GDPR e suas repercussões no direito...

Instituto de Referecircnciaem Internet e SociedadeGDPR e suas repercussotildees

no direito brasileiroPrimeiras impressotildees

de anaacutelise comparativa

Fabriacutecio B Pasquot Polido Lucas Costa dos Anjos Luiacuteza Couto Chaves Brandatildeo

Diego Carvalho Machado Davi Teofilo Nunes Oliveira

SUMAacuteRIO1 Introduccedilatildeo 42 A nova normativa europeia de proteccedilatildeo de dadospesssoais e seus contornos gerais 5

21 Contexto anterior ao Regulamento n 2016679 5

22 Teacutecnica normativa e dispositivos centrais do GDPR 8

23 Novos direitos positivados e ambientes informacionais 11

24 Multas e penalidades estabelecidas pela violaccedilatildeo deconformidade 13

25 Observaccedilotildees parciais da anaacutelise 13

3 Interfaces extraterritoriais do Regulamento (UE)n 2016679 e seus impactos no Brasil 14

31 Acircmbito de aplicaccedilatildeo do GDPR e extraterritorialidade 14

32 Local da atividade de tratamento de dados 18

33 Transferecircncia internacional de dados 20

4 Anaacutelise comparativa das repercussotildees do Regulamento(UE) n 2016679 nos direitos brasileiro e argentino 22

41 Argentina 23

42 Brasil 25

5 Conclusotildees e recomendaccedilotildees 296 Referecircncias Bibliograacuteficas 30

61 Livros e capiacutetulos de livro 30

62 Artigos cientiacuteficos 31

63 Legislaccedilatildeo 33

64 Decisotildees judiciais 33

65 Outros textos e documentos 34

7 Anexo 3671 Temas sistematizados da GDPR 36

4

1 IntroduccedilatildeoEntre tantas expectativas e incertezas o Regulamento Geral de Proteccedilatildeo dos

Dados Pessoais da Uniatildeo Europeia (GDPR)1 entrou em vigor em 25 de maio de 2018 e com ele um novo paradigma de proteccedilatildeo de dados pessoais natildeo restrito apenas ao continente europeu Sua abrangecircncia ambiccedilatildeo legislativa e maturidade conceitual corroboram a ideia de que esse eacute um autecircntico regulamento-modelo no qual diversas outras iniciativas nacionais regionais e intracomunitaacuterias tambeacutem seratildeo espelhadas em busca de padrotildees normativos uniformes na proteccedilatildeo de dados pessoais Natildeo seria exagero afirmar que o GDPR nasce como lsquomonstro normativorsquo2 um Leviatatilde a induzir con-dutas de conformidade (lsquocompliancersquo) por parte de agentes nas esferas puacuteblica e privada no campo da proteccedilatildeo de dados pessoais e especialmente identificaacuteveis nos ambientes informacional e digital

Desde sua concepccedilatildeo o Regulamento nordm 6792016 busca se adequar a novo cenaacuterio envolvendo a globalizaccedilatildeo das tecnologias e dos serviccedilos que utilizam a internet como base para suas operaccedilotildees Governos usuaacuterios e provedores de serviccedilos seratildeo diretamente afetados pelos dispositivos atualizados da Diretiva 9546CE de 19953 rel-ativa ao processamento de dados pessoais na comunidade europeia O que jaacute era pa-dratildeo legislativo de proteccedilatildeo relativamente avanccedilado se comparado a outras jurisdiccedilotildees estaacute prestes a se adequar a termos e procedimentos mais modernos e compatiacuteveis com as novas tecnologias de computaccedilatildeo automaccedilatildeo inteligecircncia artificial Nesse sentido encontram-se os conceitos de coleta processamento transferecircncia e vazamento de da-dos dados sensiacuteveis direito ao esquecimento entre outros aleacutem da manutenccedilatildeo de uma Autoridade de Proteccedilatildeo de Dados Pessoais (e a positivaccedilatildeo da determinaccedilatildeo de um Responsaacutevel pela Proteccedilatildeo de Dados no contexto burocraacutetico da macroestrutura da Uniatildeo Europeia4

Dada a relevacircncia do mercado europeu no comeacutercio internacional natildeo ape-nas como consumidores de produtos e serviccedilos (inclusive digitais) mas tambeacutem como prestadores de importantes serviccedilos online atualmente eacute de se esperar que vaacuterios out-ros cenaacuterios relevantes sejam afetados pela normativa europeiacomo o proacuteprio Brasil Em um contexto legislativo que natildeo apenas comporta como tambeacutem exige a regula-mentaccedilatildeo do tratamento de dados pessoais por meio do Marco Civil da Internet (Lei 129652014) a tramitaccedilatildeo de iniciativas como o Projeto de Lei do Senado nordm 3302013 eacute impulsionada pela entrada em vigor do novo Regulamento e ganha maior relevacircncia na pauta de discussotildees do Poder Legislativo nacional

A necessidade de refletir sobre as repercussotildees do Regulamento Geral de Proteccedilatildeo dos Dados Pessoais da Uniatildeo Europeia nos acircmbitos internacional e nacion-al eacute o que motiva o Instituto de Referecircncia em Internet amp Sociedade - IRIS a analisar o

1 A sigla em inglecircs que se destaca nas discussotildees acadecircmicas e nos quadros internacionais eacute GDPR correspondente agrave General Data Protection Regulation Por essa razatildeo seraacute essa a sigla adotada neste paper Em portuguecircs a sigla corresponde agrave RGDP UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho de 23 de abril de 2016 relativo agrave proteccedilatildeo das pes-soas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo desses dados e que revoga a Diretiva 9546CE (Regulamento Geral sobre a Proteccedilatildeo de Dados) Jornal Oficial da Uniatildeo Europeia Estrasburgo 04052016 Disponiacutevel em lthttpseur-lexeuropaeulegal-contentPTTXTHTMLuri=CELEX32016R0679ampfrom=PTgt Acesso em 160420182 Apenas para ilustrar o Regulamento conteacutem 173 considerandos e 90 artigos distribuiacutedos em nove capiacutetulos O Art4o em especial dispotildee de 26 definiccedilotildees concernentes ao Regulamento sua interpretaccedilatildeo e aplicaccedilatildeo 3 UNIAtildeO EUROPEIA Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa agrave pro-tecccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo desses dados (Regulamento Geral sobre a Proteccedilatildeo de Dados) Jornal Oficial da Uniatildeo Europeia Estrasburgo 24101995 Disponiacutevel em lthttpseur-lexeuropaeulegal-contentPTALLuri=celex31995L0046gt Acesso em 150520184 A figura da autoridade central seraacute analisada sob a perspectiva do Regulamento no proacuteximo capiacutetulo deste estudo

5

tema A partir de uma perspectiva comparada natildeo apenas em relaccedilatildeo ao Brasil como tambeacutem agrave Argentina pelas interfaces inequiacutevocas entre a livre circulaccedilatildeo de pessoas bens e serviccedilos no MERCOSUL e leis nacionais de proteccedilatildeo de dados pessoais busca-se empreender um esforccedilo de previsatildeo dos efeitos do Regulamento Geral de Proteccedilatildeo dos Dados Pessoais - GDPR sobre os ordenamentos juriacutedicos brasileiros e argentinos Aleacutem disso examinam-se os possiacuteveis conflitos e alteraccedilotildees agraves quais governos usuaacuterios e provedores de serviccedilos estaratildeo sujeitos

Assim em um primeiro momento a concepccedilatildeo do Regulamento Geral de Proteccedilatildeo dos Dados Pessoais da Uniatildeo Europeia seraacute contextualizada a partir do ar-cabouccedilo juriacutedico e jurisprudencial que o precedeu delineando seus conceitos mais in-ovadores e os princiacutepios norteadores da nova legislaccedilatildeo Em seguida identificamos os elementos extraterritoriais do novo Regulamento e seus possiacuteveis efeitos para o Brasil Finalmente em um exerciacutecio comparado de anaacutelise da legislaccedilatildeo argentina este artigo contextualiza o atual estado da arte da discussatildeo sobre proteccedilatildeo de dados pessoais nesse importante mercado latino-americano de alta relevacircncia para iniciativas de in-tegraccedilatildeo econocircmica como o Mercosul por exemplo Em linhas finais satildeo endereccediladas recomendaccedilotildees quanto agrave formaccedilatildeo de um posicionamento regional acerca dos rumos que toma essa temaacutetica em acircmbito global

2 A nova normativa europeia de proteccedilatildeo de dados pes-soais e seus contornos gerais

21 Contexto anterior ao Regulamento n 2016679A discussatildeo sobre a intromissatildeo de terceiros e do Estado na vida privada de

indiviacuteduos e de sua autonomia informacional tem sido pauta das discussotildees da Comuni-dade Europeia e da Uniatildeo Europeia haacute muitos anos Em 1950 a Declaraccedilatildeo Europeia dos Direitos do Homem apresentou noccedilotildees primaacuterias sobre privacidade em seu artigo 85 A Declaraccedilatildeo Universal dos Direitos Humanos tambeacutem previa em seu artigo 12ordm6 noccedilotildees que iniciaram o arcabouccedilo legislativo que culminou nas concepccedilotildees que tornaram pos-siacutevel a elaboraccedilatildeo de um regulamento europeu sobre proteccedilatildeo de dados nos dias atuais

Essas primeiras declaraccedilotildees foram elaboradas no poacutes-Segunda Guerra Mundial com o objetivo de promover o Estado de Direito a democracia os direitos humanos e o desenvolvimento social7 Por meio de subsiacutedios juriacutedicos aos artigos 12 e 8ordm a Corte Europeia dos Direitos do Homem se posicionou em inuacutemeros casos envolvendo dados pessoais principalmente envolvendo dados relacionados agrave interceptaccedilatildeo de comuni-caccedilotildees8 vigilacircncia9 e proteccedilotildees envolvendo o armazenamento de dados pessoais pelas 5 Art 8 Qualquer pessoa tem direito ao respeito da sua vida privada e familiar do seu domiciacutelio e da sua correspondecircncia Convenccedilatildeo Europeia dos Direitos do Homem 1950 Disponiacutevel emlthttpswwwechrcoeintDocumentsConvention_PORpdfgt Acesso em 05052018 6 Art 12 Ningueacutem sofreraacute intromissotildees arbitraacuterias na sua vida privada na sua famiacutelia no seu domiciacutelio ou na sua corre-spondecircncia nem ataques agrave sua honra e reputaccedilatildeo Contra tais intromissotildees ou ataques toda a pessoa tem direito a protecccedilatildeo da lei ONU Declaraccedilatildeo Universal dos Direitos Humanos Paris 1948 Disponiacutevel em lthttpwwwunorgenuniversal-declaration-hu-man-rightsgt Acesso emgt 280420187 CONSELHO EUROPEU Manual da Legislaccedilatildeo Europeia sobre Proteccedilatildeo de Dados 2014 Disponiacutevel em lthttpsrmcoeint16806ae65fgt Acesso em 10052018 8 UNIAtildeO EUROPEIA Corte Europeia de Direitos Humanos Acoacuterdatildeo Malone c Reino Unido de 2 de agosto de 1984 peticcedilatildeo nordm 869179 Disponiacuteveis em lthttpshudocechrcoeinteng22itemid22[22001-5753322]gt Acesso em 12052018 UNIAtildeO EUROPEIA Corte Europeia de Direitos Humanos acoacuterdatildeo Copland c Reino Unido de 3 de abril de 2007 peticcedilatildeo nordm 6261700 Dis-poniacutevel em lthttpshudocechrcoeinteng22itemid22[22001-7999622]gt Acesso em 150520189 UNIAtildeO EUROPEIA Corte Europeia de Direitos Humanos Acoacuterdatildeo Klass e o c Alemanha de 6 de setembro de 1978 peticcedilatildeo nordm 502971 Disponiacutevel emlthttpshudocechrcoeinteng22itemid22[22001-5751022]gt Acesso em 05052018 TEDH acoacuterdatildeo Uzun c Alemanha de 2 de Setembro de 2010 peticcedilatildeo nordm 3562305 Disponiacutevel em lthttpshudocechrcoeinteng22item

6

autoridades puacuteblicas e de investigaccedilatildeo10 Nesses cenaacuterios contenciosos estados eram os principais questionados em suas condutas de violaccedilatildeo de direitos fundamentais rel-ativos agrave privacidade

A Declaraccedilatildeo Europeia dos Direitos do Homem e a Declaraccedilatildeo da ONU dos Di-reitos Humanos foram importantes em seus respectivos contextos pois foram as pri-meiras declaraccedilotildees internacionais subscritas por paiacuteses europeus que mencionam a privacidade e o direito agrave sua proteccedilatildeo Poreacutem como tratavam apenas de maneira vaga e indireta sobre a proteccedilatildeo de dados pessoais a Comunidade Econocircmica Europeia no iniacutecio da deacutecada de 1980 buscando criar mecanismos que abordassem especificamente a proteccedilatildeo de dados pessoais adotou a Convenccedilatildeo 108 sobre a proteccedilatildeo de indiviacutedu-os relativa ao processamento automaacutetico de tratamento de dados11 Ela almejava esta-belecer meacutetodos mais criteriosos e prevecirc ldquogarantias relativas agrave coleta12 e tratamento de dados pessoaisrdquo13 Aleacutem disso a Convenccedilatildeo proiacutebe ldquona ausecircncia de garantias juriacutedicas adequadas o tratamento de dados lsquosensiacuteveisrsquo tais como dados sobre a raccedila a opiniatildeo poliacutetica a sauacutede as convicccedilotildees religiosas a vida sexual ou o registo criminal de uma pessoardquo 14 No acircmbito do fluxo de dados entre Estados a Convenccedilatildeo prevecirc o livre fluxo de dados pessoais entre seus Estados signataacuterios mas impunha algumas restriccedilotildees aos fluxos para Estados cuja regulamentaccedilatildeo natildeo proporcionasse uma proteccedilatildeo equivalente agrave da Uniatildeo Europeia15

Em 1995 buscando aperfeiccediloar e dar corpo agrave Convenccedilatildeo No 108 a Uniatildeo Euro-peia promulgou a Diretiva 9546CE que objetivava estabelecer harmonizar e promover igualdade no tratamento de dados pessoais pelos Estado-membros Esse instrumento apresentava princiacutepios de tutela na manipulaccedilatildeo tratamento de dados pessoais e esta-beleceu direitos baacutesicos ao titulares dos dados No que tange agrave discussatildeo sobre trans-ferecircncia internacional de dados a diretiva definiu criteacuterios e padrotildees para a transferecircn-cia internacional de dados entre paiacuteses sem contudo fazer previsotildees de aplicaccedilotildees extraterritoriais16 Outro ponto importante positivado na antiga Diretiva foi a criaccedilatildeo de um arcabouccedilo de autoridades centrais responsaacuteveis pela fiscalizaccedilatildeo legislaccedilatildeo e arbitragem em questotildees envolvendo a proteccedilatildeo de dados pessoais denominadas auto-ridades centrais de proteccedilatildeo de dados17

Todo o contexto e discussatildeo do desenvolvimento legislativo em relaccedilatildeo agrave proteccedilatildeo de dados pessoais demonstra como o modelo europeu foi construiacutedo a par-tir do reconhecimento da estatura juriacutedica fundamental do direito agrave privacidade e agrave proteccedilatildeo dos dados pessoais18 Uma vez que a atividade de tratamento de dados pes-

id22[22001-10029322]gt Acesso em 1005201810 UNIAtildeO EUROPEIA Corte Europeia de Direitos Humanos Acoacuterdatildeo Leander c Sueacutecia de 26 de marccedilo de 1987 peticcedilatildeo nordm 924881 Disponiacutevel lthttpshudocechrcoeinteng22itemid22[22001-5751922]gt Acesso em 10052018 TEDH acoacuterdatildeo S and Marper c Reino Unido de 4 de dezembro de 2008 peticcedilotildees nordms 3056204 e 3056604 Disponiacutevel em lthttpshudocechrcoeinteng22itemid22[22001-9005122]gt Acesso em 11052018 11 CONSELHO EUROPEU Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Es-trasburgo 1981 Disponiacutevel em lthttpswwwcoeintenwebconventionsfull-list-conventionstreaty108gt Acesso em 02052018 A Convenccedilatildeo foi modificada em 18052018 pelo Conselho Europeu As alteraccedilotildees podem ser acessadas em lthttpswwwcoeintenwebportal-enhancing-data-protection-globally-council-of-europe-updates-its-landmark-conventiongt12 Na versatildeo oficial do texto do Regulamento em portuguecircs europeu o termo utilizado eacute ldquorecolhardquo13 CONSELHO EUROPEU Manual da Legislaccedilatildeo Europeia sobre Proteccedilatildeo de Dados cit14 Idem 15 CONSELHO EUROPEU Manual da Legislaccedilatildeo Europeia sobre Proteccedilatildeo de Dados cit 16 KAPLAN Harvey COWING Mark EGLI Gabriel A Primer for Data-Protection Principles in the European Union Dis-poniacutevel em lthttpswwwshbcom~mediafilesprofessionalscowingmarkaprimerfordataprotectionprinciplespdfla=engt Acesso em 0405201817 GUIDI Guilherme Modelos regulatoacuterios para proteccedilatildeo de dados pessoais Disponiacutevel em lthttpsitsrioorgwp-contentup-loads201703Guilherme-Guidi-V-revisadopdfgt Acesso em 3004201818 BYGRAVE Lee A Data protection pursuant to the right to privacy in human rights treaties International Journal of Law and

7

soais enseja riscos e oportunidades agrave realizaccedilatildeo de direitos e liberdades fundamentais19 os Estados europeus se pautaram em regulaccedilatildeo abrangente e pervasiva sobre atividade de tratamento de informaccedilotildees relativa agraves pessoas naturais

Em 2016 a Uniatildeo Europeia por meio do Regulamento nordm 6792016 que ficou conhecido como Regulamento Geral de Proteccedilatildeo dos Dados Pessoais - GDPR20 substitui a Diretiva nordm 9546CE buscando unificar a proteccedilatildeo dos dados pessoais na Uniatildeo Euro-peia Como se trata de um regulamento e natildeo de uma diretiva eacute diretamente aplicaacutevel aos 28 Estados Membros natildeo sendo necessaacuteria qualquer transposiccedilatildeo para cada juris-diccedilatildeo nacional Assim eacute considerado como uma norma interna praacutetica que natildeo acon-tecia com a Diretiva 9546CE pois era necessaacuterio que os Estados adotassem o texto comunitaacuterio em seu direito lei interno gerando diferentes niacuteveis de proteccedilatildeo de dados em cada um dos paiacuteses europeus21

Os principais argumentos para a fundamentaccedilatildeo da GDPR corroboram a per-tinecircncia de uma legislaccedilatildeo capaz de enfrentar as novas questotildees suscitadas pela econo-mia digital e pervasividade das tecnologias da informaccedilatildeo e da comunicaccedilatildeo de forma isonocircmica entre os diferentes paiacuteses do bloco22

Este capiacutetulo inicial tem como objetivo apontar as principais mudanccedilas decor-rentes da nova regulaccedilatildeo europeia e seus contornos gerais fundamentais mudanccedilas conceituais novas previsotildees e principais questotildees inauguradas pela legislaccedilatildeo Como a nova normativa comunitaacuteria de proteccedilatildeo de dados eacute um regulamento bastante com-plexo composto por 11 capiacutetulos e 99 artigos este estudo natildeo tem como objetivo es-gotar a discussatildeo mas sim oferecer subsiacutedios primaacuterios para estudos e aplicaccedilotildees das principais mudanccedilas advindas da regulaccedilatildeo europeia e seus impactos no Brasil aleacutem de uma comparaccedilatildeo com as norma relativas agrave mateacuteria na Argentina um dos referenciais mais destacados na Ameacuterica Latina

