O dever de conformidade deve ser observado por todos que, embora situados fora do território nacional, ofereçam bens ou serviços ao mercado consumidor brasileiro.

Não se fala em outra coisa. A Lei Geral de Proteção de Dados (LGPD) veio para revolucionar o tratamento conferido aos dados pessoais no Brasil. Entende-se por “dado pessoal” qualquer informação relacionada a uma pessoa natural identificada ou identificável.

A ideia é que toda e qualquer informação que permita o reconhecimento, direta ou indiretamente, de um indivíduo, será reputada um dado pessoal. A abrangência da LGPD é, portanto, imensa: vai desde o nome completo, RG, CPF, endereço residencial, telefone, passando pelo prontuário médico e histórico escolar, chegando até mesmo no extrato do cartão bancário, dentre tantos outros exemplos que poderiam ser mencionados O dever de conformidade deve ser observado por todos que ofereçam bens ou serviços ao mercado consumidor brasileiro

A LGPD possui aplicação extraterritorial, o que significa dizer que sua incidência não está circunscrita às pessoas que estejam domiciliadas ou estabelecidas no Brasil. A regra é que a LGPD tem efeitos sobre qualquer pessoa, natural ou jurídica, de direito público ou privado, que realize operação de tratamento de dados pessoais, quer seja pelos meios digitais ou não. À exceção das hipóteses de tratamento de dados pessoais excluídas da abrangência da LGPD (art. 4º), dela ninguém escapa. Isso significa que o dever de conformidade deve ser observado por todos que, embora situados fora do território nacional, ofereçam bens ou serviços ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no país.

Central à discussão, o art. 3º da LGPD dispõe de forma cristalina ser irrelevante o meio em que realizada a operação de tratamento de dados, tal como é insignificante o país da sede da empresa ou o país onde estejam localizados os dados.

O dever de conformidade (compliance) prescrito pela lei se aplica desde que (i) a operação de tratamento seja realizada no território nacional; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) os dados pessoais objeto do tratamento tenha sido coletados no território nacional.

O dispositivo inspira-se no art. 3º da Regulação Geral de Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR) (Regulação (EU) 2016/679), que é aplicável ainda que o responsável pelo tratamento de dados pessoais não esteja estabelecido na União Europeia. Basta oferecer bens ou serviços a sujeitos da União Europeia ou monitorar o comportamento de sujeitos na União Europeia.

É louvável a tentativa reproduzida pelo legislador pátrio de proteger os dados do jurisdicionado nacional em um mundo em que as fronteiras físicas entre os países são cada vez mais difusas. Afinal, sob a ótica de proteção da privacidade daquele que tem os seus dados coletados, o respeito à autodeterminação informativa não deve ser condicionado à realização da operação de tratamento de dados apenas no território nacional.

A consequência para o descumprimento de seus termos é severa. Atrelada ao faturamento total da empresa, a multa pode chegar a astronômicos R$ 50 milhões.

Impossível, contudo, não antever questões complexas decorrentes dos efeitos extraterritoriais da LGPD, que é uma lei doméstica. A começar, a caracterização do que seja uma oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional não é óbvia.

Ademais, embora a LGPD preveja severas sanções administrativas aos agentes de tratamento de dados em decorrência de infrações cometidas, fato é que, na prática, a imposição de sanções pela Autoridade Nacional de Proteção de Dados (ANPD) a empresas cuja sede e centro de negócios, bem como seus bens, estejam no exterior pode esbarrar em dificuldades práticas e até mesmo jurídicas. Sem um mecanismo de cooperação jurídica internacional estruturado entre a ANPD e seus pares no exterior, não se vislumbra como a agência poderá cumprir satisfatoriamente com suas obrigações fiscalizatória e sancionatória.

Em suma, a despeito da extensão que se propõe atribuir ao compliance, a extraterritorialidade da LGDP (e, com ela, a eficácia da proteção almejada) pode encontrar nas fronteiras nacionais um verdadeiro obstáculo. Quer dizer, como assegurar, na prática, que os titulares de dados pessoais tenham informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados, tal qual prescreve o princípio insculpido no artigo 6º, VI, se o agente que realiza esse tratamento está fora do alcance da ANPD?

A efetiva extraterritorialidade da LGPD, portanto, não se satisfaz por si só, posto que o efetivo compliance por parte dos players estrangeiros dependerá de uma sólida estrutura de cooperação entre a ANPD e os agentes regulatórios estrangeiros.

Certamente, a aplicação da lei ensejará a ocorrência de situações jurídicas multiconectadas complexas, cuja solução será um desafio às autoridades nacionais.

FONTE: Valor Econômico – Por Nadia de Araujo, Lidia Spitz e Carolina Noronha