Quais são as hipóteses em que é possível a transferência internacional de dados pessoais?

1 Introdução

A privacidade e o self (em sua identidade pessoal), na sociedade informacional, são cada vez mais expostos à publicidade da Internet (CASTELLS, 2010, p. 03). Na expressão de Rodotà (2004, pp. 134-145), na configuração atual do homem de “vidro”, cuja vida está totalmente às claras. A exemplo, os direitos ao esquecimento, à indexação e à desvinculação, invocados para quando não mais é a informação útil ao público, ou quando o direito à privacidade e à identidade pessoal se sobressaem ao interesse do público (LIMA, 2017, p. 247), são impactados pela perpetuidade da disseminação dos dados pessoais, envoltos em um contexto de perfilização (on-line profiling) para o uso do marketing comportamental.

Os direitos da privacidade e da proteção dos dados pessoais devem se ater aos aspectos transfronteiriços (cross-border effects) do espaço digital (cyberspace), a fim de que o enforcement sobre a sua garantia seja efetuado de modo que a disseminação dos dados pessoais esteja sob o guarda-chuva de normas que os salvaguardem dos interesses do setor privado, como pela monetização dos dados, em um cenário da defesa da tese de que são estes o novo petróleo (data is the new oil!).

2 Qual a importância da regulação da transferência internacional dos dados pessoais?

O contexto da era pós-Snowden, acerca de suas revelações do plano de vigilância global da “Five Eyes Alliance” (aliança entre Austrália, Canadá, Nova Zelândia, Reino Unido e EUA), por meio da coleta de dados diretamente de provedores de serviços de Internet, demonstra a imprescindibilidade da regulação da transferência internacional dos dados pessoais, que podem, sem a devida proteção, ser transferidos para Estados que não possuem um nível protetivo adequado, bem como transferidos para finalidades outras que não as especificadas quando de sua coleta – esta que deve estar imbuída, salvo as hipóteses previstas pelo conjunto normativo protetivo dos dados pessoais, do consentimento explícito e informado do titular. Um exemplo da ausência de regulação sobre a transferência internacional é o caso da coleta de dados efetuada pelo professor e pesquisador em neurociência cognitiva e comportamental da Universidade de Cambridge, Aleksandr Kogan, criador do aplicativo “This is your digital life” (#thisisyourdigitallife), um quiz que objetivava calcular as predileções de personalidade dos usuários nele cadastrados.

O aplicativo solicitava ao usuário a realização de um login por meio de sua conta no Facebook, inquerindo o acesso aos dados de seu perfil, de locais visitados e de dados de amigos. A coleta de dados de terceiros – amigos dos usuários que se cadastravam no aplicativo – resultou na captação de dados de mais de 87 milhões de perfis do Facebook. Os dados foram coletados por Kogan, com o consentimento dos titulares, para que fossem utilizados no aplicativo #thisisyourdigitallife. O caso está inserido no panorama da transferência internacional de dados em razão de que a transferência realizada dos dados dos titulares englobou diferentes países – principalmente os EUA, mas também Reino Unido, Canadá, Austrália, Brasil, dentre outros, sem o consentimento dos usuários para as finalidades utilizadas pela Cambridge Analytica.

3 Quais são as hipóteses em que é possível a transferência internacional de dados pessoais?

O inc. XV do art. 5° da LGPD estabelece que a transferência de dados pessoais é internacional quando realizada para países estrangeiros ou organismos internacionais dos quais o país seja membro. O Capítulo V da lei foi destinado inteiramente às disposições sobre a transferência internacional, que é somente permitida, conforme o rol taxativo do art. 33 da LGPD:

  • para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei brasileira;
  • quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados também previstos pela LGPD, na forma de cláusulas contratuais específicas para uma transferência, por cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta regularmente emitidos;
  • quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  • quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • quando a ANPD conceder autorização para a transferência;
  • quando a transferência resultar em compromisso assumido pelos instrumentos de direito internacional;
  • quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, com concessão de privacidade;
  • quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
  • quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º da LGPD, que dizem respeito à necessidade do tratamento para o cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contratos dos quais o titular dos dados seja parte e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Além disso, a LGPD também impõe a necessidade de que o país ou organismo internacional que receberá os dados pessoais tenha um nível protetivo ao menos equânime ao adotado pelo diploma brasileiro, destacando que caberá à ANPD a competência em avaliá-lo, a qual levará em consideração, por exemplo: (i) as normas gerais e setoriais da legislação do país estrangeiro ou organismo internacional, bem como da observância dos princípios elencados pela LGPD; (ii) a natureza dos dados; (iii) a adoção de medidas de segurança à proteção dos dados; e (iv) a existência de garantias judiciais e institucionais.

Tendo os dados pessoais dos usuários em mãos, coletados do Facebook, Aleksandr Kogan realizou, sem um consentimento específico dos titulares para essa finalidade, uma transferência dos dados para a Cambridge Analytica, instituição inglesa de análise de dados, envolvida em campanhas políticas (pela localização e coleta de potenciais eleitores), que obteve acesso aos dados dos perfis coletados do Facebook.

4 Caso Cambridge Analytica versus Facebook

O Facebook divulgou, em nota, estatísticas sobre o número de usuários dos quais potencialmente a Cambridge Analytica tenha obtido dados pessoais. Foi estimado que cerca de 81,6% dos perfis estavam localizados nos EUA (o que representa mais de 70 milhões de usuários) e 0,5% no Brasil (cerca de 450 mil usuários). Também declarou, em março de 2018, que a Cambridge Analytica havia recebido os dados dos usuários de Aleksandr Kogan.