A construccedilatildeo de garantias relacionadas a temas que envolvam tecnologias e suas inovaccedilotildees em ambientes informacionais e reticulares (como eacute o caso da Internet e plataformas digitais) tem sido um desafio para os legisladores nos dias atuais Em tatildeo sensiacuteveis como os que definem o espectro da proteccedilatildeo juriacutedica de dados pessoais essas questotildees se tornam ainda mais latentes visto que os modelos de negoacutecios envolvendo dados pessoais satildeo rapidamente alterados pelo ritmo das inovaccedilotildees e o crescimento das empresas Desse modo cria-se o risco de uma lei se tornar obsoleta poucos anos apoacutes sua publicaccedilatildeo23

Information Technology v 6 n 3 p 247-284 199819 DONEDA Danilo A proteccedilatildeo dos dados pessoais como um direito fundamental EJJL-Espaccedilo Juriacutedico Journal of Law v 12 n 2 p 91-108 201120 General Data Protection Regulation - GDPR Como abordado na introduccedilatildeo o termo utilizado no artigo seraacute GDPR para referir-se ao Regulamento Geral de Proteccedilatildeo dos Dados Pessoais embora seja importante observar que a consistecircncia com a abreviatu-ra empregada em liacutengua portuguesa em uma das versotildees originais do Regulamento seja RGDPTexto disponiacutevel em lthttpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679gt21 Nesse sentido cf GUIDI Guilherme Modelos regulatoacuterios para proteccedilatildeo de dados pessoais cit ldquoRegulamentos satildeo normas vinculativas diretamente aplicaacuteveis a todos os paiacuteses incluindo-se aiacute seus cidadatildeos e pessoas juriacutedicas valendo como se direito nacional fosse Diretivas satildeo normas adotadas pela Comissatildeo e pelo Parlamento Europeu que fixam um objetivo que todos os Estados-Membros devem alcanccedilar cabendo a cada um decidir os meios exatos para tal respeitando os preceitos baacutesicos da norma supranacionalrdquop322 CAMERON Stephen lsquoLight Reading lsquoThe Digital Economy amp GDPRrsquo 2017 Disponiacutevel em lthttpwwwlightreadingcomoss-bsssubscriber-data-managementthe-digital-economy-and-gdprad-id730582gt Acesso em 0405201823 Sobre a dificuldade de legislar sobre os diversos temas que envolvem a internet e novas tecnologias cf KURBALIJA Jovan An introduction to Internet governance 2010 Disponiacutevel em lthttpswwwdiplomacyeduresourcesbooksintroduction-internet-gov-ernancegt Acesso em 04052018

8

22 Teacutecnica normativa e dispositivos centrais do GDPRPensando nesses desafios a nova regulaccedilatildeo de proteccedilatildeo de dados no domiacute-

nio da Uniatildeo Europeia foi elaborada em vaacuterios ldquoniacuteveisrdquo Em um primeiro estaacutegio com-preendido entre os artigos 1ordm e 11 foram positivadas garantias fundamentais amplas e definiccedilotildees que seratildeo utilizadas durante todo texto do Regulamento e sua aplicaccedilatildeo Essa estrutura de niacuteveis e princiacutepios permite maior dinamizaccedilatildeo da legislaccedilatildeo fazendo com que ela seja menos suscetiacutevel a desatualizaccedilotildees Esse meacutetodo estabelece princiacutepios e ga-rantias que satildeo tecnologicamente neutros - o que assegura sua aplicaccedilatildeo futura ainda que com mudanccedilas razoaacuteveis no campo tecnoloacutegico24

Em seu primeiro capiacutetulo principalmente no artigo 4ordm satildeo definidos diversos conceitos-chave que seratildeo utilizados ao longo de toda legislaccedilatildeo - alguns previamente definidos na Diretiva 9546CE mas aprimorados pelo novo regulamento No artigo 4ordm eacute possiacutevel encontrar mais de vinte e cinco conceitos-chave25 como as definiccedilotildees de dado pessoal26 perfilamento27 consentimento28 processamento 29 Responsaacutevel pela proteccedilatildeo de dados30 autoridade fiscalizadora31 entre outros Essas definiccedilotildees iniciais influenciam toda a legislaccedilatildeo visto que as noccedilotildees de consentimento e de dados pessoais definem o escopo e aplicaccedilatildeo de uma lei de proteccedilatildeo aos dados pessoais

Ao definir dados pessoais a GDPR adotou um conceito expansionista32 Isso quer dizer que dado pessoal pode referir-se a qualquer tipo de informaccedilatildeo que permita sua identificaccedilatildeo ainda que o viacutenculo natildeo seja estabelecido de imediato mas de manei-ra indireta ou mediata Essa eacute uma estrateacutegia normativa que parte da premissa de que ldquodados anocircnimos satildeo sempre passiacuteveis de reversatildeordquo33 Na Diretiva revogada dados pes-24 GUIDI Guilherme Modelos regulatoacuterios para proteccedilatildeo de dados pessoais cit25 Mais informaccedilotildees em lthttpsgdpr-infoeuart-4-gdprgt26 Art 4 (1) GDPR laquoDados pessoaisraquo informaccedilatildeo relativa a uma pessoa singular identificada ou identificaacutevel (laquotitular dos dadosraquo) eacute considerada identificaacutevel uma pessoa singular que possa ser identificada direta ou indiretamente em especial por referecircncia a um identificador como por exemplo um nome um nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica cultural ou social dessa pessoa singular UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho cit27 Art 4 (4) GDPR laquoDefiniccedilatildeo de perfisraquo qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional a sua situaccedilatildeo econoacutemica sauacutede preferecircncias pessoais interesses fiabilidade com-portamento localizaccedilatildeo ou deslocaccedilotildees (Traduccedilatildeo livre) Idem28 Art 4 (11) GDPR laquoConsentimentoraquo do titular dos dados uma manifestaccedilatildeo de vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem respeito sejam objeto de tratamento (Traduccedilatildeo livre) Idem29 Art 4 (2) GDPR laquoTratamentoraquo uma operaccedilatildeo ou um conjunto de operaccedilotildees efetuadas sobre dados pessoais ou sobre con-juntos de dados pessoais por meios automatizados ou natildeo automatizados tais como a recolha o registo a organizaccedilatildeo a estruturaccedilatildeo a conservaccedilatildeo a adaptaccedilatildeo ou alteraccedilatildeo a recuperaccedilatildeo a consulta a utilizaccedilatildeo a divulgaccedilatildeo por transmissatildeo difusatildeo ou qualquer outra forma de disponibilizaccedilatildeo a comparaccedilatildeo ou interconexatildeo a limitaccedilatildeo o apagamento ou a destruiccedilatildeo Idem30 Art 4 (7) GDPR laquoResponsaacutevel pelo tratamentoraquo a pessoa singular ou coletiva a autoridade puacuteblica a agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as finalidades e os meios de tratamento de dados pessoais sem-pre que as finalidades e os meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Mem-bro Idem31 Art 4(21) GDPR ldquolaquoAutoridade de controloraquo uma autoridade puacuteblica independente criada por um Estado-Membro nos termos do artigo 51ordquo Idem32 BIONI Bruno Xeque-Mate o tripeacute de proteccedilatildeo de dados pessoais no xadrez das iniciativas legislativas no Brasil Grupo de Estu-dos em Poliacuteticas Puacuteblicas em Acesso agrave Informaccedilatildeo da USP ndash GPOPAI Satildeo Paulo 2015 Disponiacutevel em lthttpgomaoficinacomwp-con-tentuploads201607XEQUE_MATE_INTERATIVOpdfgt Acesso em 0205201833 Idem p32 Nota-se contudo que a possibilidade de anonimizaccedilatildeo de dados no direito europeu eacute mateacuteria controversa Isso porque em perspectiva diversa natildeo se elimina a possibilidade de anonimizaccedilatildeo de dados Devido agrave atual capacidade computacional e os numerosos bancos de dados digitalizados e interconectados em rede as teacutecnicas de anonimizaccedilatildeo poderiam fornecer garantias de privacidade e ser utilizadas para gerar processos eficazes de anonimizaccedilatildeo mas apenas se a sua aplicaccedilatildeo for adequadamente construiacuteda ndasho que significa que os requisitos preacutevios Aleacutem disso os objetivos do processo de anonimizaccedilatildeo devem ser claramente definidos A melhor soluccedilatildeo teacutecnica seria tomada caso a caso eventualmente por meio de uma combinaccedilatildeo de meacutetodos diferentes Nesse sentido para mais informaccedilotildees ver GRUPO DE TRABALHO DE PROTECcedilAtildeO DE DADOS DO ARTIGO 29ordm Parecer 052014 sobre teacutecnicas de anonimizaccedilatildeo de 10 de abril 2018 Disponiacutevel em lthttpeceuropaeujusticearticle-29documentationopinion-recommendation

9

soais eram definidos apenas como como nome imagem endereccedilo e-mail telefone e identificaccedilatildeo pessoal34 portanto em espectro determinado por elementos praticamente exaustivos Trata-se de uma primeira geraccedilatildeo de normas comunitaacuterias relativas agrave reg-ulamentaccedilatildeo de questotildees afetas agraves novas tecnologias e proteccedilatildeo de dados superada pela emergecircncia e desdobramentos da Internet

No novo Regulamento Europeu integram o conceito de dados pessoais quais-quer informaccedilotildees que possam ser utilizadas para identificar uma pessoa como dados de localizaccedilatildeo de usuaacuterio IDs de dispositivos moacuteveis e ateacute endereccedilo IP em alguns casos

A coleta de dados sensiacuteveis - aqueles que revelam origem racial ou eacutetnica opiniotildees poliacuteticas convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados biomeacutetricos dados relativos agrave sauacutede ou dados relativos agrave orientaccedilatildeo sexual - eacute expressamente proibida nos termos do artigo 9ordm A regulaccedilatildeo prevecirc algumas exceccedilotildees autorizando a coleta de dados sensiacuteveis para fins de medicina preventiva e ocupacional para avaliar a capacidade de trabalho do funcionaacuterio diagnoacutestico meacutedico prestaccedilatildeo de cuidados meacutedicos ou sociais e tratamento ou gestatildeo de sistemas e serviccedilos de sauacutede assistecircncia social com base no direito do Estado-Membro ou por forccedila de contrato com um profissional de sauacutede35

Anova normativa europeia introduz significativas mudanccedilas em relaccedilatildeo agrave Direti-va 9546CE fortalece a noccedilatildeo de consentimento para uso de dados pessoais noccedilatildeo e esclarece o alcance da relaccedilatildeo entre o consentimento e a coleta e processamento dos dados pessoais36 Segundo essa foacutermula a GDPR estabelece que o pedido de consenti-mento deve ser apresentado de uma forma claramente distinguiacutevel de outros assun-tos de forma inteligiacutevel faacutecil acesso e usando linguagem simples ao inveacutes da linguagem obscura geralmente adotada37 Outro elemento novo contemplado pelo Regulamento diz respeito agrave obrigaccedilatildeo de explicaccedilatildeo dos objetivos ou intentos da coleta de dados Ela teraacute de ser precedida por uma explicaccedilatildeo do seu propoacutesito demonstrando como e quem deu o consentimento e caso a coleta de dados destine-se a diversos fins todos deveratildeo ser demonstrados para o usuaacuterio Outro ponto importante eacute que a pessoa que consentiu com a coleta de seus dados tem o direito de retirar a autorizaccedilatildeo a qualquer momento e sua saiacuteda deve ser tatildeo simples quanto sua concessatildeo38

Entre as muitas normas estabelecidas pelo Regulamento encontra-se o princiacutepio de responsabilidade central para as relaccedilotildees envolvendo a gestatildeo de dados por em-presas e entes da administraccedilatildeo puacuteblica Com entrada em vigor do Regulamento todas as empresas passam a ser civilmente responsaacuteveis pelo armazenamento e pela proteccedilatildeo de todos os dados pessoais que coletam e armazenam Da responsabilidade decorre a obrigaccedilatildeo de reparar qualquer dano causado aos titulares das informaccedilotildees coletadas e files2014wp216_ptpdfgt Acesso em 1405201834 CONSELHO EUROPEU Diretiva 9546CE relativa agrave Proteccedilatildeo de Dados cit35 Art 9 GDPR ldquoEacute proibido o processamento de dados pessoais revelando origem racial ou eacutetnica opiniotildees poliacuteticas crenccedilas religiosas ou filosoacuteficas ou filiaccedilatildeo sindical e processamento de dados geneacuteticos dados biomeacutetricos com a finalidade de identificar uni-camente uma pessoa singular dados relativos agrave sauacutede ou dados relativos a um sexualidade ou orientaccedilatildeo sexual de uma pessoardquoUNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselhocit36 A regulaccedilatildeo determina que no caso de crianccedilas e adolescentes o tratamento dos dados eacute legal a partir dos 16 anos Nos casos em que a crianccedila tenha menos de 16 anos de idade tal tratamento soacute seraacute legal na medida em que o consentimento seja dado ou autor-izado pelo titular da responsabilidade parental sobre a crianccedila desde que essa idade natildeo seja inferior a 13 anos Idem37 Art 7 (2) GDPR Se o consentimento do titular dos dados for dado no contexto de uma declaraccedilatildeo escrita que diga tambeacutem respeito a outros assuntos o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligiacutevel e de faacutecil acesso e numa linguagem clara e simples Natildeo eacute vinculativa qualquer parte dessa declaraccedilatildeo que constitua violaccedilatildeo do presente regulamento Idem38 Art 7 (3) GDPR - O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento A retirada do consentimento natildeo compromete a licitude do tratamento efetuado com base no consentimento previamente dado Antes de dar o seu consentimento o titular dos dados eacute informado desse facto O consentimento deve ser tatildeo faacutecil de retirar quanto de dar Idem

10

armazenadas em virtude de violaccedilatildeo ou vazamento39

No que diz respeito aos dispositivos concernentes agraves empresas proteccedilotildees e vazamento de dados40 o Regulamento enuncia uma seacuterie de deveres e obrigaccedilotildees Primeiramente eacute importante destacar a obrigatoriedade de notificaccedilatildeo41 agrave autori-dade de proteccedilatildeo de dados em ateacute 72 horas para casos de vazamentos de dados que resultem em riscos para direitos e liberdades de indiviacuteduos A exposiccedilatildeo de motivos do Regulamento assim prevecirc

86 () Por conseguinte logo que o responsaacutevel pelo tratamento tenha conhecimento de uma violaccedilatildeo de dados pessoais deveraacute notificaacute-la agrave autoridade de controlo sem demora injustificada e sempre que possiacutevel no prazo de 72 horas apoacutes ter tido conhecimento do ocorridoa menos que seja capaz de demonstrar em conformidade com o princiacutepio da responsabilidade que essa violaccedilatildeo natildeo eacute suscetiacutevel de implicar um risco para os direitos e liberdades das pessoas singulares Se natildeo for possiacutevel efetuar essa notificaccedilatildeo no prazo de 72 horas a notificaccedilatildeo deveraacute ser acom-panhada dos motivos do atraso podendo as informaccedilotildees ser fornecidas por fases sem demora injustificada42

Outra obrigaccedilatildeo imposta aos responsaacuteveis pelo processamento e tratamento de dados pessoais puacuteblicos ou privados diz respeito agrave necessidade de determinaccedilatildeo de um responsaacutevel pela proteccedilatildeo de dados43 Ele tem o papel de aproximar os oacutergatildeos reguladores e titulares dos dados pessoais Essa atribuiccedilatildeo soacute seraacute necessaacuteria segundo o Art 37 caso quem esteja a coletar dados seja um oacutergatildeo puacuteblico44 ou quando as ativi-dades principais da organizaccedilatildeo privada consistirem em

bull Operaccedilotildees de processamento de dados em larga escala que objetivam mon-itoramento regular e sistemaacutetico dos titulares de dados

bull Operaccedilotildees de processamento em larga escala de categorias especiais de da-dos ou seja dados sensiacuteveis como sauacutede religiatildeo raccedila orientaccedilatildeo sexual etc e dados pessoais relacionados a condenaccedilotildees e infraccedilotildees penai

Os Resposnaacuteveis pela proteccedilatildeo de dados (RPD) exercem diversas funccedilotildees que satildeo basicamente elencadas no Art 39 do Regulamento n 6792016 Trata-se de uma pessoa com alguma experiecircncia no ramo da seguranccedila e proteccedilatildeo dos dados designa-da pelas empresas que sejam responsaacuteveis ou que atuem como subcontratadas para 39 Com a entrada em vigor do Regulamento na data de 25 de maio de 2018 empresas passam a ser diretamente responsaacuteveis por cuidar para que todas as informaccedilotildees obtidas estejam seguras protegidas contra qualquer risco de violaccedilatildeo ou vazamento 40 Vazamento de dados eacute definido para os fins do regulamento no Artigo 4 como ldquoQuebra de seguranccedila que leva agrave destruiccedilatildeo acidental ou ilegal perda alteraccedilatildeo divulgaccedilatildeo natildeo autorizada ou acesso a dados pessoais transmitidos armazenados ou de outra forma processadosrdquo Idem41 Estabelece no Artigo 33 ldquoEm caso de violaccedilatildeo dos dados pessoais o responsaacutevel pelo tratamento deve sem demora injus-tificada e se exequiacutevel no prazo de 72 horas apoacutes ter tomado conhecimento notificar a violaccedilatildeo dos dados pessoais agrave autoridade de supervisatildeo competente nos termos do artigo 55ordm a menos que seja improvaacutevel que a violaccedilatildeo de dados pessoais resulte num risco para os direitos e liberdades das pessoas singularesrdquo Idem42 Cf Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho Para8643 ldquoData protection officerrdquo traduzido livremente como responsaacutevel pela proteccedilatildeo de dadosrdquo Na versatildeo oficial em portuguecircs do Regulamento referecircncia eacute feita ao encarregado pela proteccedilatildeo de dados tal como indicado em outras partes da normativa (Arts 14 30 33 34 aleacutem da Seccedilatildeo 4) 44 O WP29 considera que o que constitui uma autoridade ou organismo puacuteblico deve ser determinado pela legislaccedilatildeo nacional e que esses oacutergatildeos devem nomear um gestor de proteccedilatildeo de dados Entretanto outras personalidades juriacutedicas singulares ou colectivas regidas pelo direito puacuteblico ou privado (por exemplo serviccedilos de transporte puacuteblico fornecimento de aacutegua e energia infra-estrutura radiodifusatildeo de serviccedilo puacuteblico alojamento puacuteblico ou oacutergatildeos disciplinares) natildeo satildeo obrigadas a nomear um gestor mesmo que seja altamente recomendaacutevel Para mais informaccedilotildees lthttpeceuropaeunewsroomarticle29item-detailcfmitem_id=612048gt Acesso em 06052018

11

o tratamento de dados pessoais Sua funccedilatildeo imediata seraacute a de supervisionar e acon-selhar a empresa a respeito das obrigaccedilotildees contidas na GDPR Entre essas principais funccedilotildees destacam-se as seguintes i) monitorar e elaborar relatoacuterios sobre a conformi-dade da organizaccedilatildeo com a poliacutetica da GDPR ii) a elaboraccedilatildeo de treinamento com as partes envolvidas no processamento dos dados pessoais e iii) a realizaccedilatildeo de avaliaccedilotildees para impacto de proteccedilatildeo de dados sua implementaccedilatildeo e resultado Tambeacutem atuam como intermediaacuterios entre as partes interessadas como por exemplo autoridades de supervisatildeo titulares de dados e empresas que detenham dados pessoais45

