, permanecem inconclusos os debates a respeito do conflito de jurisdições, dado que em boa parte das situações tem-se uma relação jurídica que envolve um usuário situado no país A, com uma empresa sediada no país B, que, por sua vez, armazena as informações coletadas em servidores no país C. A estrutura legal que disciplina esse tipo de relação segue frágil, normalmente embasada em tratados bilaterais ou na promessa de reciprocidade.

Ocorre que, em circunstâncias extremas em que seja necessária a judicialização da questão, verifica-se que: a) a morosidade e a grande burocracia põem em risco a utilidade do mecanismo; e b) a falta de clareza quanto ao termos legais aplicáveis pode eventualmente lesar o direito à privacidade.

Nesse sentido, importa neste artigo compreender o regramento que vigora atualmente sobre o modo pelo qual essa transferência internacional de dados pode ser realizada, estudando sua capacidade de equilibrar uma celeridade processual em conjunto com uma proteção efetiva da privacidade do usuário.

Receba as principais análises


Boletins de análises todas as semanas no seu e-mail com artigos, entrevistas, resenhas e conteúdo exclusivo. Inscreva-se.

O Marco Civil da Internet e a LGPD

O Marco Civil da Internet (Lei nº 12.965/14) visa estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil e determinar as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria. Sua disciplina colaciona como princípios, dentre outros, a proteção da privacidade, a proteção dos dados pessoais e a responsabilização dos agentes de acordo com suas atividades. Suas disposições preveem a obrigatoriedade de haver consentimento expresso do usuário sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais, além do direito à obtenção de informações claras e completas sobre essas operações.

Ocorre que a obtenção desse consentimento expresso é facilmente obtida pelas empresas de tecnologia sob a via dos ‘Termos de serviço’ disponibilizados no ato da inscrição do usuário junto à rede social, oportunidade na qual, como se sabe, o indivíduo nem sequer lê as cláusulas às quais está dando anuência. Trata-se, portanto, de uma situação completamente contrária àquela esperada da edição do dispositivo legal.

A Lei Geral de Proteção de Dados (Lei nº 13.709/18), nesse sentido, veio a fim de dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A disciplina deste dispositivo trouxe uma base axiológica similar à construída pelo Marco Civil, aludindo, por exemplo, à liberdade de expressão, de informação, de comunicação e de opinião e aos direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

O tratamento legal conferido à transferência internacional de dados 1
De com a Lei Geral de Proteção de Dados, tanto pessoa física quanto jurídica devem ter direitos fundamentais de liberdade e de privacidade preservados | Fonte: Camilo Jimenez via Unsplash

A LGPD, entretanto, sedimentou a competência da jurisdição brasileira nos aspectos relativos à proteção de dados coletados em território nacional, ensejando uma série de controvérsias judiciais a esse respeito. Suas disposições preveem, in verbis:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou   
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

No mesmo sentido, o Marco Civil da Internet já previa que:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil. 
§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. 
§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações. 

Veja-se que ambos os dispositivos visam resguardar a competência da jurisdição brasileira para a apreciação de questões relativas à administração de dados coletados em território nacional, tendo em vista que as empresas privadas que realizam essas operações não raro o fazem de forma descentralizada, prejudicando o tratamento jurídico efetuado no país específico em que reside o usuário relacionado. Essa indefinição interfere negativamente em procedimentos judiciais, desde aqueles de natureza civil, como as ações relativas à adoção, guarda, prestação de alimentos, partilha de bens, et al, até processos de natureza criminais, dada a expansão dos tipos penais cometidos através do ambiente cibernético.

Esse debate relativo ao conflito de jurisdições, ponto crucial do presente artigo, será mais adiante elaborado, com a exploração da Ação Declaratória de Constitucionalidade nº 51, na qual se discute a questão perante o Supremo Tribunal Federal. Por ora, mostra-se imprescindível o estudo da disciplina internacional da matéria, mormente do Cloud Act, nos Estados Unidos.

