x
  • Olá, o que deseja buscar?

Artigos atualize-se e recomende!

COMISSÃO EUROPÉIA APROVA NOVOS MODELOS DE CLÁUSULAS CONTRATUAIS PARA A TRANSMISSÃO DE DADOS PESSOAIS A PAÍSES NÃO MEMBROS DA UE 13/03/2008

Autor: Demócrito Reinaldo Filho - Fonte: IBDI - Instituto Brasileiro de Política e Direito da Informática




A Comissão Européia, órgão da União Européia que tem funções executivas, liberou comunicado no dia 07 deste mês noticiando a aprovação de um novo corpo de cláusulas contratuais modelo, que podem ser utilizadas quando se trate de transferir dados pessoais para países não membros da União Européia. O novo conjunto de cláusulas modelo vem a ser adicionado a outro já provado pela Comissão e divulgado em junho de 2001.

O uso de cláusulas contratuais modelo, em transações comerciais que impliquem a transferência de dados pessoais, é um meio de se obedecer aos princípios da
Diretiva 95/46/EC sobre proteção de dados pessoais, que exige proteção adequada ("adequate protection") aos dados pessoais transferidos para fora da União Européia. A Diretiva exige que a transferência de dados pessoais para países não integrantes da UE se faça somente quando esses países possuírem regime que ofereça adequada proteção ao tratamento de dados pessoais(1). Sem essa salvaguarda, o alto nível de proteção ao tratamento de dados pessoais que é conferido pela Diretiva ficaria comprometido, dada a facilidade de transferência de dados através de redes informáticas de alcance mundial. Daí porque a Comissão Européia elabora modelos de cláusulas contratuais para serem utilizadas por empresas e controladores de bancos de dados europeus que transfiram informações para outros países, que não possuam sistema de nível adequado na proteção de dados pessoais.

O uso das cláusulas modelo ("standard clauses") é voluntário, mas representa um meio para que empresas e organizações atendam as exigências da Diretiva quanto a dados pessoais transferidos a países não integrantes da UE, a respeito dos quais a Comissão Européia ainda não tenha reconhecido que oferecem "proteção adequada". Periodicamente, a Comissão emite decisões reconhecendo países não membros que oferecem proteção adequada a dados pessoais(2). Em relação a países cujos sistemas de leis conferem um nível de "proteção adequada" a dados pessoais, já reconhecidos pela Comissão Européia, não há necessidade do emprego das cláusulas contratuais modelo nas relações que empresas européias travarem com empresas desses países. Quanto aos demais, sem reconhecido regime jurídico de "proteção adequada", o uso das cláusulas contratuais modelo é uma solução viável para transferência de informações pessoais(3).

Na ausência de um standard global de proteção a dados pessoais, as cláusulas modelo têm se mostrado uma eficiente ferramenta para a transferência de informações individuais sem ferir os princípios da Diretiva Européia de proteção de dados pessoais. Por exemplo, uma das cláusulas contém uma declaração por meio da qual a empresa européia que transfere os dados e a organização ou empresa que os recebe se comprometem a obedecer os princípios básicos da Diretiva(4). Como resultado, as autoridades européias de proteção de dados (Data Protection Authorities ou Privacy Comissioners), que têm o poder de proibir ou suspender o fluxo de dados pessoais em algumas circunstâncias, não poderão recusar a transferência quando esta se fizer sob a égide de contrato que incorpore as cláusulas modelo aprovadas pela Comissão Européia.

O conjunto contendo os
novos modelos de cláusulas contratuais não substitui ou invalida aquele aprovado no ano de 2001(5) , que continua com aplicação válida e de escolha pelos operadores sobre qual deles aplicar em um determinado contrato, de acordo com suas necessidades. O novo conjunto de cláusulas contratuais modelo fornece o mesmo nível de proteção adequada que o anterior, sendo as diferenças entre eles mais de natureza técnica. Trata-se de uma alternativa que oferece o mesmo nível de proteção a dados pessoais, mas fazendo uso de diferentes mecanismos. As empresas que tenham que transferir dados pessoais a países não membros da UE, cujo regime jurídico não oferece nível de proteção reconhecido pela Comissão Européia, podem escolher usar qualquer dos dois conjuntos de cláusulas modelos - ou mesmo outra solução legal que permita a transferência sem ferir os princípios da Diretiva. Cada conjunto de cláusulas forma um único modelo, daí porque não se pode emendá-los ou fundi-los, ainda que parcialmente.