O Art 24 do Regulamento deixa claro que eacute de atribuiccedilatildeo do Responsaacutevel pela proteccedilatildeo de dados ldquoimplementar medidas teacutecnicas e organizacionais adequadas para assegurar e demonstrar que o tratamento de dados eacute realizado em conformidade com o presente regulamentordquo46 Ou seja o Responsaacutevel pela Proteccedilatildeo de Dados atuaraacute como um canal de comunicaccedilatildeo entre as partes envolvidas na proteccedilatildeo dos dados e tambeacutem como um fiscalizador de todas as praacuteticas de tratamento de dados pessoais na organi-zaccedilatildeo verificando se estatildeo em conformidade com a GDPR e sensibilizar sobre a rele-vacircncia do compliance47 no tratamento dos dados dos cidadatildeos48 O natildeo monitoramento da conformidade com a GDPR natildeo eacute de responsabilidade pessoal do Responsaacutevel pela Proteccedilatildeo de Dados mas da empresa ou instituiccedilatildeo responsaacutevel pela coleta dos dados49

23 Novos direitos positivados e ambientes informacionaisDuas categorias de direitos positivados no Regulamento Europeu tecircm levantado

discussotildees sobre suas possiacuteveis aplicaccedilotildees A primeiro estabelecido Art17 diz repeito ao denominado ldquodireito ao apagamento dos dadosrdquo (ldquodireito ao esquecimentordquordquo)50 permite que o titular dos dados solicite a quem os possua que eles sejam apagados Tambeacutem prevecirc ser possiacutevel ao titular requerer seus dados pessoais e interromper-lhes o compartilhamento e o uso

As condiccedilotildees para uma lsquopretensatildeo juriacutedica de remoccedilatildeo estatildeo descritas no Art17 e contemplam por exemplo dados que natildeo satildeo mais relevantes para seus propoacutesitos originais ou cujo consentimento foi revogado prevendo que deveraacute ser levado em con-sideraccedilatildeo o ldquointeresse puacuteblico na disponibilidade dos dadosrdquo ao aceitar tais solicitaccedilotildees O direito ao esquecimento no Direito da Uniatildeo Europeia ganhou recente destaque com o caso Google Inc v Agencia Espantildeola de Proteccioacuten de Datos Mario Costeja Gonzaacutelez (2014)51

45 ARTICLE 29 DATA PROTECTION WORKING PARTY Guidelines on Data Protection Officers (lsquoDPOsrsquo) Disponiacutevel em lthttpeceuropaeunewsroomarticle29item-detailcfmitem_id=612048gt Acesso em 0205201846 Art 24 GDPR Tendo em conta a natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo trata-mento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento eacute realizado em conformidade com o presente regulamento Essas medidas satildeo revistas e atualizadas consoante as necessidades UNIAtildeO EURO-PEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho cit47 Compliance eacute o conjunto de accedilotildees para fazer cumprir as normas regulamentos poliacuteticas e as diretrizes estabelecidas para o negoacutecio e para as atividades da instituiccedilatildeo ou empresa bem como evitar detectar e tratar qualquer desvio ou inconformidade que possa ocorrer nesses casos em relaccedilatildeo a proteccedilatildeo de dados pessoais No que se refere ao compliance estatildeo especialmente engajados escritoacuterios de advocacia da Europa e os departamentos juriacutedicos de empresas transnacionais cujas atividades satildeo alcanccediladas pelo regulamento 48 BIONI Bruno MONTEIRO Renato O papel do Data Protection Officer 2017 Disponiacutevel em lthttpswwwjotainfoopin-iao-e-analisecolunasagenda-da-privacidade-e-da-protecao-de-dadoso-papel-do-data-protection-officer-04122017gt Acesso em 2804201849 ARTICLE 29 DATA PROTECTION WORKING PARTY The Role of the Data Protection Officer 2017 Disponiacutevel emlthttpswww2deloittecomcontentdamDeloitteieDocumentsRiskDPO20Update20Article20Finalpdfgt Acesso em 3004201850 A categoria do direito ao esquecimento (direito a ser esquecido segundo a expressatildeo em portuguecircs de Portugal) formulada jurisprudencialmente e transposta para a normativa europeia eacute referida em alguns idiomas oficiais da UE como ldquoRecht auf Loumlschung (Recht auf Vergessenwerden)rdquo (alematildeo) ldquoDroit agrave leffacement (droit agrave loubli)rdquo (francecircs) ldquoDiritto alla cancellazione (diritto alloblio)rdquo (italiano) e ldquoDerecho de supresioacuten (el derecho al olvido)rdquo (espanhol)51 UNIAtildeO EUROPEIA Tribunal de Justiccedila da Uniatildeo Europeia Grande Secccedilatildeo Processo C-13112 Google Spain SL Google Inc c Agencia Espantildeola de Proteccioacuten de Datos (AEPD) Mario Costeja Gonzaacutelez Luxemburgo 13052014 Disponiacutevel em lthttpcuria

12

O caso genuinamente oficializou um precedente judicial da CJUE em relaccedilatildeo agrave mateacuteria e promoveu inuacutemeras discussotildees sobre sua aplicaccedilatildeo alcance normativo e ponderaccedilatildeo de direitos52

De acordo com o artigo 17(1)(c) a GDPR assegura o apagamento dos dados pes-soais pelo titular que exercer seu direito de oposiccedilatildeo (artigo 21) e natildeo houver ldquointeresses legiacutetimos prevalecentes que justifiquem o tratamentordquo A noccedilatildeo de ldquointeresse legiacutetimordquo configura conceito juriacutedico indeterminado portanto a demandar dos tribunais aciona-dos a concreccedilatildeo normativa segundo atividade hermenecircutica direcionada ao juiz ao caso concreto Assim devem os tribunais sopesar se existe interesse do proacuteprio responsaacutevel pelo tratamento ou de terceiros que seja preponderante em relaccedilatildeo a direitos e liber-dades fundamentais do titular dos dados protegidos pela lei Alguns paracircmetros obje-tivos satildeo fornecidos a respeito do que possa configurar ldquointeresse legiacutetimordquo tanto pelo GDPR53 quanto pela jurisprudecircncia do CJUE54 aleacutem de outros oacutergatildeos do sistema de proteccedilatildeo de dados da Uniatildeo Europeia55

Direito agrave explicaccedilatildeo e agrave oposiccedilatildeo contra tomada de decisatildeo automatizada

Outra categoria de direito relacionada ao ambiente informacional estabelecida pela nova normativa europeia estaacute associada agrave oposiccedilatildeo contra tomada de decisatildeo automatizada em linha com o disposto no Art 22 (decisotildees individuais automatiza-das incluindo definiccedilatildeo de perfis) e os Arts 13 a 15 (lsquoInformaccedilatildeo e acesso aos dados pessoaisrsquorsquo) do Regulamento Regras que restringem as decisotildees automatizadas e exigem ldquoexplicaccedilotildeesrdquo sobre o funcionamento dos algoritmos tecircm aberto diversas discussotildees en-tre membros da academia especialistas e outros interessados em decisotildees tomadas pelo aprendizado de maacutequina ou inteligecircncia artificial56

Decisotildees automaacuteticas e sem qualquer intervenccedilatildeo humana parecem ir contra a noccedilatildeo de autonomia e personalidade no Regulamento Europeu57 Portanto a orientaccedilatildeo do Regulamento mensurar o direito agrave explicaccedilatildeo busca fornecer alguma informaccedilatildeo significativa sobre como os dados pessoais satildeo utilizados em decisotildees automatizadas Inuacutemeras controveacutersias satildeo suscitadas relativamente agraves possiacuteveis aplicaccedilotildees dessas cat-egoria de direito e como ela seraacute efetivamente colocada em praacutetica A literatura jaacute exis-tente sobre o GDPR observa de modo cauteloso as implicaccedilotildees dos Arts 13 a 15 e 22

europaeujurisdocumentdocumentjsfdocid=152065ampdoclang=PTgt Acesso em 15052018 52 THE GUARDIAN Costeja Gonzaacutelez and a memorable fight for the right to be forgotten 2014 Disponiacutevel em lthttpswwwtheguardiancomworldblog2014may14mario-costeja-gonzalez-fight-right-forgottengt Acesso em 0505201853 A exemplo dos seus Considerandos nordm 47 a 4954 Como ocorreu no caso Mario Costeja Gonzaacutelez Segundo o acoacuterdatildeo proferido ldquoConsidera o Tribunal que esta obrigaccedilatildeo de ldquosuprimir da lista de resultadosrdquo decorre de um direito do titular dos dados que natildeo pressupotildee a existecircncia de um prejuiacutezo pela inclusatildeo na lista de resultados ldquoNa medida em que (hellip) pode tendo requerer que a informaccedilatildeo em questatildeo deixe de estar agrave disposiccedilatildeo do grande puacuteblico devido agrave sua inclusatildeo nessa lista de resultados esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa (1004)rdquo TJUE Google Spain SL and Google Inc v Agencia Espantildeola de Proteccioacuten de Datos (AEPD) and Mario Costeja Gonzaacutelez cit (Traduccedilatildeo livre) 55 ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 62014 on the notion of legitimate interests of the data controller under Article 7 of Directive 9546EC Bruxelas [s n] 2014 Disponiacutevel em lthttpeceuropaeujusticearticle-29documen-tationopinion-recommendationfiles2014wp217_enpdfgt Acesso em 2305201856 SELBST Andrew POWLES Julia Meaningful information and the right to explanation In International Data Privacy Law vol 7 n 4 2017 p 233 ssDisponiacutevel em lthttpsacademicoupcomidplarticle742334762325gt Acesso em 0505201857 JONES Meg Leta The right to a human in the loop Political constructions of computer automation and personhood Social studies of science v 47 n 2 p 216-239 2017

13

consideradas suas tecnicidade e complexidade58

24 Multas e penalidades estabelecidas pela violaccedilatildeo de conformidade

Por fim um dos pontos essenciais que despertam discussotildees quanto ao alcance e aplicaccedilotildees diz respeito agraves multas e penalidades indicadas nos artigos 83 e 84 do Regu-lamento n 6792016 A desconformidade com as exigecircncias previstas na normativa eu-ropeia poderaacute render agraves empresas multas administrativas em diversas circunstacircncias Seraacute enviada uma notificaccedilatildeo por escrito em caso de natildeo conformidade inicial

O grau de sancionamento pecuniaacuterio dependeraacute da violaccedilatildeo apurada e englo-ba multas de ateacute euro10 milhotildees ou 2 do total do faturamento anual global no exerciacutecio financeiro anterior dependendo de qual for o maior valor Nesse caso diversas satildeo as situaccedilotildees previstas no GDPR como por exemplo violaccedilatildeo de princiacutepios como ldquoprivacy by designrdquo59 natildeo cumprimento das obrigaccedilotildees relacionadas ao processamento ou a natildeo designaccedilatildeo de um Responsaacutevel pela Proteccedilatildeo de Dados As multas para esses casos buscam remediar a efetiva ou potencial violaccedilatildeo dos direitos estabelecidos nos artigos 8ordm 11 25 39 42 e 43 do Regulamento

Outras sanccedilotildees previstas satildeo multas de ateacute euro20 milhotildees ou 4 do total do fatu-ramento anual mundial no exerciacutecio anterior por violaccedilotildees aos princiacutepios relativos ao processamento aos requisitos legais de processamento ou ainda dos direitos do titular dos dados A imposiccedilatildeo dessas sanccedilotildees exigiraacute por parte dos tribunais avaliaccedilatildeo caso a caso das circunstacircncias da infraccedilatildeo sendo considerados fatores como a gravidade e a duraccedilatildeo da infraccedilatildeo os atos intencionais ou negligentes medidas de mitigaccedilatildeo de danos que tenham sido implementadas medidas teacutecnicas e organizacionais e por fim o modo como a autoridade supervisora tomou conhecimento dos eventos alegadamente infrativos60 Essas categorias de multas visam tutelar os direitos estabelecidos nos ar-tigos 5ordm 6ordm 7ordm 9ordm 12 agrave 22 e as situaccedilotildees envolvidas na transferecircncia internacional de dados previstas nos artigos 44 a 49 do GDPR

25 Observaccedilotildees parciais de anaacuteliseConsiderados esses aspectos do novo Regulamento sobre a Proteccedilatildeo de Dados

na Uniatildeo Europeia este capiacutetulo apresentou alguns dos contornos gerais bem como suas mais latentes discussotildees Em virtude da extensatildeo da GDPR aleacutem da presente seccedilatildeo tabela dos temas sistematizados da GDPR (anexo) auxilia o debate que se esta-belece na produccedilatildeo cientiacutefica brasileira Os proacuteximos capiacutetulos trataratildeo dos elementos extraterritoriais do Regulamento e investigaratildeo seus possiacuteveis impactos levando em consideraccedilatildeo a comparaccedilatildeo entre o sistema juriacutedico de proteccedilatildeo de dados no Brasil e Argentina

58 Para aprofundamento sobre essas discussotildees cf WACHTER Sandra MITTELSTADT Brent FLORIDI Luciano Why a right to explanation of automated decision-making does not exist in the general data protection regulation In International Data Privacy Law v 7 n 2 p 76-99 2017 e SELBST Andrew D POWLES Julia Meaningful information and the right to explanation In International Data Privacy Law v 7 n 4 p 233-242 2017 59 ldquoPrivacidade desde a concepccedilatildeordquo Tal abordagem busca promover a privacidade e a proteccedilatildeo de dados desde a concepccedilatildeo e elaboraccedilatildeo de uma aplicaccedilatildeo 60 Conforme o art 83 as multas devem ser efetivas razoaacuteveis e dissuasivas para cada caso individual Para a decisatildeo sobre se e qual quantidade de sanccedilotildees pode ser avaliada as autoridades tecircm um cataacutelogo legal de criteacuterios que devem ser usados na tomada de decisatildeo Entre outras coisas a violaccedilatildeo intencional a incapacidade de tomar medidas para mitigar os danos ocorridos ou a falta de colaboraccedilatildeo com as autoridades podem aumentar as penalidades UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho cit

14

3 Interfaces extraterritoriais do Regulamento (UE) n 2016679 e seus efeitos no Brasil

31 Acircmbito de aplicaccedilatildeo do GDPR e extraterritorialidadeUma das principais razotildees para jaacute se ter afirmado que o GDPR ldquoiraacute mudar natildeo

apenas as leis europeias de proteccedilatildeo dados mas nada menos do que todo o mundo como o conhecemosrdquo61 encontra-se no acircmbito de aplicaccedilatildeo material e espacial do Reg-ulamento

Suas normas incidem sobre toda atividade de ldquotratamento de dados pessoais por meios total ou parcialmente automatizados bem como ao tratamento por meios natildeo automatizados de dados pessoais contidos em ficheiros ou a eles destinadosrdquo (Art 2ordm) O dispositivo legal na verdade em nada difere do texto inscrito no Art 3(1) da Diretiva 9546CE A novidade poreacutem que tanto ressona e que atinge diretamente as grandes empresas de tecnologia do Vale do Siliacutecio62 tem por fundamento o acircmbito de aplicaccedilatildeo espacial ou territorial do GDPR

Nos termos do artigo 3(1) o Regulamento eacute aplicaacutevel ao tratamento de infor-maccedilotildees pessoais realizado ldquono contexto das atividades de um estabelecimentordquo de re-sponsaacutevel pelo tratamento ou por operador situado no territoacuterio europeu ainda que o tratamento ocorra fora dos limites territoriais da Uniatildeo Europeia63

Para a compreensatildeo do criteacuterio eleito pelo legislador europeu eacute importante de-stacar que a noccedilatildeo de estabelecimento foi delineada principalmente a partir da juris-prudecircncia da Corte de Justiccedila da Uniatildeo Europeia em sua funccedilatildeo de interpretaccedilatildeo da Diretiva 9546CE que tambeacutem se fundava no alargamento do acircmbito territorial de apli-caccedilatildeo

No caso Weltimmo a Corte esclareceu que o conceito de estabelecimento se ldquoes-tende a toda atividade real e efetiva mdash ainda que miacutenima mdash exercida mediante uma instalaccedilatildeo estaacutevelrdquo64 Construiu-se aiacute uma concepccedilatildeo flexiacutevel mdash natildeo formalista mdash do con-ceito vaacutelida ldquoespecialmente para as empresas que se dedicam a oferecer serviccedilos exclu-sivamente pela Internetrdquo65 Segundo o acoacuterdatildeo em Weltimmo

ldquo() 28 No que respeita em primeiro lugar ao conceito de laquoestabelecimentoraquo haacute que recordar que o considerando 19 da Diretiva 9546 enuncia que o estabelecimento no territoacuterio de um Es-tado-Membro pressupotildee o exerciacutecio efetivo e real de uma atividade mediante uma instalaccedilatildeo estaacutevel e que a forma juriacutedica de tal estabelecimento quer se trate de uma simples sucursal ou

61 ALBRECHT Jan P How the GDPR Will Change the World In European Data Protection Law Review v 2 n 3 2016 p 287 Traduccedilatildeo livre do original ldquo[GDPR] will change not only the European data protection laws but nothing less than the whole world as we know itrdquo62 SOLON Olivia How Europes breakthrough privacy law takes on Facebook and Google 2018 Disponiacutevel em lthttpswwwtheguardiancomtechnology2018apr19gdpr-facebook-google-amazon-data-privacy-regulationgt Acesso em 09 mai 2018 63 Art 3(1) GPDR O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsaacutevel pelo tratamento ou de um subcontratante situado no territoacuterio da Uniatildeo independentemente de o tratamento ocorrer dentro ou fora da Uniatildeo64 UNIAtildeO EUROPEIA Court of Justice of European Union Third Chamber Case C-23014 Weltimmo s r o v Nemzeti Adat-veacutedelmi eacutes Informaacutecioacuteszabadsaacuteg Hatoacutesaacuteg Luxemburgo 01102015 Disponiacutevel em lthttpcuriaeuropaeujurisdocumentdocumentjsfdocid=168944ampdoclang=ENgt Acesso em 10052018 Traduccedilatildeo livre de ldquo[] extends to any real and effective activity mdash even a minimal one mdash exercised through stable arrangementsrdquo 65 Idem Traduccedilatildeo livre de ldquoThis is particularly true for undertakings offering services exclusively over the Internetrdquo Vide tam-beacutem DE HERT P CZERNIAWSKI M Expanding the European data protection scope beyond territory Article 3 of the General Data Protection Regulation in its wider context In International Data Privacy Law v 6 n 3 2016 p 233

15

de uma filial com personalidade juriacutedica natildeo eacute determinante (acoacuterdatildeo Google Spain e Google C-13112 ndeg 48) Este considerando precisa por outro lado que quando no territoacuterio de vaacuterios Estados-Membros estiver estabelecido um uacutenico responsaacutevel pelo tratamento deve assegurar-se nomeadamente para evitar que a legislaccedilatildeo seja contornada que cada um dos estabelecimentos cumpra as obrigaccedilotildees impostas pela legislaccedilatildeo nacional aplicaacutevel agraves respetivas atividades