O Cloud Act e a disciplina internacional da matéria

A proteção de dados pessoais não encontra no regramento internacional uma disciplina bem definida e que, de fato, resguarde o exercício do direito à privacidade de uma forma satisfatória. Isto porque, conforme dito anteriormente, os instrumentos de cooperação jurídica internacional se baseiam fundamentalmente na existência de tratados entre os países envolvidos ou em promessas de reciprocidade.

Dado que os países em geral possuam um interesse maior em transigir por questões econômicas e criminais, ocorre que a disciplina atinente a temas de feição nitidamente civis depende muito da dinâmica meticulosa. Prejudica-se, nesse sentido, tanto a celeridade dos procedimentos referentes a esse instrumento, quanto a proteção dos direitos das partes relacionadas ao pedido de cooperação.

No âmbito do Mercosul, por exemplo, existe o Protocolo de Las Leñas, internalizado no direito pátrio por meio do Decreto nº2.067/96. O protocolo trata da cooperação e assistência jurisdicional em matéria civil, comercial, trabalhista e administrativa, prevendo a utilização da carta rogatória como mecanismo para, dentre outras funções, recebimento ou obtenção de provas. Trata-se, portanto, de regramento hábil, não obstante débil, para a transferência de dados necessários para eventual diligência probatória.

Já na esfera criminal, a Convenção de Palermo, cujo objetivo primordial consiste em combater o crime organizado transnacional, em seu artigo 18 possibilita a comunicação espontânea entre os países signatários. Esse instrumento permite que a transferência de informações ocorra com uma maior celeridade, mormente por se tratar de um mecanismo que restringe sua utilização às situações relacionadas às organizações criminosas que operam em diversos países.

Nesse sentido, cabe trazer à baila as disposições in verbis:

Artigo 18
Assistência judiciária recíproca
1. Os Estados Partes prestarão reciprocamente toda a assistência judiciária possível nas investigações, nos processos e em outros atos judiciais relativos às infrações previstas pela presente Convenção, nos termos do Artigo 3, e prestarão reciprocamente uma assistência similar quando o Estado Parte requerente tiver motivos razoáveis para suspeitar de que a infração a que se referem as alíneas a) ou b) do parágrafo 1 do Artigo 3 é de caráter transnacional, inclusive quando as vítimas, as testemunhas, o produto, os instrumentos ou os elementos de prova destas infrações se encontrem no Estado Parte requerido e nelas esteja implicado um grupo criminoso organizado.
(…)
3. A cooperação judiciária prestada em aplicação do presente Artigo pode ser solicitada para os seguintes efeitos:
e) Fornecer informações, elementos de prova e pareceres de peritos;
f) Fornecer originais ou cópias certificadas de documentos e processos pertinentes, incluindo documentos administrativos, bancários, financeiros ou comerciais e documentos de empresas;
4. Sem prejuízo do seu direito interno, as autoridades competentes de um Estado Parte poderão, sem pedido prévio, comunicar informações relativas a questões penais a uma autoridade competente de outro Estado Parte, se considerarem que estas informações poderão ajudar a empreender ou concluir com êxito investigações e processos penais ou conduzir este último Estado Parte a formular um pedido ao abrigo da presente Convenção.

Atente-se ao fato de que a transferência dos dados depende exclusivamente de um juízo discricionário da autoridade competente, cabendo a ela apenas investigar a relevância ou não dessas informações no sentido de ajudar a empreender ou concluir com êxito investigações e processos penais. Há, evidentemente, uma mitigação do direito à privacidade e ao devido processo legal, em benefício, porém, da agilidade de uma persecução penal relacionada a crimes de alta gravidade.