A instituição de análise de dados utilizou os dados obtidos para a perfilização, a fim de customizar estratégias de marketing para a campanha presidencial de Donald Trump, que havia contratado os serviços da Cambridge Analytica para a identificação on-line dos eleitores e a customização dos anúncios para os diferentes perfis.

Após a divulgação da utilização dos dados pessoais pela Cambridge Analytica, em abril de 2018, o Facebook alterou suas políticas de privacidade (SCHROEPFER, 2018) – antes da entrada em vigor do General Data Protection Regulation (GDPR), que ocorreu em maio de 2018. Em outubro, o United Kingdom Information Commissioner’s Office (ICO) – a autoridade britânica responsável pela proteção dos dados pessoais e da privacidade – impôs ao Facebook a multa máxima de £500 mil – estabelecida pelo UK Data Protection Act de 1998, em vigor quando da ocorrência da utilização dos dados pela Cambridge Analytica e sob a égide da Diretiva 95/46/CE, da União Europeia, substituída pelo GDPR, cujas sanções estão delimitadas pelo art. 83 – que prevê multas de até £20 milhões ou, no caso de uma empresa, de até 4% de seu faturamento global correspondente ao exercício financeiro anterior. 

5 Conclusão

A utilização, pela Cambridge Analytica, dos dados pessoais dos usuários do Facebook, transferidos e tratados pela instituição inglesa sem o consentimento específico dos titulares, cujo tratamento se utilizou, também, de dados pessoais sensíveis, em razão do tratamento de dados de convicção política (atualmente conceituados como dados pessoais sensíveis, no Brasil, pelo inc. II, §3°, art. 3° da LGPD), revelam a importância da regulação da transferência internacional dos dados pessoais, bem como do estudo das medidas necessárias para a sua fiscalização e para o seu enforcement, deveres das autoridades protetivas – como da ANPD.

Para saber mais sobre os conceitos dos dados pessoais sensíveis, presentes no caso Cambridge Analytica versus Facebook, acesse o nosso post (INSERIR LINK).

6 Referências

BRASIL. Lei 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, 15 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 25 out. 2019.

CASTELLS, Manuel. The Information Age. Economy, Society, and Culture. Volume I: The Rise of the Network Society. Chichester, UK: John Wiley & Sons, 2010.

LIMA, Cíntia Rosa Pereira de. La dinamicità del diritto all’oblio e il pericolo della sua non flessibilità secondo l’orientamento del Supremo Tribunale Federale brasiliano. In: FAVALE, Rocco; MERCOGLIANO, Felice (coords.). Annali della Facoltà Giuridica dell’Università di Camerino – n. 6/2017. Camerino, Itália: Facoltà Giuridica dell’Università di Camerino, 2017, pp. 243-257. Disponível em: http://afg.unicam.it/afg/sites/d7.unicam.it.afg/files/Volume_6_2017.pdf.  Acesso em: 20 set. 2019.

LIMA, Cíntia Rosa Pereira de. PEROLI, Kelvin. Direito Digital: Regulação, Governança e Compliance. São Paulo: Quartier Latin, 2019.

RODOTÀ, Stefano. Tecnopolitica – la democrazia e le nuove tecnologie della comunicazione. Roma – Bari: Laterza, 2004. pp. 134 – 145.

SCHROEPFER, Mike. An update on our plans to restrict data access on Facebook. Facebook Newsroom, 04 de abril de 2018. Disponível em: https://newsroom.fb.com/news/2018/04/restricting-data-access/. Acesso em: 26 out. 2019.

SCHROEPFER, Mike. An update on our plans to restrict data access on Facebook. Facebook Newsroom, 04 de abril de 2018. Disponível em: https://newsroom.fb.com/news/2018/04/restricting-data-access/.  Acesso em: 26 out. 2019.

THE ECONOMIST. The world’s most valuable resource is no longer oil, but data. The Economist, 06 maio 2017. Disponível em: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso em: 31 out. 2019.

UNIÃO EUROPEIA. Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, 04 de maio de 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e8250-1-1. Acesso em: 20 out. 2019.

Autor: Kelvin Peroli

Graduando em Direito pela Faculdade de Direito da USP Ribeirão Preto – FDRP. Membro permanente do Grupo de Pesquisa: Tutela jurídica dos dados pessoais na internet (http://dgp.cnpq.br/dgp/espelhogrupo/4485179444454399) e do Grupo de Pesquisa: Observatório do Marco Civil da Internet no Brasil (http://dgp.cnpq.br/dgp/espelhogrupo/2215582162179038). Associado Fundador do Instituto Avançado de Proteção de Dados – IAPD. Associado (desde a fundação) do IBDCONT – Instituto Brasileiro de Direito Contratual.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

A sua empresa já está certificada para a LGPD?

O IAPD é o instituto especializado em certificação de empresas e e de profissionais para avaliação da conformidade da sua atuação em relação à Lei Geral de Proteção de Dados. Prepare-se para as novas exigências do mercado no que se refere à privacidade e à segurança dos dados de seus clientes e parceiros.
Entre em contato

+55 (16) 99621-8887

/

/

Horário de Atendimento
Rolar para cima