29 Daqui resulta conforme sublinhou o advogado-geral nos nos 28 e 32 a 34 das suas con-clusotildees uma concepccedilatildeo flexiacutevel do conceito de estabelecimento que afasta qualquer abordagem formalista segundo a qual uma empresa soacute se pode considerar estabelecida no lugar em que estiver registada Assim para determinar se uma sociedade responsaacutevel por um tratamento de dados dispotildee de um estabelecimento na aceccedilatildeo da Diretiva 9546 num Estado-Membro difer-ente do Estado-Membro ou do paiacutes terceiro em que estaacute registada haacute que avaliar tanto o grau de estabilidade da instalaccedilatildeo como a realidade do exerciacutecio das atividades nesse outro Estado-Mem-bro tendo em conta a natureza especiacutefica das atividades econoacutemicas e das prestaccedilotildees de serviccedilos em causa Este entendimento vale especialmente para as empresas que se dedicam a oferecer serviccedilos exclusivamente na Internet

30 A este respeito haacute designadamente que considerar atendendo ao objetivo prosseguido por esta diretiva que consiste em assegurar uma proteccedilatildeo eficaz e completa do direito agrave vida privada e em evitar que a legislaccedilatildeo seja contornada que a presenccedila de um uacutenico representante pode em certas circunstacircncias ser suficiente para constituir uma instalaccedilatildeo estaacutevel se este atuar com um grau de estabilidade suficiente atraveacutes dos meios necessaacuterios para a prestaccedilatildeo dos serviccedilos especiacuteficos em causa no Estado-Membro em questatildeordquo

No caso descrito a atividade exercida pela sociedade empresaacuteria eslovaca Wel-timmo envolvia a exploraccedilatildeo de websites de anuacutencios de imoacuteveis situados na Hungria Apoacutes o periacuteodo de um mecircs de fornecimento gratuito de publicidade em torno dos imoacuteveis transacionados por terceiros a empresa passava entatildeo a faturar o serviccedilo e cobrar pagamentos dos anunciantes huacutengaros mesmo apoacutes requerimento para a ex-clusatildeo do anuacutencio e apagamento dos dados pessoais formulado dentro do mencionado prazo de gratuidade

Aleacutem dessas circunstacircncias foram considerados relevantes no exame feito pela CJUE o fato de a empresa66 haver constituiacutedo representante na Hungria e o seu siacutetio eletrocircnico utilizar o idioma huacutengaro para operaccedilatildeo das atividades Ao final a CJUE de-cidiu que a empresa responsaacutevel pelo tratamento de dados pessoais (e provedora de aplicaccedilatildeo de internet) se dedicava a uma atividade real e efetiva no territoacuterio huacutengaro

Para o Regulamento o local onde se daacute o tratamento de dado pessoal eacute irrele-vante se o estabelecimento do responsaacutevel eacute situado na Uniatildeo Europeia A nova norma-tiva tem evidente pertinecircncia em vista dos avanccedilos da internet Alcanccedila por exemplo empresas e entidades responsaacuteveis pelo tratamento de dados que utilizam computaccedilatildeo em nuvem (cloud computing) isto eacute se valem de ldquoarranjos pelos quais recursos com-putacionais satildeo fornecidos de modo flexiacutevel e independentemente da localizaccedilatildeo que permitem uma raacutepida e ininterrupta alocaccedilatildeo de recursos sob demandardquo67 nas difer-entes modalidades de serviccedilo que podem ser adotadas

No Art 3ordm do GDPR incluiu-se uma figura ausente no direito anterior o subcon-tratante68 ou operador (processor) Conforme estabelece o artigo 48 do Regulamento 66 No contexto de interpretaccedilatildeo e aplicaccedilatildeo do GDPR empresa eacute ldquopessoa singular ou coletiva que independentemente da sua forma juriacutedica exerce uma atividade econoacutemica incluindo as sociedades ou associaccedilotildees que exercem regularmente uma atividade econoacutemicardquo (artigo 4(18)) UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho cit67 MILLARD Christopher (Ed) Cloud Computing Law Oxford Oxford University Press 2013 E-book Traduccedilatildeo livre do orginal ldquoan arrangement whereby computing resources are provided on a flexible location-independent basis that allows for rapid and seamless allocation of resources on demandrdquo68 Termo empregado na traduccedilatildeo oficial do Regulamento na liacutengua portuguesa

16

subcontratante ou operador eacute a pessoa natural ou juriacutedica a autoridade puacuteblica agecircn-cia ou oacutergatildeo que trate os dados pessoais em nome do responsaacutevel pelo tratamen-to destes Ou seja eacute interposta entidade que realiza atividade de tratamento de infor-maccedilotildees pessoais em nome de um responsaacutevel que decide delegar contratualmente69 parte ou a totalidade das operaccedilotildees de tratamento de dados70 como acontece no for-necimento de serviccedilo de computaccedilatildeo em nuvem e outros contratos de tecnologia da informaccedilatildeo mdash e g cessatildeo da capacidade de processamento

Os atos e atividades envolvendo tratamento de dados por sua vez encontram-se definidos fundamentalmente no Art42 do Regulamento71 Devido agrave abrangecircncia dess-es atos e atividades aleacutem das complexas redes de negoacutecios e contratos envolvendo empresas atuantes nos segmentos de computaccedilatildeo e internet o Art 3(1) do GDPR di-retamente alcanccedila sujeitos - subcontratante ou operador- atuantes em qualquer fase ou etapa do tratamento de dados pessoais ocorram elas dentro ou fora do domiacutenio territorial da Uniatildeo

Existem dois pressupostos para o reconhecimento de um sujeito - pessoa natu-ral ou juriacutedica - como subcontratante ou operador (i) ser ente separado e com autono-mia juriacutedica em relaccedilatildeo ao responsaacutevel pelo tratamento de dados pessoais e (ii) efetuar o tratamento de informaccedilotildees em nome do responsaacutevel72

Identificada a natureza de um agente como subcontratante o quadro faacutetico das interaccedilotildees subcontratante-responsaacutevel pelo tratamento de dados pode se subsum-ir em trecircs situaccedilotildees distintas (i) tanto o subcontratante como o responsaacutevel possuem estabelecimento na Uniatildeo Europeia (ii) o operador tem estabelecimento fora da Uniatildeo Europeia e eacute contratado por responsaacutevel com estabelecimento em paiacutes-membro do blo-co europeu e (iii) o estabelecimento do operador se situa no territoacuterio europeu diferen-temente do responsaacutevel localizado em paiacutes que natildeo faz parte da Uniatildeo Europeia

Em que medida se aplica o GDPR nessas situaccedilotildees

Na primeira hipoacutetese a normativa europeia haacute de reger ambos agentes Jaacute na situaccedilatildeo indicada no item ii apesar da obviedade da aplicaccedilatildeo do Regulamento ao re-sponsaacutevel pelo tratamento de dados pessoais pode surgir o questionamento quanto agrave regulamentaccedilatildeo da atividade do subcontratante cujo estabelecimento se localiza fora dos limites territoriais da Uniatildeo Europeia

Nesse caso o GDPR natildeo pode ser aplicaacutevel imediatamente ao operador agrave luz do criteacuterio da localizaccedilatildeo do estabelecimento do Art 3(1) a natildeo ser que o tratamento realizado em nome do responsaacutevel seja relativo a informaccedilotildees de natureza pessoal de residentes na UE para o fornecimento de bens e serviccedilos ou o monitoramento do com-portamento dos titulares dos dados na forma do Art 3(2) No entanto ainda no caso de eventual inaplicabilidade direta do Regulamento este seraacute indiretamente vinculante ao operador em razatildeo da obrigatoriedade do contrato ou outro ato normativo cujas regras se aplicam agrave sua atividade de tratamento de dados conforme estabelece o artigo

69 Eacute o que decorre da previsatildeo do artigo 28 (3) do Regulamento ldquoO tratamento em subcontrataccedilatildeo eacute regulado por contrato ou outro ato normativo ao abrigo do direito da Uniatildeo ou dos Estados-Membros que vincule o subcontratante ao responsaacutevel pelo trata-mento estabeleccedila o objeto e a duraccedilatildeo do tratamento a natureza e finalidade do tratamento o tipo de dados pessoais e as categorias dos titulares dos dados e as obrigaccedilotildees e direitos do responsaacutevel pelo tratamento []rdquo UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho cit70 VOIGT Paul BUSSCHE Axel von dem (Eds) The EU General Data Protection Regulation (GDPR) A Practical Guide [sl] Springer 2017 p 2071 Para inteiro teor do dispositivo ver nota 3072 Ibidem

17

28(3)73

Um exemplo de aplicaccedilatildeo indireta eacute ilustrado por Voigt e Bussche X eacute empresa alematilde que presta serviccedilo de alocaccedilatildeo e contrataccedilatildeo temporaacuteria de pessoal para grandes faacutebricas de automoacuteveis de toda a Europa Devido ao fato de seu grande quadro de fun-cionaacuterios mudar constantemente X armazena os dados sobre processos seletivos me-diante provedor de serviccedilo de computaccedilatildeo em nuvem situado nos Estados Unidos da Ameacuterica Y Ainda que Y natildeo direcione suas atividades para a Uniatildeo Europeia (na forma do artigo 3(2) do Regulamento) deveraacute observar os paracircmetros de proteccedilatildeo de dados do GDPR expressamente previstos no contrato que manteacutem com X74

Na terceira hipoacutetese por sua vez tendo o subcontratante estabelecimento no territoacuterio da Uniatildeo Europeia a ele se aplica diretamente o Regulamento em relaccedilatildeo agrave atividade de tratamento de dados pessoais Nesse ponto dada a novidade da disciplina juriacutedica referente agrave figura do subcontratante ou operador E J Kindt suscita question-amento sobre a aplicaccedilatildeo do Regulamento ao responsaacutevel mdash que determina as fina-lidades e os meios de tratamento de dados pessoais mdash com estabelecimento fora da Uniatildeo Europeia o GDPR eacute aplicaacutevel em sua totalidade inclusive ao responsaacutevel desde o momento em que este contrata operador situado em Estado-membro da UE Ou in-cidem somente as normas pertinentes ao operador mdash e g Art 32 sobre seguranccedila no tratamento de dados75

A soluccedilatildeo mais apropriada parece ser a da aplicaccedilatildeo do Regulamento no limite das normas juriacutedicas endereccediladas ao subcontratante e natildeo estendecirc-la em sua totali-dade para alcanccedilar inclusive empresas sediadas em paiacuteses natildeo membros da Uniatildeo Eu-ropeia (e g EUA e paiacuteses da Ameacuterica Latina) cuja atividade natildeo se encontra compreen-dida nos termos do Art 3(1) e Art 3(2) do GDPR Do contraacuterio haveria a vinculaccedilatildeo agrave normativa europeia de qualquer entidade responsaacutevel no globo que porventura decida otimizar seus serviccedilos de processamento de dados e de tecnologia da informaccedilatildeo com a contrataccedilatildeo de um operador com base na Europa76

Esse aspecto aliaacutes poderia colocar o setor europeu de tecnologia da informaccedilatildeo em consideraacutevel desvantagem concorrencial no mercado internacional Problemas em mateacuteria de jurisdiccedilatildeo e de efetividade na aplicaccedilatildeo das sanccedilotildees do Regulamento pelos tribunais igualmente aparecem77 visto que tratar-se-ia de uma extensatildeo unilateral da aplicaccedilatildeo extraterritorial da lei com discutiacutevel legitimidade78 ao menos do ponto de vista da criaccedilatildeo de uma lsquojurisdiccedilatildeo globalrsquo natildeo negociada com terceiros Estados79

A extensatildeo unilateral da normativa europeia afigura-se inconsistente com a es-truturaccedilatildeo atual do sistema internacional ainda baseado em diferentes soberanias e no respeito ao princiacutepio da natildeo interferecircncia80 Eventual mudanccedila de abordagem em torno 73 ldquoO tratamento em subcontrataccedilatildeo eacute regulado por contrato ou outro ato normativo ao abrigo do direito da Uniatildeo ou dos Esta-dos-Membros que vincule o subcontratante ao responsaacutevel pelo tratamento estabeleccedila o objeto e a duraccedilatildeo do tratamento a natureza e finalidade do tratamento o tipo de dados pessoais e as categorias dos titulares dos dados e as obrigaccedilotildees e direitos do responsaacutevel pelo tratamento []rdquo (grifos nossos) UNIAtildeO EUROPEIA Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselhocit74 VOIGT Paul BUSSCHE Axel von dem (Eds) The EU General Data Protection Regulation (GDPR) cit p 2575 KINDT E J Why research may no longer be the same About the territorial scope of the New Data Protection Regulation Computer Law and Security Review v 32 n 5 p 737 2016 76 Ibidem p 73777 Ibidem p737 78 Cf DE HERT P CZERNIAWSKI M Expanding the European data protection scope beyond territory Article 3 of the Gen-eral Data Protection Regulation in its wider context In International Data Privacy Law v 6 n 3 p 240 2016 79 BERMAN Paul Schiff The Globalization of JurisdictionIn University of Pennsylvania Law Review v 151 n 2 p 311-545 200280 Em relaccedilatildeo agrave problemaacutetica do sistema internacional ver as reflexotildees sobre passado presente e futuro que orbitam o conceito de soberania KALMO Hent SKINNER Quentin (Ed) Sovereignty in Fragments The Past Present and Future of a Contested Concept

18

de uma aplicaccedilatildeo ldquouniversalrdquo de normas de proteccedilatildeo de dados somente seria legiacutetima e legal do ponto de vista internacional mediante instrumentos normativos adotados entre Estados e recurso a mecanismos globalmente pactuados de cooperaccedilatildeo juriacutedica internacional

32 Local da atividade de tratamento de dados O artigo 3(2) trata de previsatildeo legal que enseja significativa mudanccedila no Direito

Europeia de Proteccedilatildeo de Dados Pessoais ldquouma das mais importantes lsquoconquistasrsquo da reformardquo81 Incidiraacute o Regulamento sobre o tratamento de dados pessoais de pessoas residentes na Uniatildeo Europeia ainda que tenha sido efetuado por responsaacutevel pelo trat-amento ou operador natildeo estabelecidos no territoacuterio europeu quando as operaccedilotildees de tratamento se relacionarem (i) agrave oferta de bens ou serviccedilos a esses titulares de dados independentemente da exigecircncia de pagamento e (ii) ao monitoramento82 do seu com-portamento desde que tal comportamento tenha lugar na Uniatildeo Europeia

Do ponto de vista da poliacutetica normativa adotada o GDPR fundamentou-se no criteacuterio moderado do ponto de destino (moderate destination approach)83 Ele leva em consideraccedilatildeo um especiacutefico direcionamento da atividade dos sujeitos mdash notadamente provedores de aplicaccedilatildeo de internet mdash situados em algum Estado terceiro Com efeito o criteacuterio moderado do ponto de destino estabelece um nexo de maior proximidade entre a atividade dos agentes de tratamento de informaccedilotildees pessoais e os Estados-membros da Uniatildeo Europeia resultando em maior legitimidade no exerciacutecio da jurisdiccedilatildeo prescri-tiva (perfil regulatoacuterio-substantivo portanto) e na fixaccedilatildeo dos seus limites pelo legisla-dor europeu84

Vale ressaltar que nesse sentido a decisatildeo proferida pela CJUE no caso Google Spain85 foi paradigmaacutetica para determinar o alcance da normas de proteccedilatildeo de dados pessoais da Uniatildeo Europeia para aleacutem dos limites territoriais do mercado comum e do domiacutenio intracomunitaacuterio A partir desse precedente da Corte a Diretiva 9546CE foi reputada aplicaacutevel ao caso a partir da existecircncia de uma agecircncia ou filial estabelecida em Estado-membro da Uniatildeo Europeia e da contrataccedilatildeo de publicidade com ldquoligaccedilatildeo inextricaacutevelrdquo (inextricable link86) agrave atividade de tratamento de dados pessoais por meio Cambridge University Press 2010 No plano do Direito Internacional Puacuteblico cf MELLO Celso Curso de direito internacional puacuteblico Rio de Janeiro Renovar 200481 DE HERT P CZERNIAWSKI M Expanding the European data protection scope beyond territory cit p 239 Vide tam-beacutem BU-PASHA S Cross-border issues under EU data protection law with regards to personal data protection In Information amp Communications Technology Law v 26 n 3 p 218 2017 82 Na versatildeo oficial do texto do Regulamento em portuguecircs europeu o termo utilizado eacute ldquocontrolordquo83 A respeito desse criteacuterio afirma Uta Kohl ldquo[] Os Estados tecircm por vezes no contexto do direito privado procurado evitar as posiccedilotildees extremas da abordagem do paiacutes de origem e da abordagem do paiacutes de destino optando pelo meio termo Este meio-termo eacute ocupado por uma abordagem moderada de paiacutes de destino segundo a qual apenas os Estados que foram especificamente visados pela atividade online desfrutam de competecircncia reguladora Embora esta abordagem evite algumas das falhas teoacutericas e praacuteticas das posiccedilotildees extremas estaacute longe de ser perfeita Em uacuteltima anaacutelise eacute cercado pelo mesmo problema de aplicabilidade que qualquer abordagem de paiacutes de destino com a desvantagem de que alguns Estados claramente afetados por certas atividades online tecircm que se abster de regu-lamentaccedilatildeordquo (traduccedilatildeo livre) KOHL Uta Jurisdiction and the Internet regulatory competence over online activity 1ordf ed Cambridge Cambridge University Press 2007 p 25-2684 DE HERT P CZERNIAWSKI M Expanding the European data protection scope beyond territory Article 3 of the General Data Protection Regulation in its wider context In International Data Privacy Law v 6 n 3 p 239-243 201685 UNIAtildeO EUROPEIA Tribunal de Justiccedila da Uniatildeo Europeia Grande Secccedilatildeo Processo C-13112 Google Spain SL Google Inc c Agencia Espantildeola de Proteccioacuten de Datos (AEPD) Mario Costeja Gonzaacutelez Luxemburgo 13052014 Disponiacutevel em lthttpcuriaeuropaeujurisdocumentdocumentjsfdocid=152065ampdoclang=PTgt Acesso em 1505201886 Sobre a adoccedilatildeo do criteacuterio da ldquoligaccedilatildeo inextricaacutevelrdquo pelo TJUE vide ARTICLE 29 DATA PROTECTION WORKING PARTY Update of Opinion 82010 on applicable law in light of the CJEU judgement in Google Spain Bruxelas [s n] 2015 p 4 Disponiacutevel em lthttpeceuropaeujusticearticle-29documentationopinion-recommendationfiles2015wp179_en_updatepdfgt Acesso em 15052018 Vale destacar segundo a definiccedilatildeo lexical oferecida pelo Dicionaacuterio CALDAS AULETE que inextricaacutevel eacute tudo aquilo que natildeo se pode desenredar ou se desemaranhar que se natildeo pode deslindar ou discriminar que natildeo eacute possiacutevel desembaraccedilar-se ou sair (algueacutem) lat inextricabilia

19

de um motor de busca tal como o Google Search ainda que a empresa diretamente re-sponsaacutevel pelas operaccedilotildees tenha sede em paiacutes terceiro87