O Acordo de Assistência Legal Mútua em Matéria Penal (MLAT – Mutual Legal Assistance), assinado entre o Brasil e os Estados Unidos, prevê o mecanismo do auxílio direto, que dispensa o juízo de delibação perante o Superior Tribunal de Justiça, eliminando assim algumas etapas burocráticas procedimentais. Ainda assim, o tempo médio de resposta de um pedido circunda o prazo de 15 a 18 meses.

Os termos desse acordo, entretanto, possuem uma série de restrições, desde a impossibilidade se fundamentar um pedido elaborado diretamente pelo interessado (pessoa física), até a obrigatoriedade de que as informações obtidas sejam aproveitadas apenas em investigação, inquérito, ação penal ou procedimento expressamente consentido pela Autoridade Central do Estado requerido.

Essas restrições prejudicam a execução do tratado, tendo em vista a ampla discricionariedade no que se refere à recusa em prestar a colaboração, podendo esta ser fundamentada em questões formais (ausência de alguma das inúmeras formalidades exigidas para a solicitação) ou em questões de segurança ou interesses essenciais do Estado requerido. Esses fundamentos denotam a fragilidade inerente ao regramento da cooperação jurídica internacional, mesmo nos mecanismos previstos em matéria penal (que são mais volumosos).

Nesse sentido, foi editado em 2018 nos Estados Unidos o Cloud Act, com o objetivo de simplificar a transferência de dados virtuais, ainda que estes estejam armazenados fora da jurisdição dos Estados envolvidos. Os termos desse dispositivo trouxeram uma nova roupagem à transferência de dados virtuais, tema bastante em voga nos últimos anos.

O Cloud Act dispõe que:

A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Pode-se discutir sobre a legitimidade de uma disposição de direito interno dos EUA possuir o condão de vincular o tratamento de informações armazenadas em outro Estado, dada sua respectiva soberania. É certo, porém, que a obrigação só vincula a entidade privada que opere em solo americano, constituindo, assim, uma tentativa de mitigar os efeitos da divisão internacional de trabalho que muitas vezes é utilizada para burlar os ordenamentos jurídicos dos países que sediam essas operações.

Nesse ponto, importa citar passagem interessante narrada pelo Instituto de Referência em Internet e Sociedade:

Recentemente, os Estados Unidos têm sido um dos principais responsáveis por levantar o debate sobre cooperação jurídica internacional e dados sediados no estrangeiro, principalmente devido ao caso Estados Unidos/Microsoft, também conhecido  como “Microsoft Irlanda”. O litígio teve início em 2013, quando um juiz americano concedeu um mandado (warrant) autorizando que forças de investigação obtivessem os conteúdos de emails e dados de um usuário de serviços da Microsoft suspeito de tráfico de drogas. Contudo, a empresa entregou apenas os Metadados, alegando que apenas eles estariam armazenados em território americano, e que não poderia fornecer as informações contidas nos e-mails, pois elas estavam em um data center na Irlanda, afirmando, assim, que as normas e decisões americanas não poderiam ter aplicação no território irlandês. Depois de diversos argumentos, recursos e apelações, o caso foi aceito pela Suprema Corte Americana, levantando pontos que apontam que os atuais mecanismos de cooperação jurídica internacional estabelecidos em MLATs (Mutual legal assistance treaty ou acordos de cooperação jurídica) como lentos, burocráticos e não são eficientes no atual contexto de relações transfronteiriças na internet, apontando ainda que muitas empresas têm o hábito de alterar a localização dos seus dados, impossibilitando inclusive saber para qual país é necessário solicitar o acordo de cooperação. Toda essa discussão levou o chefe do executivo dos Estados Unidos (Presidente Donald Trump) a movimentar um projeto de lei chamado CLOUD Act, que busca alterar as regras de transferência internacional de dados entre as empresas sediadas no estrangeiro, facilitando investigações policiais e fazendo com que as empresas agora tenham obrigação legal de fornecer dados de investigados, mesmo que estes não estejam sediados nos Estados Unidos.

