A GDPR e a decisão Schrems II: transferência internacional de dados pessoais e a avaliação de riscos no impacto no processamento dos dados

A transferência internacional dos dados pessoais tornou-se fundamental para prestação de serviços essenciais para a Era Digital e conectividades entre os indivíduos, como por exemplo, a hospedagem em cloud e armazenamento de informações, comumente coletadas em diversos países. Além de proporcionar a real globalização por intermédio das mídias sociais, encurtando o distanciamento imaginário das relações humanas.

No contrato de prestação de serviços de qualquer natureza deve, mandatoriamente, prever cláusulas que mitiguem os riscos pelo processamento dos dados pessoais entre o Controlador ("Controller") e o Operador ("Processor"), observando os papeis expostos pelo exportador e importador dos dados em seus respectivos territórios, respeitando as diretrizes trazidas pelos ordenamentos jurídicos referente a privacidade e proteção dos dados. Assim, haverá a limitação legal das responsabilidades civis dos agentes de tratamento nos casos específicos de incidente de segurança, ausência de medidas protetivas de segurança da informação, entre outras obrigações e deveres impostos as partes.

O negócio jurídico contratual e as responsabilidades dos agentes de tratamento 

Basicamente, os contratos são classificados pelas obrigações que geram, sendo um negócio jurídico perfeito de natureza bilateral ou até plurilateral, que haverá uma manifestação das vontades entre as partes. No mais, obrigatoriamente, devem possuir certos requisitos objetivos para ter eficácia, eficiência e vigência no plano da existência jurídica ontológica, como o objeto e/ou escopo do contrato deve ser lícito, possível, determinado ou determinável. Além do mais, as partes devem estar em plena capacidade de exercer seus direitos e o contrato pode ser verbal ou não-verbal. E ainda, a legitimidade do pacta sunt servanda apenas ocorrerá se não existir a má fé nas negociações pré-contratuais.

Os contratos sob a ótica de tutela à privacidade têm como finalidade mitigar ao máximo os riscos trazidos pelo processamento dos dados pessoais no território nacional ou estrangeiro, desde sua coleta dos dados até o compartilhamento com demais Operadores ou sub-operadores, que poderá ser a transferência internacional em si. Entretanto, lembrando-se que deve sempre existir uma base legal com determinada finalidade especifica para o tratamento dos dados pessoais, mesmo sem o consentimento do titular, que no caso beira a execução de contrato de prestação de serviço, já que sem o manuseio dos dados pessoais não haverá a efetividade na entrega da prestação de serviço contratada, devendo respeitar o princípio da transparência.

O Controlador ("Controller") dos dados pessoais é o agente de tratamento que tem a responsabilidade legal de tomar decisões autônomas e discricionárias sobre os dados pessoais trafegados, conforme artigo 24 da GDPR. Além de ser responsável por implementar medidas técnicas e organizacionais adequadas para a segurança das informações, respeitando assim a decisão Schrems II da Corte Europeia sobre a qualidade dos dados em tráfego internacionalmente para fora do território europeu. Assim, deve ser realizada uma avaliação do risco do impacto pela transferência ("Transfer Impact Assessment"), analisando os indicadores como métricas para avaliação na tomada de decisão para o negócio, como a jurisdição que se encontra o importador ("Importer") dessas informações, se há regulamentação eficaz no país que receberá os dados pessoais, se há penalizações e sanções administrativas que inibam práticas delituosas de hackers, entre outros requisitos trazidos pela Comissão Europeia.

A obrigatoriedade da realização do Transfer Impact Assessment ("TIA") sobre os dados pessoais originários da Europa

A obrigatoriedade da realização da avaliação do impacto da transferência dos dados se dá quando houver indubitavelmente o compartilhamento de dados vindos da Europa para empresas localizadas em países não pertencentes à União Europeia sem comprovação que suas leis estejam seguindo os mesmos padrões de proteção e tutela que as diretrizes trazidas pela GDPR.

O Regulamento Geral de Proteção de Dados (GDPR) é uma legislação abrangente da União Europeia (UE) que entrou em vigor em 25 de maio de 2018, foi desenvolvida para reforçar e unificar a proteção de dados pessoais dentro da UE, garantindo que os direitos individuais sejam respeitados e que as organizações processem os dados de forma transparente e segura.

A GDPR substituiu a Diretiva de Proteção de Dados da UE de 1995 e trouxe uma série de mudanças significativas na forma como os dados pessoais são tratados. Seu objetivo principal é fornecer aos indivíduos maior controle sobre suas informações pessoais, ao mesmo tempo em que estabelece obrigações claras para as organizações que coletam e processam esses dados. Além de ter introduzido sanções significativas para o descumprimento das suas disposições, incluindo multas administrativas que podem chegar a 20 milhões de euros ou 4% do faturamento global anual da organização.

Em resumo, o Regulamento Geral de Proteção de Dados (GDPR) representa um marco importante na proteção de dados pessoais na UE e tem um impacto significativo em organizações em todo o mundo, busca garantir a privacidade e a segurança dos dados pessoais, fortalecer os direitos dos indivíduos e estabelece um ambiente de confiança nas relações comerciais. A GDPR incentivou as organizações a adotarem práticas sólidas de proteção de dados, promovendo uma cultura de privacidade e segurança.

Além disso, a GDPR teve um impacto global, influenciando a forma como as empresas operam fora da UE. Muitas organizações em outros países ajustaram suas políticas e processos para se alinharem aos requisitos da GDPR, a fim de garantir a conformidade e evitar possíveis sanções.

A implementação da GDPR trouxe benefícios significativos para os indivíduos. Agora, eles têm maior controle sobre seus dados pessoais, podem acessar facilmente as informações que as organizações possuem sobre eles e têm o direito de solicitar a exclusão de dados quando não há mais uma base legal para o seu processamento, exercendo assim seus direitos como titulares de dados, conforme Capítulo 3 da GDPR.

A GDPR também promoveu uma abordagem proativa em relação à proteção de dados. As organizações devem realizar avaliações de impacto à proteção de dados, identificando e mitigando riscos potenciais antes que ocorram problemas. Isso contribui para a prevenção de violações e para a construção de uma cultura de cibersegurança.

Conclui-se, que com o decorrer do tempo haverá maior maturidade cultural sobre o tema de proteção dos dados pela visão das empresas, principalmente as localizadas fora do território europeu, já que se percebe um potencial risco de perda de negócios atrativos para as companhias não adequadas as orientações postas pela GDPR. Além de estarem em constante prelúdio de sofrerem sanções administrativas vindas das Autoridades Supervisoras.

Por essas razões, deve-se estimular nos ecossistemas macro e micro das Empresas e dos Estados soberanos a cultura do Compliance Digital como boa prática e ética para os negócios, sendo mandatório em due diligence de terceiros para contratação e homologação de parceiros e na elaboração de novo produto para comercialização que já esteja com o Privacy By Design. Desta forma, os direitos dos titulares de dados estarão garantidos e os dados pessoais estarão sendo tratados legitimamente e devidamente.