O Art 3(2)(a) estabelece inserir-se no acircmbito de aplicaccedilatildeo do Regulamento a atividade de tratamento de dados pessoais de residentes na Uniatildeo Europeia realizada no contexto do fornecimento de bens e serviccedilos ainda que natildeo onerosos a eles di-recionados Para a interpretaccedilatildeo do texto normativo eacute relevante verificar o Consideran-do n 23 do GDPR e os paracircmetros ali traccedilados

ldquo[] A fim de determinar se o responsaacutevel pelo tratamento ou subcontratante oferece ou natildeo bens ou serviccedilos aos titulares dos dados que se encontrem na Uniatildeo haacute que determinar em que medida eacute evidente a sua intenccedilatildeo de oferecer serviccedilos a titulares de dados num ou mais Esta-dos-Membros da Uniatildeo O mero facto de estar disponiacutevel na Uniatildeo um siacutetio web do responsaacutevel pelo tratamento ou subcontratante ou de um intermediaacuterio um endereccedilo eletroacutenico ou outro tipo de contactos ou de ser utilizada uma liacutengua de uso corrente no paiacutes terceiro em que o referido responsaacutevel estaacute estabelecido natildeo eacute suficiente para determinar a intenccedilatildeo acima referida mas haacute fatores como a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Es-tados-Membros com a possibilidade de encomendar bens ou serviccedilos nessa outra liacutengua ou a referecircncia a clientes ou utilizadores que se encontrem na Uniatildeo que podem ser reveladores de que o responsaacutevel pelo tratamento tem a intenccedilatildeo de oferecer bens ou serviccedilos a titulares de dados na Uniatildeordquo

Jaacute quanto ao artigo 3ordm 2 b o dispositivo expressamente estabeleceu ser o mon-itoramento comportamental suficiente para determinar a regecircncia pelo Direito da Uniatildeo Europeia sendo aplicaacuteveis as normas do GDPR desde que a conduta dos titulares dos dados ocorra no territoacuterio da Uniatildeo Europeia A regra tem ampla aplicaccedilatildeo para em-presas provedoras de serviccedilos de internet tais como aplicativos de redes sociais correio eletrocircnico e motores de busca enfim serviccedilos que de alguma maneira monitoram a atividade online de seus usuaacuterios especialmente para fins publicitaacuterios Eacute o caso da pub-licidade comportamental na qual satildeo utilizados principalmente cookies88

Deve-se ter atenccedilatildeo poreacutem na interpretaccedilatildeo dessa hipoacutetese legal de extraterrito-rialidade O Regulamento tem em vista que a coleta e o processamento de informaccedilotildees comportamentais sobre haacutebitos de compra na internet histoacuterico de navegaccedilatildeo modo de uso de dispositivos e a consequente identificaccedilatildeo de interesses e preferecircncias ense-jam sensiacuteveis questotildees relativas agrave proteccedilatildeo da privacidade e dos dados pessoais

87 Cf BU-PASHA S Cross-border issues under EU data protection law with regards to personal data protectionIn Information amp Communications Technology Law v 26 n 3 p 218 2017 88 ldquoA publicidade comportamental tem por base a observaccedilatildeo do comportamento das pessoas ao longo do tempo procurando estudar as caracteriacutesticas deste comportamento atraveacutes das suas acccedilotildees (vaacuterias visitas ao mesmo siacutetio Web interacccedilotildees palavras-chave produccedilatildeo de conteuacutedo em linha [online] etc) com vista a criar um perfil especiacutefico e deste modo apresentar-lhes anuacutencios que corre-spondem aos interesses impliacutecitos no seu comportamento Enquanto a publicidade contextual e a publicidade segmentada utilizam laquoin-stantacircneosraquo daquilo que as pessoas em causa vecircem ou fazem num determinado siacutetio Web ou caracteriacutesticas conhecidas dos utilizadores a publicidade comportamental fornece potencialmente aos anunciantes uma imagem muito detalhada da utilizaccedilatildeo da Internet com informaccedilotildees sobre muitos dos siacutetios Web e paacuteginas especiacuteficas consultadas por quanto tempo foram visualizados determinados artigos ou produtos por que ordem etc [] A maioria das tecnologias de monitorizaccedilatildeo e publicidade utilizadas no contexto da publicidade comportamental implica algum tipo de tratamento de dados relativos ao cliente Estas tecnologias utilizam informaccedilotildees armazena-das no programa de navegaccedilatildeo e no equipamento terminal do utilizador Em especial a tecnologia mais utilizada para monitorizar os utilizadores na Internet baseia-se em laquotestemunhos persistentesraquo [tracking cookies ou persistent cookies] Os testemunhos permitem monitorizar a navegaccedilatildeo de um utilizador na Internet durante um periacuteodo de tempo alargado e em teoria atraveacutes de vaacuterios domiacuteniosrdquo (GRUPO DE TRABALHO DO ARTIGO 29ordm PARA A PROTECCcedilAtildeO DE DADOS Parecer 22010 sobre publicidade comportamental em linha Bruxelas [s n] 2010 p 5-6 Disponiacutevel em lthttpwwwgpdpgovmouploadfile2014050520140505062209480pdfgt Acesso em 15052018)

20

A partir do acesso a essas informaccedilotildees satildeo traccedilados perfis dos usuaacuterios que classificados apoacutes aplicaccedilatildeo do conhecimento preditivo obtido com teacutecnicas de per-filamento (profiling) automatizado tecircm suas vidas cada vez mais afetadas Niacuteveis de intrusividade sobre a vida comportamentos e desenvolvimento da personalidade de usuaacuterios satildeo intensificados a partir do avanccedilo das implementaccedilotildees de Internet das Cois-as (IoT) e do aperfeiccediloamento e difusatildeo das tecnologias de inteligecircncia artificial e de decisatildeo algoriacutetmica89

Portanto se essas tecnologias forem empregadas por entidades responsaacuteveis estabelecidas fora do territoacuterio da Uniatildeo Europeia de modo a monitorar a conduta online e offline e tratar dados pessoais de titular localizado no bloco europeu muito provavelmente haveraacute incidecircncia das normas do GDPR

Nesse sentido com base na inteligecircncia do Art 3o paraacutegrafos 1 e 2 pode-se cogitar alguns dos setores que seratildeo potencialmente atingidos no Brasil pelo acircmbito de aplicaccedilatildeo material e territorial do Regulamento (i) empresas brasileiras da aacuterea de tecnologia da informaccedilatildeo que atuem como subcontratantes ou operadores efetuando o tratamento de informaccedilotildees de natureza pessoal em nome de entidades responsaacuteveis com estabelecimento na Uniatildeo Europeia (ii) empresas que desenvolvem atividades rela-cionadas ao turismo ou ao deslocamento de pessoas residentes na Europa para o Brasil (por exemplo as companhias aeacutereas e seus websites) que figurem como responsaacuteveis pelo tratamento de dados pessoais (iii) empresas atuantes no comeacutercio eletrocircnico com prestaccedilatildeo de serviccedilos personalizados ou aplicativos brasileiros que faccedilam uso de pro-gramas de rastreamento (tracking) dos usuaacuterios residentes na Uniatildeo Europeia e teacutecnicas de perfilamento automatizado individual ou coletivo

33 Transferecircncia internacional de dadosA despeito dos elementos de extraterritorialidade do GDPR e efeitos que a nor-

mativa europeia pode produzir no sistema juriacutedico brasileiro ou possiacuteveis conflitos de lei haacute ainda a necessidade de se observar as possiacuteveis repercussotildees em relaccedilatildeo agrave trans-ferecircncia internacional de dados pessoais disciplinada normativamente nos Arts 44 a 50 do Regulamento Europeu

Em termos analiacuteticos uma transmissatildeo transfronteiriccedila de dados pessoais90 en-volve pelo menos trecircs operaccedilotildees de tratamento (i) a que tornou disponiacutevel as infor-maccedilotildees pessoais ao agente responsaacutevel ou operador (cedente) ndash e g recolha ou coleta dos dados (ii) a transmissatildeo dessas informaccedilotildees a receptor sediado ou residente em Estado estrangeiro pelo cedente e (iii) o tratamento que o receptor dos dados pessoais realiza em seu estabelecimento situado em paiacutes terceiro (e g armazenamento em base de dados)91 89 Em relaccedilatildeo ao Art 3(2)(b) atenccedilatildeo merece o Considerando n 24 do GDPR ldquoO tratamento de dados pessoais de titulares de dados que se encontrem na Uniatildeo por um responsaacutevel ou subcontratante que natildeo esteja estabelecido na Uniatildeo deveraacute ser tambeacutem abrangido pelo presente regulamento quando esteja relacionado com o controlo do comportamento dos referidos titulares de dados na medida em que o seu comportamento tenha lugar na Uniatildeo A fim de determinar se uma atividade de tratamento pode ser consid-erada laquocontrolo do comportamentoraquo de titulares de dados deveraacute determinar-se se essas pessoas satildeo seguidas na Internet e a potencial utilizaccedilatildeo subsequente de teacutecnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular especial-mente para tomar decisotildees relativas a essa pessoa ou analisar ou prever as suas preferecircncias o seu comportamento e as suas atitudes90 A respeito do tema vide trabalho publicado pelo IRIS com comentaacuterios ao projeto de lei nordm 52762016 da Cacircmara dos Deputados INSTITUTO DE REFEREcircNCIA EM INTERNET E SOCIEDADE Policy Paper - Transferecircncia Internacional de Dados no PL 527616 Belo Horizonte IRIS 2017 Disponiacutevel em lthttpirisbhcombrwp-contentuploads201705Policy-Papper-Portuguespdfgt Acesso em 2005201891 GIMEacuteNEZ Alfonso Ortega La (des)proteccioacuten del titular del derecho a la proteccioacuten de datos derivada de una transferencia internacional iliacutecita Madrid Agencia Espantildeola de Proteccioacuten de Datos 2015 p 61 BU-PASHA S Cross-border issues under EU data protection law with regards to personal data protectioncit p 214

21

No esquema juriacutedico da transferecircncia internacional dados entatildeo exige-se pelo menos a presenccedila do responsaacutevel ou operador cedente e o responsaacutevel ou operador receptor dos dados Se agrave luz do GDPR quanto ao cedente eacute inequiacutevoca a aplicaccedilatildeo di-reta da normativa europeia alguma incerteza pode restar no tocante ao direito aplicaacutevel ao receptor92 Por essa razatildeo e para resguardar contra riscos de ofensa a direitos e liberdades fundamentais dos cidadatildeos europeus titulares dos dados eacute que foi adotado desde a vigecircncia da Diretiva 9546CE o modelo que impotildee para transferecircncia de dados a paiacutes terceiro a preacutevia verificaccedilatildeo e reconhecimento do niacutevel de proteccedilatildeo adequado do paiacutes ou organizaccedilatildeo internacional de destino93 (Art45)

Em essecircncia a regra eacute ancorada em modelo geograacutefico de regulamentaccedilatildeo do fluxo de dados entre fronteiras nacionais porquanto ldquoobjetiva proteger contra riscos gerados pelo paiacutes ou localidade para qual os dados seratildeo transferidosrdquo94 A Comissatildeo Europeia tem a atribuiccedilatildeo de analisar o niacutevel de proteccedilatildeo do paiacutes terceiro e emitir uma decisatildeo de adequaccedilatildeo com base nos criteacuterios apontados no Art 45(2) do Regulamen-to Havendo tal decisatildeo mdash sujeita a revisatildeo quadrienal mdash natildeo se demandaraacute preacutevia e especiacutefica autorizaccedilatildeo para a transmissatildeo internacional de dados

Aleacutem da decisatildeo de adequaccedilatildeo a transferecircncia transfronteiriccedila de dados pes-soais pode ter lastro tambeacutem (i) caso o paiacutes terceiro ou a organizaccedilatildeo internacional apresentem garantias adequadas (Art 46) ou (ii) a autoridade de proteccedilatildeo de dados competente confeccione regras empresariais vinculativas (Art 47) que hatildeo de ser observadas por grupos de empresas ou grupos econocircmicos multinacionais no impre-scindiacutevel fluxo internacional de informaccedilotildees dentro de sua estrutura organizacional Ressalva todavia deve ser feita agraves derrogaccedilotildees agraves regras acima para situaccedilotildees espe-ciacuteficas de transferecircncia internacional de dados expressamente dispostas no Art 49 do Regulamento Eacute o que ocorreraacute por exemplo no caso da existecircncia de contrato entre responsaacutevel pelo tratamento situado na Uniatildeo Europeia e subcontratante estabelecido em paiacutes natildeo membro do bloco europeu que natildeo possui o reconhecimento da Comissatildeo Europeia de oferecer adequado niacutevel de proteccedilatildeo nem apresenta garantias adequadas (Art49(1)(c))

Aleacutem de a disciplina do GDPR referente agrave transmissatildeo de dados entre frontei-ras ser pautada no modelo geograacutefico tambeacutem foram incluiacutedas na normativa regras inspiradas no modelo organizacional de regulaccedilatildeo Isso porque ele se propotildee a lidar com riscos gerados pela entidade que receberaacute as informaccedilotildees pessoais transferidas95 Nesse contexto o legislador europeu buscou promover uma responsabilidade organi-zacional (organizational accountability)96 a ser obtida mediante a criaccedilatildeo pelos agentes 92 BU-PASHA S Cross-border issues under EU data protection law with regards to personal data protection cit p 21493 Cf PIRODDI Paola I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati In RESTA Giorgio ZENO-ZENCOVICH Vincezo (Coord) La protezione transazionale dei dati personali Roma Roma-Tre Press 2016 p 198-19994 Traduccedilatildeo livre de ldquoaims to protect against risks posed by the country or location to which the data are to be transferred []rdquo (KUNER Christopher Regulation of transborder data flows under data protection and privacy law past present and future OECD Digi-tal Economy Papers n 187 OECD Publishing 2011 p 20)95 KUNER Christopher Regulation of transborder data flows under data protection and privacy law past present and future OECD Digital Economy Papers n 187 OECD Publishing 2011 p 2096 Em 2010 o Grupo de Trabalho do Artigo 29 emitiu parecer a respeito do princiacutepio da responsabilidade (principle of ac-countability) oportunidade em que reconheceu que ldquoEm suma um princiacutepio de responsabilidade legal explicitamente exigiria que os responsaacuteveis pelo tratamento de dados implementassem medidas apropriadas e efetivas para pocircr em praacutetica os princiacutepios e obrigaccedilotildees da Diretiva e demonstrassem isso mediante solicitaccedilatildeo Na praacutetica isso deve se traduzir em programas escalonaacuteveis destinados a im-plementar os princiacutepios de proteccedilatildeo de dados existentes (agraves vezes chamados de programas de conformidade) Como complemento do princiacutepio poderiam ser estabelecidos requisitos adicionais especiacuteficos destinados a por em praacutetica salvaguardas de proteccedilatildeo de dados ou garantir a sua eficaacutecia Um exemplo seria uma provisatildeo exigindo o desempenho de uma avaliaccedilatildeo de impacto de privacidade para operaccedilotildees de processamento de dados de alto riscordquo (traduccedilatildeo livre) ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 32010 on the principle of accountability Bruxelas [s n] 2010 p3-5 Disponiacutevel em lthttpeceuropaeujusticearticle-29documenta-

22

de tratamento de dados pessoais de abrangentes programas de gerenciamento de pri-vacidade Esses programas devem por exemplo prever a designaccedilatildeo de data protection officer (Art 37) emitir relatoacuterio de impacto agrave privacidade (Art 35) implementar regras de boas praacuteticas coacutedigos de conduta (Art 40) normas corporativas etc orientaccedilotildees internas eou externas aplicaacuteveis em consonacircncia com o Regulamento por todo o ciclo de vida da informaccedilatildeo objeto de tratamento independentemente do local ou jurisdiccedilatildeo em que esteja

Os possiacuteveis setores acima indicados satildeo afetados pela imediata aplicaccedilatildeo do novo Regulamento europeu Para ele ainda natildeo existe decisatildeo que reconheccedila o Brasil como paiacutes terceiro detentor de niacutevel de proteccedilatildeo adequado aos padrotildees de tutela da privacidade e proteccedilatildeo de dados pessoais da Uniatildeo Europeia Dessa forma abre-se uma seacuterie de possibilidades para que entidades puacuteblicas e privadas brasileiras sejam alcanccedila-das por medidas relacionadas agrave transferecircncia internacional de dados pessoais em que o cedente seja estabelecido no territoacuterio europeu

4 Anaacutelise comparativa das repercussotildees do Regulamento (UE) n 2016679 nos direitos brasileiro e argentino

Indiscutivelmente a mais significativa mudanccedila no panorama regulatoacuterio euro-peu da privacidade de dados decorre da jurisdiccedilatildeo prescritiva ampliada da GDPR Suas normas se aplicam a todas operaccedilotildees de empresas envolvidas no os dados pessoais dos titulares de dados residentes nos Estados-membros da Uniatildeo Europeia indepen-dentemente do local da sede da empresa Anteriormente a aplicabilidade territorial da diretiva era ambiacutegua e referia-se ao processo de dados ldquono contexto de um estabeleci-mentordquo

A GDPR inova ao reforccedilar e explicitar seu acircmbito de aplicaccedilatildeode forma muito objetiva seraacute aplicaacutevel ao tratamento de dados pessoais por parte de controladores e processadores na Uniatildeo Europeia independentemente de o processamento ter lugar na Uniatildeo Europeia ou natildeo A GDPR aplica-se igualmente ao tratamento de dados pessoais de titulares de dados na Uniatildeo Europeia por um responsaacutevel pelo tratamento ou sub-contratante natildeo estabelecido na Uniatildeo quando as atividades dizem respeito agrave oferta de bens ou serviccedilos a cidadatildeos europeus e ao acompanhamento do comportamento de usuaacuterios na Uniatildeo Europeia

O cenaacuterio de incertezas quanto agrave compatibilidade entre a aplicaccedilatildeo da GDPR e as normativas nacionais sobre o tema transcende o territoacuterio europeu como se pode ob-servar a partir dos proacuteprios princiacutepios de aplicaccedilatildeo extraterritorial de seus dispositivos A busca pela globalizaccedilatildeo da oferta de serviccedilos digitais no seacuteculo XXI corrobora a confor-maccedilatildeo de um sistema internacional cada vez mais interligado por empresas e usuaacuterios que atuam em vaacuterios mercados sujeitos a diferentes jurisdiccedilotildees No contexto de apli-caccedilatildeo extraterritorial da GDPR a partir de um dos mais importantes mercados globais de prestaccedilatildeo e consumo de serviccedilos digitais eacute natural que outras economias tambeacutem busquem se adequar ao regime juriacutedico vigente de forma a manter sua competitividade no comeacutercio internacional

Partindo-se dessa conjuntura as linhas a seguir apresentam alguns paralelos entre a GPDR e as legislaccedilotildees argentina e brasileira de forma a contextualizar o atual estado da arte da discussatildeo sobre proteccedilatildeo de dados pessoais no domiacutenio do Mercosul tionopinion-recommendationfiles2010wp173_enpdfgt Acesso em 15052018

23

e entre paiacuteses da Ameacuterica Latina como um todo

41 Argentina Haacute quase vinte anos desde 2000 a Argentina dispotildee de uma Lei de Proteccedilatildeo de

Dados Pessoais97 Essa legislaccedilatildeo tambeacutem decorre de previsatildeo constitucional especiacutefica sobre o tema que determina em seu artigo 43 que

toda pessoa poderaacute interpor accedilatildeo para tomar conhecimento dos dados a ela referidos e de sua finalidade que constem em registros ou bancos de dados puacuteblicos ou os privados destinados a fornecer informaccedilotildees e em caso de falsidade ou discriminaccedilatildeo para exigir a supressatildeo retifi-caccedilatildeo confidencialidade ou atualizaccedilatildeo dos mesmos98