Além disso, o Cloud Act possibilita que o governo dos Estados Unidos realize acordos de reciprocidade com outros países sob o fito de efetivar a transferência desses dados virtuais, desde que esses países possuam legislação vigente com conteúdo semelhante ao aludido dispositivo.

O Cloud Act é alvo de diversas críticas, em especial por configurar uma grave ameaça ao direito à privacidade e por consistir em uma intervenção direta em jurisdição de outros territórios soberanos. Além disso, autoridades brasileiras afirmam que as mesmas restrições citadas em referência ao MLAT prejudicam as solicitações feitas sob o regramento do Cloud Act, de tal modo que, na prática, a transferência de dados segue deficitária, dada a lentidão e a discricionariedade pelas quais esses pedidos são apreciados pelos EUA.

A ADC 51 e o conflito de jurisdições

Prossegue no Supremo Tribunal Federal a Ação Declaratória de Constitucionalidade nº 51, ajuizada pela Federal das Associações das Empresas de Tecnologia da Informação (Assespro Nacional) com o objetivo de que seja declarada a constitucionalidade da utilização dos Acordos de Cooperação Mútua (MLAT) para fins de compartilhamento de dados armazenados em provedores sediados no exterior.

Para tanto, foi realizada uma audiência pública em fevereiro de 2020, na qual houve a participação de 36 expositores, incluindo integrantes do setores público, privado e civil. O ministro Gilmar Mendes, relator da ação, explicitou o objeto da demanda:

A discussão envolve questões técnicas e jurídicas de alta complexidade, como a prática e a efetividade do tratado internacional para a obtenção e a interceptação do conteúdo de comunicações eletrônicas, a possibilidade de aplicação da legislação brasileira e de outros instrumentos para acesso a comunicações intermediadas por empresas norte-americanas ou estrangeiras e a possível diminuição do nível de proteção da privacidade dos usuários de serviços de internet. Também estão em debate os limites da soberania nacional dos países envolvidos, “diante do cenário de fragmentação de fronteiras, virtualização do espaço físico e ampliação, a nível global e instantâneo, dos meios de comunicação”, os critérios de alcance da jurisdição brasileira sobre comunicações eletrônicas e parâmetros como a territorialidade, o local de armazenamento físico dos dados, a definição da empresa controladora e o impacto da atividade comunicativa.

O ponto crucial da questão reside na possibilidade se estabelecer um efeito extraterritorial à legislação interna que vincule a operação de mídias sociais em seu território à disposição de dados pessoais de seus usuários armazenados em servidores que se encontram em território de outro Estado soberano. Trata-se de uma questão complexa, que traz consigo implicações políticas e econômicas relevantes.

Da mesma forma, as empresas mais poderosas no mercado atualmente atuam na indústria da tecnologia da informação. Assim, a discussão a respeito da transferência de dados virtuais afeta diretamente as atividades de um setor importantíssimo da economia mundial.

Argumenta-se que o Estado, ao assinar um tratado MLAT, estaria de certa forma transigindo sobre a possibilidade de eventualmente se reduzir uma parcela de sua soberania a fim de satisfazer um compartilhamento de informação juridicamente relevante.

Não obstante, Natalia Peppi, discursando na referida audiência pública, traça uma comparação entre a LGPD e a GDPR (General Data Protection Regulation), sistema de proteção de dados vigente no seio da União Europeia:

A LGPD é inspirada na General Data Protection Regulation, o GDPR, que também prevê a aplicação extraterritorial da lei em determinadas circunstâncias, mas, como não poderia deixar de ser, ambas não indicam jurisdição executiva extraterritorial. Tanto a LGPD, quanto o GDPR não indicam como será realizado o enforcement das decisões envolvendo as leis. Para isso será necessária a cooperação jurídica internacional. A razão disso é justamente o fato de que os princípios de soberania, independência, não intervenção e cooperação entre os povos contidos expressamente na nossa Constituição Federal não permitem aos Estados estrangeiros realizarem diligências processuais, nem executarem decisões judiciais em território nacional à margem dos apropriados mecanismos.