As novas cláusulas modelo permitem uso mais flexível de mecanismos de auditagem e regras mais detalhadas quanto ao direito de acesso. Além disso, o sistema de "joint and several liability" incorporado no conjunto anterior, que prevê uma responsabilidade solidária entre as empresas contratantes por ato de qualquer uma delas no que tange ao processamento irregular de dados pessoais, é substituído por um sistema baseado na "due diligence", significando que tanto o "data exporter" quanto o "data importer" são responsáveis perante o sujeito dos dados ("data subject") pelos atos que respectivamente praticarem. O "data exporter" pode também ser responsabilizado se não tomar precauções para determinar que o outro contratante que vai receber os dados ("data importer") é capaz de satisfazer suas obrigações legais previstas no conjunto de normas, uma verdadeira hipótese de culpa in eligendo. Ou seja, a empresa européia que contratar com outra sediada em país não membro da União Européia tem que se certificar de que se trata de empresa apta a cumprir com suas obrigações, no que tange às normas de proteção de dados pessoais incorporadas nas cláusulas contratuais modelo. Para tanto, uma das cláusulas prevê a possibilidade de realizar auditoria nos sistemas da outra contratada (cláusula modelo I, item b), bem como requerer que o "data importer" comprove possuir recursos financeiros suficientes ao cumprimento de suas obrigações.

No que tange à garantia de efetividade dos direitos da pessoa que tem os dados processados, cláusulas do novo conjunto de modelos prevêem certos mecanismos para resguardá-lo de atos praticados pela empresa ("data importer") de fora, como a obrigação da empresa européia de contactá-la para que cumpra com suas obrigações contratuais e, havendo negativa, a possibilidade de processar a empresa estrangeira numa corte de país europeu. Essas cláusulas, portanto, estabelecem um dever de aceitação da jurisdição de corte européia para resolver esse tipo de controvérsia, prevendo ainda a submissão da empresa estrangeira a uma decisão de autoridade européia de proteção a dados pessoais.





Notas:

(1) Para países que não ofereçam essa proteção, a transferência de dados e informações pessoais não deve ser permitida, salvo em poucas exceções previstas na própria Diretiva,

(2) Suíça, Canadá, Estados Unidos e Argentina são alguns países que já receberam esse atestado de excelência na proteção de dados pessoais.

(3) Em relação a países que não possuem regime jurídico de "proteção adequada" a dados pessoais, as empresas européias só estarão dispensadas do uso das cláusulas contratuais em hipóteses específicas, quando, p. ex., o próprio sujeito a que se referem os dados houver dado uma autorização inequívoca para a transferência, ou quando esta se fizer necessária à conclusão ou execução de contrato de interesse da pessoa, ou atender a importante interesse público, ou ainda quando houver uma autorização específica das autoridades de proteção de dados. Essas hipóteses estão previstas no item 1 do art. 26 da Diretiva.

(4) A Diretiva 95/46/EC prevê os seguintes princípios gerais no que tange ao processamento de dados individuais: a) dados pessoais só podem ser coletados para fins específicos, explícitos e de propósitos legítimos; b) a pessoa envolvida deve ser informada sobre a finalidade da coleta e a identidade do controlador dos dados; c) o sujeito a quem os dados se referem tem o direito de acesso a eles e oportunidade para retificá-los ou modificá-los em caso de erro; d) previsão de compensação ou indenização para a hipótese de processamento indevido de dados pessoais. O objetivo das cláusulas contratuais modelo é de que esses princípios sejam observados quando houver transferência de dados pessoais a países não integrantes da União Européia.

(5) O conjunto de modelos originário foi aprovado pela Comissão em 18 de junho de 2001.



Recife, 22.01.05