GDPR torna mais difícil a cooperação entre Brasil e Europa

Nossos dados pessoais estão no mundo. Por isto, a União Europeia aprovou em 2016 o Regulamento Geral sobre a Proteção de Dados ou General Data Protection Regulation (GDPR), que entra em vigor hoje. O GDPR implementa uma série de novos direitos para os cidadãos europeus ou ali residentes. Por outro lado, o regulamento deve causar dificuldades para a transferência de dados entre Brasil e Europa, mesmo em situações nas quais a segurança pública está em jogo - e boa parte dessa culpa caberá a defasagens da nossa própria legislação. 

No âmbito da cooperação policial internacional, a Constituição da Interpol (1956) e as Regras sobre o Processamento de Dados para fins de Cooperação Policial Internacional (a começar dos seus arts. 2 e 3) têm permitido uma certa interação entre a Polícia Federal e seus congêneres nos demais Estados-membros da Interpol, para possibilitar as emissões das várias difusões (notices ou alertas) para captura de foragidos, localização de pessoas desaparecidas, identificação de cadáveres, rastreamento de indivíduos suspeitos etc.

VEJA TAMBÉM

• Apps e sites devem levar em conta a privacidade desde a sua criação
• O “direito ao esquecimento” na GDPR: primeiras impressões
• O GDPR e a globalização da proteção de dados

Porém, atualmente, o Estado brasileiro enfrenta dificuldades para obter acesso a dados de cidadãos europeus ou residentes na União Europeia, quando tais dados são necessários à segurança pública, ao controle migratório ou a persecução criminal no Brasil. Por exemplo, a necessária articulação da Polícia Federal com a Europol exigiu a formalização de um acordo específico, em 2017, entre o Brasil e União Europeia, para atividades operacionais e de inteligência estratégica, mas sem a transferência de dados pessoais.

Além disso, depende de um marco normativo brasileiro a maior integração entre o Ministério Público Federal e a Eurojust, um dos órgãos supranacionais da União Europeia. A Eurojust tem, desde 2005, suas regras para o processamento e proteção de dados Pessoais. Conforme essas regras, tal integração transnacional só poderá ocorrer quando houver aqui um nível adequado e suficiente de proteção, que só virá com uma verdadeira lei geral de proteção de dados, com os requisitos mínimos, aceitos por aquela comunidade política.

Com a entrada em vigor do Regulamento Geral da União Europeia, o Brasil ficará mais atrás neste campo e essa necessidade será ainda mais premente, tornando-se imprescindível adequar os atuais projetos de lei no Parlamento brasileiro ao marco europeu e às boas práticas globais.

Isto significa que, não havendo um tratado bilateral com o país europeu de interesse ou um acordo geral de cooperação com a União Europeia, as autoridades do Judiciário e do Ministério Público brasileiros enfrentarão maiores dificuldades para o acesso a dados protegidos pelo Regulamento Geral europeu. 

De acordo com o art. 45 do GDPR, a transferência de dados pessoais para um país terceiro ou uma organização internacional só ocorrerá se a Comissão Europeia – o órgão executivo da UE, com sede em Bruxelas – decidir que a pessoa jurídica de direito internacional público destinatária assegura um nível de proteção adequado. Tal adequação é avaliada pela Comissão com base nos seguintes elementos:

a)  O primado do Estado de Direito, o respeito aos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, especialmente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, incluindo as regras para a transferência ulterior de dados pessoais a outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;

b) A existência e o efetivo funcionamento de uma ou mais autoridades de controle independentes no país terceiro ou às quais esteja sujeita a organização internacional, responsáveis por assegurar o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controle dos Estados-Membros da UE; e

c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.

Estes artigos do GDPR expõem a insuficiência da legislação brasileira no tocante à proteção de dados na cooperação jurídica internacional, sobretudo em matéria penal, especialmente se também considerada a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados. 

Países não europeus prepararam-se para este novo salto na era da globalização digital, ao menos no campo do comércio exterior. Em 2016 entrou em vigor o EU–US Privacy Shield, acordo entre os Estados Unidos e a União Europeia, que estabelece o regime de proteção a dados transferidos.

Em suma, é imperioso que os projetos de lei em tramitação no Congresso Nacional busquem desde já alguma simetria com o GDPR, sem o que será muito difícil a coordenação das autoridades nacionais de persecução criminal com órgãos europeus na luta contra a criminalidade grave, sobretudo a transnacional organizada. Este é o patamar da segurança. 

Sob outra ótica, no ambiente dos direitos civis, a privacidade e a intimidade serão cada vez mais expostas e ameaçadas na sociedade digital. A possibilidade de processamento e de manipulação de dados, áudios e imagens e outros dados biométricos, para o bem e para o mal, coloca em choque os direitos de personalidade e o direito à segurança.

Ambos devem ser mantidos em constante equilíbrio em toda a parte para que a privacidade absoluta não seja escudo para crimes graves, e de modo a que a necessidade de prover segurança para a sociedade não leve ao sacrifício de direitos fundamentais, entre eles a própria privacidade.

Vladimir Aras é mestre em Direito Público (UPFE) com dissertação sobre a Convenção de Budapeste, membro do Ministério Público brasileiro desde 1993, atualmente no cargo de procurador regional da República (MPF), professor de Direito Penal e de Criminologia do IDP, professor assistente de Processo Penal da UFBA, ex-Secretário de Cooperação Internacional da PGR (2013-2017), membro do Grupo de Apoio em Cibercrimes do MPF, palestrante no Brasil e no exterior, editor do blog jurídico vladimiraras.blog.