Ainda que a Argentina tenha sido considerada o primeiro paiacutes latino-americano com niacuteveis ldquoadequadosrdquo de proteccedilatildeo pela Uniatildeo Europeia por meio das recomendaccedilotildees do Grupo de Trabalho d Artigo 2999 diversas iniciativas de atualizaccedilatildeo da Lei estiveram em discussatildeo no Congresso Nacional entre elas um anteprojeto de lei para uma regu-laccedilatildeo de proteccedilatildeo de dados apresentado pela Agecircncia Nacional de Proteccedilatildeo de Dados

O anteprojeto foi inclusive sujeito agrave consulta puacuteblica pelo equivalente ao Ministeacuterio da Justiccedila argentino com participaccedilatildeo do puacuteblico em geral instituiccedilotildees acadecircmicas empresas indiviacuteduos e associaccedilotildees de direitos civis durante o periacuteodo de reflexatildeo proposto a exemplo do que ocorreu com o Marco Civil da Internet e seu de-creto regulamentador no Brasil O objetivo dessa consulta foi alinhar a lei argentina de proteccedilatildeo de dados agrave GDPR

A lei atual tem vaacuterias aacutereas que abrangem de maneira conflitante ou distinta os principais pontos da GDPR Uma dessas temaacuteticas eacute a transferecircncia transfronteiriccedila de dados pessoais de um titular para paiacuteses com niacuteveis inadequados de proteccedilatildeo de dados A lei argentina vigente manteacutem excessivas exceccedilotildees agrave regra geral de que as informaccedilotildees pessoais natildeo poderiam ser transferidas para esses paiacuteses

De acordo com a Seccedilatildeo 12 da legislaccedilatildeo em vigor eacute proibida a transferecircncia de qualquer tipo de informaccedilatildeo pessoal a paiacuteses ou entidades internacionais que natildeo ofereccedilam niacuteveis adequados de proteccedilatildeo exceto nos casos de cooperaccedilatildeo juriacutedica inter-nacional na troca de informaccedilotildees meacutedicas seja para o tratamento individual de pacien-tes seja em pesquisas epidemioloacutegicas no comeacutercio de valores mobiliaacuterios e nas trans-ferecircncias bancaacuterias por meio de um arcabouccedilo de tratados internacionais dos quais a Argentina eacute signataacuteria e quando a transferecircncia eacute realizada com o propoacutesito de cooper-accedilatildeo internacional entre agecircncias de inteligecircncia no combate ao crime ao terrorismo e ao traacutefico de drogas10097 ARGENTINA Ley 25326 Ley de Proteccioacuten de los Datos Personales 30 de Outubro de 2000 Disponiacutevel em lthttpwwwoasorgjuridicopdfsarg_ley25326pdfgt Acesso em 1605201898 Traduccedilatildeo livre ldquoArtiacuteculo 43 Toda persona podraacute interponer esta accioacuten para tomar conocimiento de los datos a ella referidos y de su finalidad que consten en registros o bancos de datos puacuteblicos o los privados destinados a proveer informes y en caso de false-dad o discriminacioacuten para exigir la supresioacuten rectificacioacuten confidencialidad o actualizacioacuten de aqueacutellosrdquo ARGENTINA Constitucioacuten de la Nacioacuten Argentina Disponiacutevel em lthttpwwwoasorgjuridicomlaspargsp_arg-int-text-consthtmlgt Acesso em 1705201899 Em traduccedilatildeo livre ldquoA Comissatildeo [Europeia] ateacute o momento emitiu sete decisotildees de adequaccedilatildeo reconhecendo Suiacuteccedila Canadaacute Argentina [entre outros] como provedores de niacuteveis adequados de proteccedilatildeordquo UNIAtildeO EUROPEIA European Data Protection Su-pervisor Adequacy decision Disponiacutevel em lthttpsedpseuropaeudata-protectiondata-protectionglossarya_engt Acesso em 21052018100 ARGENTINA Ley 25326 Ley de Proteccioacuten de los Datos Personales 30 de Outubro de 2000 Disponiacutevel em lthttpwwwoas

24

Jaacute para as exceccedilotildees do Art 23 do Anteprojeto de Lei de Proteccedilatildeo de Dados Pessoais101 natildeo seria necessaacuterio o consentimento do titular dos dados pessoais para a transferecircncia internacional quando a transferecircncia estaacute prevista por lei ou tratado quando essa transferecircncia seja necessaacuteria para a prevenccedilatildeo ou diagnoacutestico meacutedico bem como na gestatildeo de serviccedilos sanitaacuterios quando a transferecircncia internacional eacute feita para qualquer empresa do mesmo grupo econocircmico do controlador de dados desde que os dados pessoais sejam utilizados para finalidades que natildeo sejam incompatiacuteveis com aquelas que originaram sua coleta quando a transferecircncia internacional for necessaacuteria a execuccedilatildeo de contrato celebrado por interesse inequiacutevoco do titular dos dados pelo responsaacutevel pelo tratamento e por um terceiro quando a transferecircncia internacional eacute necessaacuteria ou legalmente exigida para salvaguardar um interesse puacuteblico ou para a ad-ministraccedilatildeo puacuteblica e da justiccedila quando a transferecircncia internacional eacute necessaacuteria para o reconhecimento exerciacutecio ou defesa de um direito em processo judicial quando a transferecircncia internacional eacute necessaacuteria para a manutenccedilatildeo ou o cumprimento de uma relaccedilatildeo juriacutedica entre o responsaacutevel pelo tratamento e o proprietaacuterio dos dados

Ou seja apesar da vanguarda da Argentina nos anos 2000 no que diz respeito agrave proteccedilatildeo de dados pessoais e na adequaccedilatildeo de seu regime legislativo agraves diretrizes eu-ropeias entatildeo vigentes a atual sistemaacutetica de exceccedilotildees de consentimento para a trans-ferecircncia internacional de dados pode acarretar conflitos com a GDPR agrave luz do criteacuterio da localizaccedilatildeo do estabelecimento do Art3(1) do Regulamento Afinal em ambientes inte-gradosda economia digital no globo se prestadores argentinos de serviccedilos online cujas atividades envolvam a transferecircncia internacional de dados de cidadatildeos europeus ou que sejam subcontratantes com estabelecimento na Argentina mas satildeo contratados por responsaacutevel com estabelecimento em paiacutes-membro do bloco europeu por exemplo aplicam-se tambeacutem as normativas da GDPR a esses casos in concreto Isso significaria entre outras coisas distintos regimes de exceccedilatildeo para aplicabilidade da normativa eu-ropeia e natildeo a argentina em casos como esse

Nesse contexto o Anteprojeto tambeacutem introduz novas formas de determinar se uma entidade ou determinado processamento de dados estatildeo sujeitos agrave legislaccedilatildeo ar-gentina bastante semelhante aos criteacuterios encontrados na GDPR O atual regulamento de proteccedilatildeo de dados da Argentina se aplica a todas as pessoas pessoas juriacutedicas que re-alizam o tratamento ou processamento de pessoal dados no paiacutes pertinente a qualquer accedilatildeo que eacute considerada tratamento ou processamento de dados pessoais dentro do territoacuterio argentino Se um uacutenico ato isolado relacionado a dados pessoais (por exemp-lo a coleta ou transferecircncia de dados) ocorre na Argentina mas o restante do proces-samento eacute realizado no exterior a lei argentina se aplica tambeacutem a essa accedilatildeo isolada102

Sobre esse aspecto eacute importante ressaltar que o foco da legislaccedilatildeo de 2000 era entre outras coisas a introduccedilatildeo de conceitos basilares agrave proteccedilatildeo de dados pessoais no sistema juriacutedico argentino As inovaccedilotildees propostas por esse Anteprojeto superam a temaacutetica e como consequecircncia refletem preocupaccedilotildees mais atuais a exemplo da GDPR como a extensatildeo de seu acircmbito de aplicaccedilatildeo

orgjuridicopdfsarg_ley25326pdfgt Acesso em 16052018101 Conforme artigo 23 e seguintes ARGENTINA Ley 25326 Ley de Proteccioacuten de los Datos Personales 30 de Outubro de 2000 Disponiacutevel em lthttpwwwoasorgjuridicopdfsarg_ley25326pdfgt Acesso em 16052018102 DrsquoAURO Maximiliano VARELA Ineacutes de Achaval Data protection in Argentina overview Association of Corporate Coun-cilrsquos Multi-Jurisdictional Guide 201415 P 01 Disponiacutevel em lthttpwwwebvcomarimagespublicacionestrdatappdfgt Acesso em 16052018

25

Artigo 4ordm - As regras desta lei aplicam-se quando

a) O responsaacutevel pelo tratamento estiver localizado no territoacuterio nacional mesmo que quando o processamento de dados ocorra fora do dito territoacuterio

b) A pessoa responsaacutevel pelo tratamento natildeo estaacute estabelecida no territoacuterio nacional mas em um lugar onde a legislaccedilatildeo nacional eacute aplicada sob a lei internacional

c) O tratamento de dados de proprietaacuterios residentes na Repuacuteblica Argentina eacute realizada por um controlador que natildeo esteja estabelecido no territoacuterio nacional e as atividades desse tratamento estatildeo relacionadas a oferta de bens ou serviccedilos aos titulares dos dados na Repuacuteblica Argentina ou com o acompanhamento de seus atos comportamentos ou interesses103

Se aprovado dessa forma o Anteprojeto instaura mecanismos de verificaccedilatildeo de sua aplicabilidade bastante semelhantes agravequeles da GDPR analisados no item anterior deste estudo

42 BrasilA proteccedilatildeo dos dados pessoais no Brasil se aproxima do modelo europeu uma

vez que reconhece seu status de direito fundamental como desdobramento da tutela da privacidade104 Contudo o sistema juriacutedico brasileiro ainda prevecirc uma normativa frag-mentaacuteria e insuficiente Haacute lei - geral ou especial - que regule de forma abrangente a atividade de tratamento de dados pessoais realizada por entidades puacuteblicas e privadas seja em ambiente interconectado em redes digitais ou natildeo

Percebe-se desde jaacute portanto que reside aiacute uma significativa diferenccedila da proteccedilatildeo de dados pessoais no Brasil relativamente ao direito argentino

Em partes a razatildeo para a disparidade entre os sistemas desses dois paiacuteses se encontra no texto das suas respectivas Constituiccedilotildees105 O teor do Art 43 da Constituiccedilatildeo da Naccedilatildeo Argentina descrito no item anterior versa sobre o habeas data e lhe confere muacuteltiplas funccedilotildees a fim de proteger a autodeterminaccedilatildeo informativa do indiviacuteduo106

Por sua vez na Constituiccedilatildeo da Repuacuteblica de 1988 apesar de o direito agrave privaci-dade ter sido consagrado no artigo 5ordm incisos X e XI foi no inciso LXXII que o constituinte cuidou diretamente das informaccedilotildees pessoais e de seu estatuto juriacutedico positivando a garantia do habeas data Esta entretanto possui funccedilatildeo juriacutedica muito restrita se con-frontada com o homocircnimo instituto argentino

A accedilatildeo constitucional de habeas data no ordenamento juriacutedico brasileiro tem o propoacutesito de garantir ao cidadatildeo o poder de acesso e retificaccedilatildeo dos seus dados pes-soais que porventura estejam armazenados em registros governamentais e bancos de dados de caraacuteter puacuteblico Como remeacutedio constitucional na verdade natildeo eacute instrumento de concretizaccedilatildeo da autodeterminaccedilatildeo sobre as proacuteprias informaccedilotildees devido ao seu 103 ARGENTINA Anteproyecto de Ley de Proteccioacuten de los Datos Personales 2017 Disponiacutevel em lthttpswwwjusticia2020gobarwp-contentuploads201702Anteproyecto-de-ley-PDPpdfgt Acesso em 17052018104 Neste sentido entre outros DONEDA Danilo Da privacidade agrave proteccedilatildeo de dados pessoais Rio de Janeiro Renovar 2006 p 323-326 LEONARDI Marcel Tutela da privacidade na internet Satildeo Paulo Saraiva 2011 p 67-90 MENDES Laura Schertel Pri-vacidade proteccedilatildeo de dados e defesa do consumidor linhas gerais de um novo direito fundamental Satildeo Paulo Saraiva 2014 p 27-37 MORAES Maria Celina Bodin de Ampliando os direitos da personalidade In MORAES Maria Celina Bodin de(org)Na medida da pessoa humana estudos de direito civil-constitucional Rio de Janeiro Renovar 2010 p 140-145 SARLET Ingo W MARINONI Luiz G MITIDERO Daniel Curso de Direito Constitucional Satildeo Paulo Revista dos Tribunais 2012 p 418105 Cf DONEDA Danilo Da privacidade agrave proteccedilatildeo de dados pessoais citp 326 et seq106 Ibidem p 349 Sobre o habeas data na Argentina cf BAacuteZAN Viacutector El Haacutebeas Data Como Medio de Tutela del Derecho Fundamental a la Autodeterminacioacuten Informativa In Revista de Direito Puacuteblico Porto Alegre-Brasiacutelia n 38 p 205-208 marabr 2011

26

acircmbito de proteccedilatildeo muito restrito107 Considerando que sua gecircnese eacute associada ao con-texto do fim do regime ditatorial brasileiro no qual foi adotada a praacutetica de ldquoutilizaccedilatildeo por autoridades puacuteblicas de dados inteiramente falsos ou contendo erros visando a fins poliacuteticos e com grave prejuiacutezo de direitos individuaisrdquo108 o habeas data tem limitado e peculiar papel no sistema juriacutedico nacional Tais caracteriacutesticas foram observadas na regulamentaccedilatildeo do procedimento pela Lei nordm 95071997 Da mesma forma a natureza das informaccedilotildees acessadas eacute muito especiacutefica como instrumento de proteccedilatildeo de dire-itos da personalidade via remeacutedio constitucional o habeas data alcanccedila apenas dados a serem conhecidos ou retificados que se refiram agrave pessoa do impetrante e destituiacutedos de caraacuteter geneacuterico109 Nesse sentido de anaacutelise ele pressupotildee uma espeacutecie de autode-terminacatildeo lsquocontidarsquo de dados

Em 1990 sob a influecircncia do Fair Credit Reporting Act norte-americano o Coacutedi-go de Defesa do Consumidor (CDC) buscou tutelar a pessoa vulneraacutevel no mercado de consumo relativamente aos bancos de dados criados em particular com escopo e proteccedilatildeo ao creacutedito como se pode verificar em seus Arts 43 e 44110 A bem da verdade o CDC foi a primeira lei especial que em sede infraconstitucional disciplinou a atividade de tratamento de dados pessoais Contudo o enfoque estatutaacuterio de estabelecer certo equiliacutebrio na coleta de informaccedilotildees sobre inadimplemento do consumidor para fins de concessatildeo de creacutedito111 reduziu o alcance da aplicaccedilatildeo de suas normas

Ainda assim uma seacuterie de preceitos positivados no CDC especificam normas es-truturantes da proteccedilatildeo de dados pessoais de modo a afastar a incompreensatildeo muitas vezes disseminada de que inexiste base legal no Brasil para esse campo (i) possibilidade de acesso agraves informaccedilotildees do consumidor armazenadas nos bancos de dados (princiacutepio do acesso) (ii) os dados devem ser objetivos claros verdadeiros e em linguagem de faacutecil compreensatildeo (princiacutepio da qualidade dos dados) (iii) necessidade de comunicaccedilatildeo da formaccedilatildeo de base de dados sobre consumidor(es) (princiacutepio da transparecircncia) (iv) limite de 5 (cinco) anos para armazenamento de informaccedilotildees negativas (princiacutepio da necessi-dade)112

Com a ediccedilatildeo da Lei nordm 124142011 o regramento relativo aos bancos de dados de consumidores foi complementado com o tratamento dos cadastros de adimplemen-to113 A legislaccedilatildeo visa regular a formaccedilatildeo de histoacutericos de creacutedito dos consumidores em que os bancos de dados satildeo alimentados regularmente com ldquoinformaccedilotildees positi-

107 Segundo MENDES Gilmar Curso de Direito Constitucional 12ed Satildeo Paulo Saraiva 2017 pp459-60 uma reflexatildeo livre sobre o tema haacute de indicar que o objeto protegido pelo habeas data soacute em parte traduz a preocupaccedilatildeo hoje manifestada pela ideia de autodeterminaccedilatildeo sobre dados pessoais desenvolvidas em vaacuterias ordens constitucionais O autor ressalva contudo que o texto consti-tucional natildeo deixa duacutevidas de que o instituto protege a pessoa natildeo somente em relaccedilatildeo a banco de dados de caraacuteter puacuteblico geridos por entidades governamentais diretamente ele tambeacutem se destina a tutelar a pessoa em relaccedilatildeo a banco de dados de caraacuteter puacuteblico geridos por entes privados 108 DALLARI Dalmo de Abreu O habeas data no sistema juriacutedico brasileiro In Revista da Faculdade de Direito da Universidade de Satildeo Paulo Satildeo Paulo v 97 p 242 2002109 Cf Gilmar F MENDES Curso de Direito Constitucional 12ed cit p460 110 Art 43 O consumidor sem prejuiacutezo do disposto no art 86 teraacute acesso agraves informaccedilotildees existentes em cadastros fichas reg-istros e dados pessoais e de consumo arquivados sobre ele bem como sobre as suas respectivas fontes [] Art 44 Os oacutergatildeos puacuteblicos de defesa do consumidor manteratildeo cadastros atualizados de reclamaccedilotildees fundamentadas contra fornecedores de produtos e serviccedilos devendo divulgaacute-lo puacuteblica e anualmente A divulgaccedilatildeo indicaraacute se a reclamaccedilatildeo foi atendida ou natildeo pelo fornecedor BRASIL Lei nordm 8078 de 11 de setembro de 1990 Coacutedigo de Defesa do Consumidor Disponiacutevel em lthttpwwwplanaltogovbrccivil_03LeisL8078htmgt Acesso em 21052018111 DONEDA Danilo A proteccedilatildeo dos dados pessoais nas relaccedilotildees de consumo para aleacutem da informaccedilatildeo creditiacutecia Brasiacutelia SDEDPDC 2010 p 11112 Cf MENDES Laura Schertel Privacidade proteccedilatildeo de dados e defesa do consumidor linhas gerais de um novo direito funda-mental Satildeo Paulo Saraiva 2014 p 142-143113 BRASIL Lei nordm 12414 de 9 de junho de 2011 Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142011leiL12414htmgt Acesso em 21052018

27

vasrdquo114 Trata-se de lei importante para a tutela do titular dos dados diante das empresas de classificaccedilatildeo de creacutedito (credit scoring) que tratam esses dados para avaliar de forma personalizada o grau de risco na concessatildeo de creacutedito pessoal

O Coacutedigo Civil de 2002 por sua vez destinou apenas o artigo 21115 agrave disciplina do direito agrave privacidade ignorando por completo a noccedilatildeo de proteccedilatildeo de dados pes-soais suas restriccedilotildees frente a outros direitos e liberdades (e g liberdade de expressatildeo e comunicaccedilatildeo) e toda a complexidade que eacute proacutepria da contemporacircnea sociedade da informaccedilatildeo hiperconectada com acesso cada vez mais difuso agraves tecnologias da infor-maccedilatildeo e da comunicaccedilatildeo Nas palavras de Anderson Schreiber ldquo[a] mera observaccedilatildeo da vida cotidiana revela que ao contraacuterio da assertiva retumbante do art 21 a vida privada da pessoa humana eacute violada sistematicamenterdquo116