Todavia, dentre tantos atores importantes, segue em discussão a abrangência do direito à privacidade da pessoa física envolvida nessas operações. É possível se questionar se uma eventual expansão do compartilhamento de dados pessoais não ampliaria desmesuradamente a intervenção estatal sobre a esfera de atuação privada dos indivíduos.

De todo modo, a ADC segue sem um desfecho. De forma semelhante, os movimentos de discussão no cenário geopolítico internacional parecem estar apenas no início. Tendo em vista o peso de cada um dos atores envolvidos na questão, urge se atentar à defesa incessante dos direitos do usuário (pessoa física), peça evidentemente mais vulnerável nesse assimétrico tabuleiro.

Considerações finais

Os instrumentos de cooperação jurídica internacional se mostram imprescindíveis na atual dinâmica jurisdicional. Dada a transnacionalidade do crime organizado, a divisão internacional do trabalho e a disseminação do uso da internet para as mais diversas atividades, não se vislumbra a resolução de questões mais básicas, como tópicos de Direito de Família ou do Consumidor, sem a colaboração de órgãos judiciais de outros Estados.

Nesse ínterim, os dados virtuais, cada vez mais importantes para a resolução de demandas das mais diversas disciplinas jurídicas, necessitam de um regramento mais específico e com um maior enforcement, sem que, no entanto, haja a extrapolação dos direitos fundamentais do indivíduo envolvido na disputa.

Na relação Brasil-Estados Unidos, como visto, existem instrumentos desenhados justamente para a formulação dessas solicitações, os quais carecem, contudo, de uma superação dessa dinâmica arbitrária que favorece os interesses do Estado que possuem maior capacidade de impor sua vontade, notadamente os EUA.

No seio do Poder Judiciário brasileiro, segue aberta a discussão sobre a extraterritorialidade das disposições atinentes à mitigação do conceito de soberania em prol do compartilhamento de informações juridicamente relevantes, em consonância, diga-se, com a legislação vigente no país.

Será interessante acompanhar o desenrolar dessa discussão, assim como os seus efeitos sobre a política, a economia e a privacidade do usuário.

Referências bibliográficas

BRASIL. Convenção de Palermo. Internalizada pelo Decreto nº 5.015/04. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2004-2006/2004/decreto/d5015.htm>. Acesso em: 26 out. 2020.

BRASIL. Lei Geral de Proteção de Dados (LGPD). Lei nº 13.709/18. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>.  Acesso em: 25 out. 2020.

BRASIL. Marco Civil da Internet. Lei nº 12.965/14. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 26 out. 2020.

INSTITUTO DE REFERÊNCIA EM INTERNET E SOCIEDADE. CLOUD Act: um caso de Direitos Humanos e Jurisdição. Disponível em: <https://irisbh.com.br/cloud-act-um-caso-de-direitos-humanos-e-jurisdicao/ >.  Acesso em: 27 out. 2020.

STF. AÇÃO DECLARATÓRIA DE CONSTITUCIONALIDADE 51. Relator: Ministro Gilmar Mendes. Audiência pública, 2020. Disponivel em: <http://www.stf.jus.br/arquivo/cms/audienciasPublicas/anexo/ADC51Transcricoes.pdf>. Acesso em: 27 out. 2020.

US. Clarifying Lawful Overseas Use of Data Act. Cloud Act. Disponível em: <https://www.congress.gov/bill/115th-congress/senate-bill/2383/text>.  Acesso em: 28 out. 2020.

Tagged:
About the Author

Escrivão de polícia (Polícia Civil-SP). Advogado. Especialista em Direito Público pela FAEL. MBA em Gestão Pública pela Universidade Cândido Mendes. Estudante de Ciências Econômicas e Relações Internacionais na UNIP. Mestrando em Comércio Internacional e Administração de empresas pela ENEB.

Deixe uma resposta