A Comissão Européia, órgão da União Européia que tem funções executivas, liberou comunicado no dia 07 deste mês noticiando a aprovação de um novo corpo de cláusulas contratuais modelo, que podem ser utilizadas quando se trate de transferir dados pessoais para países não membros da União Européia. O novo conjunto de cláusulas modelo vem a ser adicionado a outro já provado pela Comissão e divulgado em junho de 2001.
O uso de cláusulas contratuais modelo, em transações comerciais que impliquem a transferência de dados pessoais, é um meio de se obedecer aos princípios da Diretiva 95/46/EC sobre proteção de dados pessoais, que exige proteção adequada (“adequate protection”) aos dados pessoais transferidos para fora da União Européia. A Diretiva exige que a transferência de dados pessoais para países não integrantes da UE se faça somente quando esses países possuírem regime que ofereça adequada proteção ao tratamento de dados pessoais(1). Sem essa salvaguarda, o alto nível de proteção ao tratamento de dados pessoais que é conferido pela Diretiva ficaria comprometido, dada a facilidade de transferência de dados através de redes informáticas de alcance mundial. Daí porque a Comissão Européia elabora modelos de cláusulas contratuais para serem utilizadas por empresas e controladores de bancos de dados europeus que transfiram informações para outros países, que não possuam sistema de nível adequado na proteção de dados pessoais.
O uso das cláusulas modelo (“standard clauses”) é voluntário, mas representa um meio para que empresas e organizações atendam as exigências da Diretiva quanto a dados pessoais transferidos a países não integrantes da UE, a respeito dos quais a Comissão Européia ainda não tenha reconhecido que oferecem “proteção adequada”. Periodicamente, a Comissão emite decisões reconhecendo países não membros que oferecem proteção adequada a dados pessoais(2). Em relação a países cujos sistemas de leis conferem um nível de “proteção adequada” a dados pessoais, já reconhecidos pela Comissão Européia, não há necessidade do emprego das cláusulas contratuais modelo nas relações que empresas européias travarem com empresas desses países. Quanto aos demais, sem reconhecido regime jurídico de “proteção adequada”, o uso das cláusulas contratuais modelo é uma solução viável para transferência de informações pessoais(3).
Na ausência de um standard global de proteção a dados pessoais, as cláusulas modelo têm se mostrado uma eficiente ferramenta para a transferência de informações individuais sem ferir os princípios da Diretiva Européia de proteção de dados pessoais. Por exemplo, uma das cláusulas contém uma declaração por meio da qual a empresa européia que transfere os dados e a organização ou empresa que os recebe se comprometem a obedecer os princípios básicos da Diretiva(4). Como resultado, as autoridades européias de proteção de dados (Data Protection Authorities ou Privacy Comissioners), que têm o poder de proibir ou suspender o fluxo de dados pessoais em algumas circunstâncias, não poderão recusar a transferência quando esta se fizer sob a égide de contrato que incorpore as cláusulas modelo aprovadas pela Comissão Européia.
O conjunto contendo os novos modelos de cláusulas contratuais não substitui ou invalida aquele aprovado no ano de 2001(5), que continua com aplicação válida e de escolha pelos operadores sobre qual deles aplicar em um determinado contrato, de acordo com suas necessidades. O novo conjunto de cláusulas contratuais modelo fornece o mesmo nível de proteção adequada que o anterior, sendo as diferenças entre eles mais de natureza técnica. Trata-se de uma alternativa que oferece o mesmo nível de proteção a dados pessoais, mas fazendo uso de diferentes mecanismos. As empresas que tenham que transferir dados pessoais a países não membros da UE, cujo regime jurídico não oferece nível de proteção reconhecido pela Comissão Européia, podem escolher usar qualquer dos dois conjuntos de cláusulas modelos – ou mesmo outra solução legal que permita a transferência sem ferir os princípios da Diretiva. Cada conjunto de cláusulas forma um único modelo, daí porque não se pode emendá-los ou fundi-los, ainda que parcialmente.
As novas cláusulas modelo permitem uso mais flexível de mecanismos de auditagem e regras mais detalhadas quanto ao direito de acesso. Além disso, o sistema de “joint and several liability” incorporado no conjunto anterior, que prevê uma responsabilidade solidária entre as empresas contratantes por ato de qualquer uma delas no que tange ao processamento irregular de dados pessoais, é substituído por um sistema baseado na “due diligence”, significando que tanto o “data exporter” quanto o “data importer” são responsáveis perante o sujeito dos dados (“data subject”) pelos atos que respectivamente praticarem. O “data exporter” pode também ser responsabilizado se não tomar precauções para determinar que o outro contratante que vai receber os dados (“data importer”) é capaz de satisfazer suas obrigações legais previstas no conjunto de normas, uma verdadeira hipótese de culpa in eligendo. Ou seja, a empresa européia que contratar com outra sediada em país não membro da União Européia tem que se certificar de que se trata de empresa apta a cumprir com suas obrigações, no que tange às normas de proteção de dados pessoais incorporadas nas cláusulas contratuais modelo. Para tanto, uma das cláusulas prevê a possibilidade de realizar auditoria nos sistemas da outra contratada (cláusula modelo I, item b), bem como requerer que o “data importer” comprove possuir recursos financeiros suficientes ao cumprimento de suas obrigações.
No que tange à garantia de efetividade dos direitos da pessoa que tem os dados processados, cláusulas do novo conjunto de modelos prevêem certos mecanismos para resguardá-lo de atos praticados pela empresa (“data importer”) de fora, como a obrigação da empresa européia de contactá-la para que cumpra com suas obrigações contratuais e, havendo negativa, a possibilidade de processar a empresa estrangeira numa corte de país europeu. Essas cláusulas, portanto, estabelecem um dever de aceitação da jurisdição de corte européia para resolver esse tipo de controvérsia, prevendo ainda a submissão da empresa estrangeira a uma decisão de autoridade européia de proteção a dados pessoais.
Magistrado em Pernambuco.
O Benefício de Prestação Continuada (BPC), mais conhecido como LOAS (Lei Orgânica da Assistência Social),…
O benefício por incapacidade é uma das principais proteções oferecidas pelo INSS aos trabalhadores que,…
O auxílio-reclusão é um benefício previdenciário concedido aos dependentes de segurados do INSS que se…
A simulação da aposentadoria é uma etapa fundamental para planejar o futuro financeiro de qualquer…
A paridade é um princípio fundamental na legislação previdenciária brasileira, especialmente para servidores públicos. Ela…
A aposentadoria por idade rural é um benefício previdenciário que reconhece as condições diferenciadas enfrentadas…