Jaacute a Lei nordm 12527 de 2011 a Lei de Acesso agrave Informaccedilatildeo (LAI)117 eacute aplicaacutevel aos oacutergatildeos e entidades da administraccedilatildeo puacuteblica direta e indireta Com o objetivo de promover uma administraccedilatildeo puacuteblica transparente e dar certa concretude ao direito agrave informaccedilatildeo dos brasileiros a LAI desempenha importante papel na aacuterea da proteccedilatildeo dos dados pessoais Aleacutem de conceber informaccedilatildeo pessoal praticamente nos mesmos termos que a legislaccedilatildeo europeia (artigo 4ordm IV)118 determina que o titular dos dados teraacute acesso agraves informaccedilotildees que lhe sejam pertinentes e que a privacidade e proteccedilatildeo dos dados pessoais configura limite ao acesso agrave informaccedilatildeo por parte de terceiros (artigos 6ordm 31 e 32)119

Em complementaccedilatildeo a esse arcabouccedilo juriacutedico o direito agrave proteccedilatildeo dos dados pessoais tambeacutem foi expressamente inscrito no texto na Lei nordm 12965 de 2014 o Marco Civil da Internet120 As disposiccedilotildees do Marco Civil da Internet satildeo aplicaacuteveis a qualquer operaccedilatildeo relacionada agrave coleta ao armazenamento agrave retenccedilatildeo ao tratamento e agrave co-municaccedilatildeo de dados pessoais por provedores de conexatildeo e provedores de aplicativos de internet quando pelo menos uma dessas accedilotildees ocorre no Brasil Reconhecido como legislaccedilatildeo pioneira no mundo e exemplo do multissetorialismo que caracteriza a gover-nanccedila da internet o Marco Civil estabeleceu em seu artigo 3ordm III elaboraccedilatildeo de lei es-114 Para Leonardo Roscoe Bessa ldquo[e]mbora sob a oacutetica exclusivamente econocircmico-financeira seja possiacutevel justificar que natildeo apenas o histoacuterico de creacutedito do candidato ao empreacutestimo mas tambeacutem outras informaccedilotildees satildeo auxiliares para uma melhor definiccedilatildeo do perfil da pessoa e consequentemente para possibilitar anaacutelise de risco mais precisa evitando a inadimplecircncia e ao mesmo tempo a possibilidade de taxa de juros menor o enfoque juriacutedico aponta em outra sentido o da necessidade de delimitar e restringir o nuacutemero a qualidade e a forma de tratamento de informaccedilotildees positivas pelos bancos de dados de proteccedilatildeo ao creacutedito O aumento de nuacutemero de informaccedilotildees pessoais pode representar ofensa agrave dignidade da pessoa humana aos direitos da personalidade (privacidade e honra)rdquo (BESSA Leonardo Roscoe Cadastro positivo comentaacuterios agrave Lei 12414 de 09 de julho de 2011 Satildeo Paulo Revista dos Tribunais 2011 p 45)115 ldquoArt 21 Coacutedigo Civil A vida privada da pessoa natural eacute inviolaacutevel e o juiz a requerimento do interessado adotaraacute as providecircncias necessaacuterias para impedir ou fazer cessar ato contraacuterio a esta normardquoBRASIL Lei nordm 10406 de 10 de janeiro de 2002 116 SCHREIBER Anderson Direito da personalidade 2 ed rev e atual Satildeo Paulo Atlas 2013 p 142-143117 BRASIL Lei nordm 12527 de 18 de novembro de 2011 Lei de Acesso agrave Informaccedilatildeo Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142011leil12527htmgt Acesso em 21052018118 ldquoArt 4ordm Para os efeitos desta Lei considera-se [] IV - informaccedilatildeo pessoal aquela relacionada agrave pessoa natural identificada ou identificaacutevelrdquo119 ldquoArt 6ordm Cabe aos oacutergatildeos e entidades do poder puacuteblico observadas as normas e procedimentos especiacuteficos aplicaacuteveis assegu-rar a [] III - proteccedilatildeo da informaccedilatildeo sigilosa e da informaccedilatildeo pessoal observada a sua disponibilidade autenticidade integridade e eventual restriccedilatildeo de acesso [] Art 31 O tratamento das informaccedilotildees pessoais deve ser feito de forma transparente e com respeito agrave intimidade vida privada honra e imagem das pessoas bem como agraves liberdades e garantias individuais Art 32 Constituem condutas iliacutecitas que ensejam responsabilidade do agente puacuteblico ou militar [] IV - divulgar ou permitir a divulgaccedilatildeo ou acessar ou permitir acesso indevido agrave informaccedilatildeo sigilosa ou informaccedilatildeo pessoalrdquo120 Art 3o A disciplina do uso da internet no Brasil tem os seguintes princiacutepios II - proteccedilatildeo da privacidade III - proteccedilatildeo dos dados pessoais na forma da lei [] Art 8o A garantia do direito agrave privacidade e agrave liberdade de expressatildeo nas comunicaccedilotildees eacute condiccedilatildeo para o pleno exerciacutecio do direito de acesso agrave internet [] Art 11 Em qualquer operaccedilatildeo de coleta armazenamento guarda e tratamen-to de registros de dados pessoais ou de comunicaccedilotildees por provedores de conexatildeo e de aplicaccedilotildees de internet em que pelo menos um desses atos ocorra em territoacuterio nacional deveratildeo ser obrigatoriamente respeitados a legislaccedilatildeo brasileira e os direitos agrave privacidade agrave proteccedilatildeo dos dados pessoais e ao sigilo das comunicaccedilotildees privadas e dos registrosBRASIL Lei nordm 12956 de 23 de abril de 2014 Marco Civil da Internet Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142014leil12965htmgt Acesso em 21052018

28

peciacutefica para a proteccedilatildeo de dados mateacuteria suscetiacutevel portanto agrave atividade legiferante

Em relaccedilatildeo a dispositivos que regulam a transferecircncia internacional de dados no Brasil a proteccedilatildeo de dados oferecida pelo Marco Civil da Internet ainda eacute limitada quando comparada ao complexo sistema previsto pela GDPR121 O Projeto de Lei 5276 enviado ao Congresso Nacional pela Presidecircncia da Repuacuteblica no dia 13 de maio de 2016 eacute um dos principais projetos de lei de proteccedilatildeo de dados pessoais atualmente em discussatildeo no Congresso Nacional e tem um capiacutetulo completo destinado a regular as transferecircncias internacionais

Ainda no acircmbito do Poder Executivo o entatildeo Anteprojeto de Lei sobre Proteccedilatildeo de Dados seguiu o modelo de consulta puacuteblica em que o Marco Civil foi baseado O texto do Ministeacuterio da Justiccedila foi disponibilizado online e aberto a comentaacuterios de quaisquer usuaacuterios Desse modo tal qual no processo de elaboraccedilatildeo do Marco Civil viabilizou-se o debate entre muacuteltiplos atores membros da sociedade civil academia setores governa-mentais regulatoacuterios e induacutestria De modo geral o Projeto de Lei trata de temas como os direitos dos usuaacuterios e o tratamento coleta e armazenamento de dados pessoais

A anaacutelise do Projeto de Lei nordm 52762016 especialmente no que diz respeito a dispositivos referentes agrave transferecircncia internacional de dados revela forte influecircncia do modelo europeu de proteccedilatildeo de dados sobre a futura disciplina normativa no Brasil O modelo europeu adota um criteacuterio essencialmente geograacutefico para definir as situ-accedilotildees em que a transferecircncia internacional de dados eacute permitida ou natildeo Em um mun-do cada vez mais globalizado regulaccedilotildees baseadas em criteacuterios territoriais se revelam problemaacuteticas e obsoletas na medida em que a geografia passa a importar cada vez menos no acircmbito da tecnologia e dos negoacutecios

O Instituto de Referecircncia em Internet e Sociedade jaacute se posicionou no sentido de recomendar a adoccedilatildeo de um modelo organizacional para essas hipoacuteteses122 e natildeo geograacutefico capaz de transcender as fronteiras dos Estados fazendo com que o niacutevel de proteccedilatildeo dos dados os acompanhe por onde seguirem ou fluiacuterem uma vez que os deveres de diligecircncia satildeo atribuiacutedos agrave entidade que os coleta e natildeo ao Estado para onde seratildeo transferidos os dados O modelo organizacional seria plenamente compatiacutevel e consistente com o disposto no Art 11 do Marco Civil da Internet que demanda a apli-caccedilatildeo da lei brasileira aos dados coletados no Brasil e natildeo resultaria em entraves juris-dicionais pelo fato de os dados terem sido transferidos para outras jurisdiccedilotildees

O modelo organizacional conforme recomendado pelo IRIS tem a vantagem de contornar esses problemas obrigando as entidades exportadoras a manter proteccedilatildeo contiacutenua de dados pessoais transferidos para outras organizaccedilotildees independentemente de sua localizaccedilatildeo geograacutefica A proteccedilatildeo realizar-se-ia por meio da obrigatoriedade de claacuteusulas contratuais entre exportador e importador de dados bem como da respons-abilidade solidaacuteria entre eles123 121 Esse tema foi tratado de forma abrangente e minuciosa especialmente no que diz respeito agraves propostas em pauta no Con-gresso Nacional por meio do Projeto de Lei 5276 em estudo publicado pelo IRIS - Instituto de Referecircncia em Internet e Sociedade de 2017 intitulado Policy Paper - Transferecircncia Internacional de Dados no PL 527616 Belo Horizonte IRIS 2017 Disponiacutevel em lthttpirisbhcombrwp-contentuploads201705Policy-Papper-Portuguespdfgt Acesso em 20052018122 INSTITUTO DE REFEREcircNCIA EM INTERNET E SOCIEDADE Policy Paper - Transferecircncia Internacional de Dados no PL 527616 p33 Belo Horizonte IRIS 2017 Disponiacutevel em lthttpirisbhcombrwp-contentuploads201705Policy-Papper-Portuguespdfgt Acesso em 20052018123 Na praacutetica o modelo organizacional eacute mais centrado no fortalecimento dos eixos da responsabilidade compartilhada entre os agentes econocircmicos atuantes nos mercados da economia digital computaccedilatildeo informaacutetica e internet em geral nele as autoridades de proteccedilatildeo de dados teriam muito mais um papel regulatoacuterio e de conformidade restando nas empresas importadoras e exportadoras de dados o dever primaacuterio de preservar a higidez da proteccedilatildeo dos dados tratados e processados na cadeia da transferecircncia O modelo geograacutefico por sua vez pode padecer de riscos de degradaccedilatildeo da proacutepria qualidade regulatoacuteria considerando que deveres de diligecircncia

29

O Art 33 do PL 52762016 se aprovado estabeleceraacute que uma transferecircncia internacional apenas seria permitida se fornecida a paiacuteses com niacuteveis equivalentes de proteccedilatildeo de dados ou quando expressamente consentida por titulares de dados apoacutes informaccedilotildees especiacuteficas sobre a natureza internacional da operaccedilatildeo e os riscos envolvi-dos

O Projeto de Lei nordm 52762016 natildeo eacute o uacutenico que aborda os problemas de proteccedilatildeo de dados atualmente no Brasil Outras propostas legislativas estatildeo em trami-taccedilatildeo no Congresso Nacional o Projeto de Lei nordm 40602012 de autoria do deputado Milton Monti e o Projeto de Lei nordm 1812014 de autoria do senador Vital do Rego Em julho de 2016 devido a uma proposta do deputado Alexandre Leite o PL 52762016 foi apensado ao PL 40602012 o que contribuiu para restaurar a incerteza quanto agrave aprovaccedilatildeo do texto base

Importante destacar que o Projeto de Lei 52762016 eacute o que mais se aproxima do design legislativo vislumbrado pela GDPR Em muitos aspectos o essa proposta eacute a melhor referecircncia para o iniacutecio da discussatildeo no paiacutes O PL 40602012 por sua vez estaacute alinhado com os interesses de conglomerados de marketing digital com o objetivo de facilitar acesso a dados dos consumidores para fins de marketing e alavancagem de modelos de negoacutecios e oferta de produtos e serviccedilos nessa aacuterea Por fim o PL 1812014 jaacute natildeo eacute tatildeo abrangente quanto o Projeto de Lei 52762016 nem tatildeo restritivo quanto o PL 40602012

5 Conclusotildees e recomendaccedilotildeesO GDPR natildeo eacute apenas direito vigente para a Uniatildeo Europeia seu alcance eacute in-

dubitavelmente global124 Agentes econocircmicos atuantes em mercados de paiacuteses que interagem com a Uniatildeo Europeia ou que pretendem se inserir nos novos segmentos de mercado na economia digital contemporacircnea devem se preocupar com possiacuteveis alin-hamentos de suas legislaccedilotildees de proteccedilatildeo de dados de seus paiacuteses agrave GDPR em vigor desde 25 de maio de 2018

Nesse cenaacuterio as preocupaccedilotildees de compliance com os novos paracircmetros apre-sentados pela GDPR levam atores de diferentes setores da economia da informaccedilatildeo a adotar medidas juriacutedicas e teacutecnicas no campo da proteccedilatildeo de dados pessoais Entre as accedilotildees pertinentes podem-ser mencionadas a revisatildeo de contratos e acordos atu-alizaccedilatildeo de termos de uso de usuaacuterios e poliacuteticas de privacidade ao redor do mundo bem como a adoccedilatildeo de novas estruturas corporativas para a efetivaccedilatildeo da proteccedilatildeo de dados

A conformidade aos novos preceitos normativos estabelecidos pelo novo Reg-ulamento Europeu deve ser a pauta principalmente de empresas ou de organizaccedilotildees internacionais receptoras de informaccedilotildees pessoais provenientes da Uniatildeo Europeia entidades responsaacuteveis pelo tratamento de informaccedilotildees ou subcontratante a quem se aplica o Regulamento na forma do seu Art 3ordm

Igualmente a partir das consideraccedilotildees a respeito das repercussotildees extraterrito-riais da GDPR como pano de fundo para a anaacutelise comparativa dos direitos argentino satildeo atribuiacutedos primariamente ao Estado para onde seratildeo transferidos os dados (paiacutes destino paiacutes receptor) e natildeo agrave pessoa juriacutedica ou natural que os coleta Sobre as distintas variaccedilotildees e aplicaccedilotildees do modelo cf IRIS Policy Paper - Transferecircncia Internacional de Dados no PL 527616 cit p33 ss124 MADGE Robert GDPRrsquos global scope the long story Disponiacutevel em lthttpsmediumcommydatadoes-the-gdpr-apply-in-the-us-c670702faf7fgt Acesso em 14052018

30

e brasileiro o Instituto de Referecircncia em Internet e Sociedade entende que o Estado brasileiro notadamente mediante os oacutergatildeos dos poderes executivo e legislativo devem adotar medidas e endereccedilar praacuteticas domeacutesticas que se alinhem a um objetivo de max-imizaccedilatildeo do objetivo de proteccedilatildeo de dados pessoais dentre as quais

(i) comprometer-se com a aprovaccedilatildeo da uma lei geral de proteccedilatildeo dos dados pessoais que abranja a ativi-dade de tratamento de informaccedilotildees por entes puacuteblicos e privados e que se paute no risco gerado agraves pessoas naturais com garantias adequadas agrave proteccedilatildeo dos direitos e liberdades fundamentais dos titulares dos da-dos tal como se vecirc na GPDR

(ii) proceder agrave adesatildeo agrave Convenccedilatildeo N 108 do Conselho da Europa tratado internacional mais expressivo sobre tutela da privacidade no contexto do fluxo transfronteiriccedilo de dados que foi recentemente atualizado agraves novas demandas de sociedades permeadas de tecnologias orientadas por dados125 e que permite adesotildees por Estados natildeo membros do Conselho da Europa126

(iii) desenvolver e adotar poliacuteticas puacuteblicas accedilotildees governamentais aleacutem de programas educativos envol-vendo atores do legislativo legislativo judiciaacuterio academia setores da induacutestria organizaccedilotildees da sociedade civil e cidadatildeos para disseminaccedilatildeo de conhecimento e praacutetica em torno da proteccedilatildeo de dados pessoais e espera-se da futura Lei

Essas recomendaccedilotildees se fundamentam em razotildees de ordem interna e externa A ediccedilatildeo de lei regulamentadora da atividade de tratamento de dados pessoais no Bra-sil aleacutem de atender ao imperativo da Constituiccedilatildeo da Repuacuteblica de 1988 e de princiacutepios e diretrizes do Marco Civil relativamente agrave tutela da privacidade e proteccedilatildeo dos dados de caraacuteter pessoal tambeacutem manteraacute o paiacutes em posiccedilatildeo estrateacutegica relaccedilatildeo ao Esta-dos-membros da Uniatildeo Europeia e dentro do bloco do Mercosul Como visto a Argenti-na jaacute discute a reforma de sua legislaccedilatildeo para se adaptar agrave GDPR e ao novo contexto da economia digital e o Brasil deveria se integrar a esse debate e promover medidas mais consentacircneas com a posiccedilatildeo que ocupa entre as grandes economias do globo

6 Referecircncias Bibliograacuteficas61 Livros e capiacutetulos de livro

BESSA Leonardo Roscoe Cadastro positivo comentaacuterios agrave Lei 12414 de 09 de julho de 2011 Satildeo Paulo Revista dos Tribunais 2011

CONSELHO EUROPEU Manual da Legislaccedilatildeo Europeia sobre Proteccedilatildeo de Dados 2014 Dis-poniacutevel em lthttpsrmcoeint16806ae65fgt Acesso em 10052018

DONEDA Danilo A proteccedilatildeo dos dados pessoais nas relaccedilotildees de consumo para aleacutem da informaccedilatildeo creditiacutecia Brasiacutelia SDEDPDC 2010

DONEDA Danilo Da privacidade agrave proteccedilatildeo de dados pessoais Rio de Janeiro Renovar 2006

125 COUNCIL OF EUROPE Enhancing data protection globally Council of Europe updates its landmark convention 2018 Di-sponiacutevel em lthttpssearchcoeintdirectorate_of_communicationsPagesresult_detailsaspxObjectId=09000016808ac976gt Acesso em 07062018126 Cf procedimento previsto no Artigo 23 da Convenccedilatildeo - Adesatildeo de Estados natildeo membros (1)- Apoacutes a entrada em vigor da presente Convenccedilatildeo o Comiteacute de Ministros do Conselho da Europa poderaacute convidar qualquer Estado natildeo membro do Conselho da Eu-ropa a aderir agrave presente Convenccedilatildeo mediante decisatildeo tomada pela maioria prevista na aliacutenea d) do artigo 20ordm do Estatuto do Conselho da Europa e por unanimidade dos representantes dos Estados contratantes com direito de assento no Comiteacute (2) Para qualquer Estado aderente a Convenccedilatildeo entraraacute em vigor no 1ordm dia do mecircs seguinte ao termo de um prazo de trecircs meses apoacutes a data do depoacutesito do instrumento de adesatildeo junto do Secretaacuterio-Geral do Conselho da Europa

31

GIMEacuteNEZ Alfonso Ortega La (des)proteccioacuten del titular del derecho a la proteccioacuten de datos derivada de una transferencia internacional iliacutecita Madrid Agencia Espantildeola de Proteccioacuten de Datos 2015

KALMO Hent SKINNER Quentin (Ed) Sovereignty in Fragments The Past Present and Future of a Contested Concept Cambridge University Press 2010

KAPLAN Harvey COWING Mark EGLI Gabriel A Primer for Data-Protection Principles in the European Union Culture Clash Data Protection Freedom of Information and Dis-covery 2009

KOHL Uta Jurisdiction and the Internet regulatory competence over online activity 1ordf ed Cambridge Cambridge University Press 2007

LEONARDI Marcel Tutela da privacidade na internet Satildeo Paulo Saraiva 2011

MELLO Celso Curso de direito internacional puacuteblico Rio de Janeiro Renovar 2004

MENDES Gilmar Curso de Direito Constitucional 12ed Satildeo Paulo Saraiva 2017

MENDES Laura Schertel Privacidade proteccedilatildeo de dados e defesa do consumidor linhas gerais de um novo direito fundamental Satildeo Paulo Saraiva 2014

MILLARD Christopher (Ed) Cloud Computing Law Oxford Oxford University Press 2013 E-book

MORAES Maria Celina Bodin de Ampliando os direitos da personalidade In ______ Na medida da pessoa humana estudos de direito civil-constitucional Rio de Janeiro Reno-var 2010 p 121-148

PIRODDI Paola I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati In RESTA Giorgio ZENO-ZENCOVICH Vincezo (Coord) La protezione transazionale dei dati personali Roma Roma-Tre Press 2016 p 169-238

SARLET Ingo W MARINONI Luiz G MITIDERO Daniel Curso de Direito Constitucional Satildeo Paulo Revista dos Tribunais 2012

SCHREIBER Anderson Direito da personalidade 2 ed rev e atual Satildeo Paulo Atlas 2013

VOIGT Paul BUSSCHE Axel von dem (Eds) The EU General Data Protection Regulation (GDPR) A Practical Guide [sl] Springer 2017

62 Artigos cientiacuteficosALBRECHT Jan P How the GDPR Will Change the World European Data Protection Law Review v 2 n 3 p 287ndash289 2016

BAacuteZAN Viacutector El Haacutebeas Data Como Medio de Tutela del Derecho Fundamental a la Autodeterminacioacuten Informativa Revista de Direito Puacuteblico Porto Alegre-Brasiacutelia n 38 p 191-231 marabr 2011

BERMAN Paul Schiff The Globalization of Jurisdiction University of Pennsylvania Law Re-view v 151 n 2 p 311-545 2002

32

BIONI Bruno Xeque-Mate o tripeacute de proteccedilatildeo de dados pessoais no xadrez das inicia-tivas legislativas no Brasil Grupo de Estudos em Poliacuteticas Puacuteblicas em Acesso agrave Infor-maccedilatildeo da USP ndash GPOPAI Satildeo Paulo 2015

BU-PASHA S Cross-border issues under EU data protection law with regards to personal data protection Information amp Communications Technology Law v 26 n 3 p 213ndash228 2017

BYGRAVE Lee Data Protection Pursuant to the Right to Privacy in Human Rights Trea-ties International Journal of Law and Information Technology volume 6 pp 247ndash284 1998

DALLARI Dalmo de Abreu O habeas data no sistema juriacutedico brasileiro Revista da Fac-uldade de Direito da Universidade de Satildeo Paulo Satildeo Paulo v 97 p 239-253 2002

DE HERT P CZERNIAWSKI M Expanding the European data protection scope beyond territory Article 3 of the General Data Protection Regulation in its wider context Interna-tional Data Privacy Law v 6 n 3 p 230ndash243 2016

DONEDA Danilo A proteccedilatildeo dos dados pessoais como um direito fundamental Espaccedilo Juriacutedico Joaccedilaba v 12 n 2 p 91-108 juldez 2011

DrsquoAURO Maximiliano VARELA Ineacutes de Achaval Data protection in Argentina overview Association of Corporate Councilrsquos Multi-Jurisdictional Guide 201415 Disponiacutevel em lthttpwwwebvcomarimagespublicacionestrdatappdfgt Acesso em 16052018

GUIDI Guilherme Modelos regulatoacuterios para proteccedilatildeo de dados pessoais Disponiacutevel em lthttpsitsrioorgwp-contentuploads201703Guilherme-Guidi-V-revisadopdfgt Aces-so em 30042018

INSTITUTO DE REFEREcircNCIA EM INTERNET E SOCIEDADE Policy Paper - Transferecircncia In-ternacional de Dados no PL 527616 Belo Horizonte IRIS 2017 Disponiacutevel em lthttpirisbhcombrwp-contentuploads201705Policy-Papper-Portuguespdfgt Acesso em 20052018

JONES Meg The right to a human in the loop Political constructions of computer auto-mation and personhood Social Studies of Science v 47 n 2 p 216 - 239 2017

KINDT E J Why research may no longer be the same About the territorial scope of the New Data Protection Regulation Computer Law and Security Review v 32 n 5 p 729ndash748 2016

KUNER Christopher Regulation of transborder data flows under data protection and priva-cy law past present and future OECD Digital Economy Papers n 187 OECD Publishing 2011

SELBST Andrew POWLES Julia Meaningful information and the right to explanation International Data Privacy Law v 7 n 4 p 233ndash242 2017

WACHTER Sandra MITTELSTADT Brent FLORIDI Luciano Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation International Data Privacy Law v 7 n 2 p 76-99 2017

33

63 LegislaccedilatildeoARGENTINA Anteproyecto de Ley de Proteccioacuten de los Datos Personales 2017 Disponiacutevel em lthttpswwwjusticia2020gobarwp-contentuploads201702Anteproyec-to-de-ley-PDPpdfgt Acesso em 17052018

________ Constitucioacuten de la Nacioacuten Argentina Disponiacutevel em lthttpwwwoasorgjuridi-comlaspargsp_arg-int-text-consthtmlgt Acesso em 17052018

________ Ley 25326 Ley de Proteccioacuten de los Datos Personales 30 de Outubro de 2000 Disponiacutevel em lthttpwwwoasorgjuridicopdfsarg_ley25326pdfgt Acesso em 16052018

BRASIL Lei 10406 de 10 de janeiro de 2002 Coacutedigo Civil Disponiacutevel em lthttpwwwplanaltogovbrCCivil_03Leis2002L10406htmgt Acesso em 21052018

________ Lei nordm 12414 de 9 de junho de 2011 Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142011leiL12414htmgt Acesso em 21052018

________ Lei nordm 12527 de 18 de novembro de 2011 Lei de Acesso agrave Informaccedilatildeo Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142011leil12527htmgt Acesso em 21052018

________ Lei nordm 12956 de 23 de abril de 2014 Marco Civil da Internet Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142014leil12965htmgt Acesso em 21052018

________ Lei nordm 8078 11 de setembro de 1990 Coacutedigo de Defesa do Consumidor Disponiacutevel em lthttpwwwplanaltogovbrccivil_03LeisL8078htmgt Acesso em 21052018

CONSELHO EUROPEU Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Estrasburgo 1981 Disponiacutevel em lthttpswwwcoeintenwebconventionsfull-list-conventionstreaty108gt Acesso em 02052018

UNIAtildeO EUROPEIA Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa agrave protecccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo desses dados (Regulamento Geral so-bre a Proteccedilatildeo de Dados) Jornal Oficial da Uniatildeo Europeia Estrasburgo 24101995 Di-sponiacutevel em lthttpseur-lexeuropaeulegal-contentPTALLuri=celex31995L0046gt Acesso em 15052018

________ Regulamento (UE) nordm 2016679 do Parlamento Europeu e do Conselho de 23 de abril de 2016 relativo agrave proteccedilatildeo das pessoas singulares no que diz respeito ao trat-amento de dados pessoais e agrave livre circulaccedilatildeo desses dados e que revoga a Diretiva 9546CE (Regulamento Geral sobre a Proteccedilatildeo de Dados) Jornal Oficial da Uniatildeo Euro-peia Estrasburgo 04052016 Disponiacutevel em lthttpseur-lexeuropaeulegal-contentPTTXTHTMLuri=CELEX32016R0679ampfrom=PTgt Acesso em 16042018

64 Decisotildees judiciaisUNIAtildeO EUROPEIA Corte Europeia de Direitos Humanos Acoacuterdatildeo Leander c Sueacutecia de 26 de marccedilo de 1987 peticcedilatildeo nordm 924881 Disponiacutevel lthttpshudocechrcoeinteng22itemid22[22001-5751922]gt Acesso em 10052018

34

________Corte Europeia de Direitos Humanos Acoacuterdatildeo S and Marper c Reino Unido de 4 de dezembro de 2008 peticcedilotildees nordms 3056204 e 3056604 Disponiacutevel em lthttpshudocechrcoeinteng22itemid22[22001-9005122]gt Acesso em 11052018

________ Corte Europeia de Direitos Humanos Acoacuterdatildeo Klass e o c Alemanha de 6 de se-tembro de 1978 peticcedilatildeo nordm 502971 Disponiacutevel emlthttpshudocechrcoeinteng22itemid22[22001-5751022]gt Acesso em 05052018 TEDH acoacuterdatildeo Uzun c Ale-manha de 2 de Setembro de 2010 peticcedilatildeo nordm 3562305 Disponiacutevel em lthttpshudocechrcoeinteng22itemid22[22001-10029322]gt Acesso em 10052018

________ Corte Europeia de Direitos Humanos Acoacuterdatildeo Malone c Reino Unido de 2 de agosto de 1984 peticcedilatildeo nordm 869179 Disponiacuteveis em lthttpshudocechrcoeinteng22itemid22[22001-5753322]gt Acesso em 12052018 TEDH acoacuterdatildeo Copland c Reino Unido de 3 de abril de 2007 peticcedilatildeo nordm 6261700 Disponiacutevel em lthttpshudocechrcoeinteng22itemid22[22001-7999622]gt Acesso em 15052018

________ Court of Justice of European Union Third Chamber Case C-23014 Weltimmo s r o v Nemzeti Adatveacutedelmi eacutes Informaacutecioacuteszabadsaacuteg Hatoacutesaacuteg LuxemburgO 01102015 Di-sponiacutevel em lthttpcuriaeuropaeujurisdocumentdocumentjsfdocid=168944ampdo-clang=ENgt Acesso em 10052018

_________ Tribunal de Justiccedila da Uniatildeo Europeia Grande Secccedilatildeo Processo C-13112 Goo-gle Spain SL Google Inc c Agencia Espantildeola de Proteccioacuten de Datos (AEPD) Mario Costeja Gonzaacutelez Luxemburgo 13052014 Disponiacutevel em lthttpcuriaeuropaeujurisdocu-mentdocumentjsfdocid=152065ampdoclang=PTgt Acesso em 15052018

65 Outros textos e documentosARTICLE 29 DATA PROTECTION WORKING PARTY Guidelines on Data Protection Officers (lsquoDPOsrsquo) Disponiacutevel em lthttpeceuropaeunewsroomarticle29item-detailcfmitem_id=612048gt Acesso em 02052018

________ Opinion 32010 on the principle of accountability Bruxelas [s n] 2010 Disponiacutevel em lthttpeceuropaeujusticearticle-29documentationopinion-recommendationfiles2010wp173_enpdfgt Acesso em 15052018

________ Opinion 62014 on the notion of legitimate interests of the data controller under Article 7 of Directive 9546EC Bruxelas [s n] 2014 Disponiacutevel em lthttpeceuropaeujusticearticle-29documentationopinion-recommendationfiles2014wp217_enpdfgt Acesso em 23052018

________ The Role of the Data Protection Officer 2017 Disponiacutevel emlthttpswww2deloittecomcontentdamDeloitteieDocumentsRiskDPO20Update20Article20Finalpdfgt Acesso em 30042018

_________ Update of Opinion 82010 on applicable law in light of the CJEU judgement in Google Spain Bruxelas [s n] 2015 p 4 Disponiacutevel em lthttpeceuropaeujusticearticle-29documentationopinion-recommendationfiles2015wp179_en_updatepdfgt Acesso em 15052018

BIONI Bruno e MONTEIRO Renato O papel do Data Protection Officer 2017 Disponiacutevel em lthttpswwwjotainfoopiniao-e-analisecolunasagenda-da-privacidade-e-da-pro-tecao-de-dadoso-papel-do-data-protection-officer-04122017gt Acesso em 28042018

35

BUERGER Sarah How the GDPR changed the Argentina Personal Data Protection Act 2017 Disponiacutevel em lthttpswwwmichalsonscomblogargentina-personal-data-protec-tion-act25090gt Acesso em 16052018

CAMERON Stephen lsquoLight Reading lsquoThe Digital Economy amp GDPRrsquo 2017 Disponiacutevel em lthttpwwwlightreadingcomoss-bsssubscriber-data-managementthe-digital-econo-my-and-gdprad-id730582gt Acesso em 04052018

GRUPO DE TRABALHO DO ARTIGO 29ordm PARA A PROTECCcedilAtildeO DE DADOS Parecer 22010 sobre publicidade comportamental em linha Bruxelas [s n] 2010 Disponiacutevel em lthttpwwwgpdpgovmouploadfile2014050520140505062209480pdfgt 21052018

COUNCIL OF EUROPE Enhancing data protection globally Council of Europe updates its landmark convention 2018 Disponiacutevel em lthttpssearchcoeintdirectorate_of_com-municationsPagesresult_detailsaspxObjectId=09000016808ac976gt Acesso em 07062018

MADGE Robert GDPRrsquos global scope the long story Disponiacutevel em lthttpsmediumcommydatadoes-the-gdpr-apply-in-the-us-c670702faf7fgt Acesso em 14052018

SOLON Olivia How Europersquos lsquobreakthroughrsquo privacy law takes on Facebook and Google 2018 Disponiacutevel em lthttpswwwtheguardiancomtechnology2018apr19gdpr-face-book-google-amazon-data-privacy-regulationgt Acesso em 09052018

THE GUARDIAN Costeja Gonzaacutelez and a memorable fight for the lsquoright to be forgottenrsquo 2014 Disponiacutevel em lthttpswwwtheguardiancomworldblog2014may14ma-rio-costeja-gonzalez-fight-right-forgottengt Acesso em 05052018

UNIAtildeO EUROPEIA European Data Protection Supervisor Adequacy decision Disponiacutevel em lthttpsedpseuropaeudata-protectiondata-protectionglossarya_engt Acesso em 21052018

36

7 Anexo

71 Temas sistematizados da GDPR Sistematizaccedilatildeo do Regulamento geral de proteccedilatildeo de dados pessoais

Capiacutetulo I

Artigos 1 ndash 4

bull Disposiccedilotildees gerais (acircmbito e objetivos definiccedilotildees)

Capiacutetulo II

Artigos 5 ndash 11

bull Princiacutepios

bull Princiacutepios que regem o processamento de dados

bull Bases legais

bull Crianccedilas categorias confidenciais de dados pessoais

bull Processamento que natildeo requer identificaccedilatildeo

Capiacutetulo III

Artigos 12 ndash 23

bull Direitos do titular dos dados

bull Direito agrave transparecircncia e agrave informaccedilatildeo

bull Direito ao acesso

bull Direito agrave retificaccedilatildeo

bull Direito agrave exclusatildeo (rdquoDireito de ser esquecidordquo)


bull Direito agrave restriccedilatildeo de processamento

bull Direito agrave portabilidade de dados

bull Direito agrave objeccedilatildeo

37

bull Direito a natildeo estar sujeito a decisotildees automaacuteticas

Capiacutetulo IV

Artigos 24 ndash 43

bull Responsabilidade do ldquoControllerrdquo

bull Proteccedilatildeo de dados por concepccedilatildeo e padratildeo

bull Controllers conjuntos

bull Representantes de controllers sem estabelecimento na UE

bull Funccedilatildeo e obrigaccedilotildees do ldquoProcessadorrdquo

bull Obrigaccedilatildeo de garantir a seguranccedila do processamento de dados

bull Notificaccedilatildeo de Violaccedilatildeo (Artigos 33 34)

bull Avaliaccedilotildees do impacto da proteccedilatildeo de dados

bull Obrigaccedilatildeo de ter um oficial de proteccedilatildeo de dados escopo e atribuiccedilotildees

bull Coacutedigos de conduta e certificaccedilotildees

Capiacutetulo V

Artigos 44 ndash 50

bull Transferecircncia Internacional de Dados a outros paiacuteses

bull Adequaccedilatildeo claacuteusulas modelos normas corporativas obrigatoacuterias

Capiacutetulo VI

Artigos 51 ndash 59

bull Autoridades fiscalizadoras independentes (autoridades de proteccedilatildeo de dadosDPAs)

bull Requisitos escopo competecircncia atribuiccedilotildees e poderes

bull Os poderes incluem o poder de impor uma multa administrativa de ateacute 4 do faturamento mundial no caso de violaccedilatildeo da Regulamentaccedilatildeo

38

Capiacutetulo VII

Artigos 60 ndash 76

bull Estruturas de Cooperaccedilatildeo e consistecircncia na aplicaccedilatildeo da lei

bull Cooperaccedilatildeo entre DPAs e a ldquoloja com atendimento uacutenicordquo (loja de 28 tipos de atendimento)

bull ldquoMecanismo de consistecircnciardquo

bull Criaccedilatildeo do Conselho Europeu de Proteccedilatildeo de Dados (EDPB)

Capiacutetulo VIII

Artigos 77 ndash 91

bull Recursos responsabilidades e penalidades


bull Providenciar accedilotildees representativas em nome dos titulares dos dados se tais oacutergatildeos existirem

bull Condiccedilotildees para a imposiccedilatildeo de multas administrativas e outras penalidades

Capiacutetulo IX

Artigos 85 ndash 91

bull Disposiccedilotildees relativas a situaccedilotildees especiacuteficas de processamento

bull Liberdade de expressatildeo e informaccedilatildeo

bull Acesso puacuteblico a documentos oficiais

Capiacutetulo X

Artigos 92 ndash 93

bull Atos delegados e de implementaccedilatildeo

bull Participaccedilatildeo da comissatildeo aleacutem do EDPB

39

bull Atos delegados somente precisam ser comunicados ex post ao EP e ao Con-selho

bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99

bull Disposiccedilotildees finais

bull Anulaccedilatildeo da atual Diretiva de Proteccedilatildeo de Dados de 1995

bull Relaccedilatildeo com a atual Diretiva ePrivacy 200258EC

bull Entrada em vigor e aplicaccedilatildeo

Fabriacutecio B Pasquot Polido Lucas Costa dos Anjos Luiacuteza Couto Chaves Brandatildeo

Diego Carvalho Machado Davi Teofilo Nunes Oliveira












41 Argentina 23

42 Brasil 25








4







5







6






7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99
















41 Argentina 23

42 Brasil 25








4







5







6






7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





4







5







6






7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





5







6






7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





6






7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





7







8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





8





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





9






10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





10








11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





11







12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





12







13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





13









14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





14










15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





15








16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





16









17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





17

28(3)73






18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





18






19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





19







20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





20







21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





21





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





22








23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





23









24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





24






25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





25












26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





26






27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





27





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





28







29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





29









30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





30












31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





31


















32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





32















33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





33













34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





34












35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





35









36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





36

7 Anexo


Capiacutetulo I

Artigos 1 ndash 4


Capiacutetulo II

Artigos 5 ndash 11



bull Bases legais



Capiacutetulo III

Artigos 12 ndash 23










37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





37


Capiacutetulo IV

Artigos 24 ndash 43











Capiacutetulo V

Artigos 44 ndash 50



Capiacutetulo VI

Artigos 51 ndash 59




38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





38

Capiacutetulo VII

Artigos 60 ndash 76





Capiacutetulo VIII

Artigos 77 ndash 91





Capiacutetulo IX

Artigos 85 ndash 91




Capiacutetulo X

Artigos 92 ndash 93



39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





39


bull Comitologia

Capiacutetulo XI

Artigos 94 ndash 99





GDPR e suas repercussões no direito...

Documents

Transcript of GDPR e suas repercussões no direito...