Decisão unânime do Supremo Tribunal Federal permitirá que autoridades nacionais possam requerer diretamente dados sigilosos de usuários brasileiros armazenados em provedores fora do país diretamente a empresas estrangeiras, sem a necessidade de prévia autorização de governos locais.
A ação analisada pelo STF foi ajuizada pela Federação das Associações das Empresas de Tecnologia da Informação (Assespro Nacional) e questionava se o acesso judicial de dados de usuários da internet por provedores sediados no exterior deveria, necessariamente, seguir o procedimento do acordo celebrado entre o Brasil e os Estados Unidos, ou se poderia ser feito diretamente, no caso de investigações e ocorrências policiais.
A decisão do STF foi no sentido de que tanto pedidos feitos via tratado internacional quanto diretamente aos provedores são válidos.
Um aspecto importante nesta decisão é sanear o conflito de competência territorial, quando os provedores de conteúdo e aplicativos de mídias sociais se negavam a fornecer dados requisitados judicialmente, sempre com o argumento que as informações estavam armazenadas em servidores localizados no exterior. No entanto, é importante entender que, mesmo os dados estando armazenados em nuvem (cloud servers), espalhados em servidores distribuídos pelo mundo inteiro (e mesmo no Brasil), os serviços prestados pelos provedores são oferecidos aos clientes em território nacional e, por conseguinte, devem obedecer a legislação brasileira.
Assim, a decisão do STF sustenta que não haveria qualquer ofensa à soberania de outro país caso uma autoridade brasileira viesse a determinar a requisição de dados de brasileiros, sobre fatos ocorridos em território nacional, apenas porque a empresa de tecnologia alega que os dados pessoais destes brasileiros estariam hospedados em servidores localizados em território estrangeiro.
Ademais, é importante ressaltar que, caso seja necessária alguma diligência física em território internacional, como por exemplo uma busca e apreensão judicial de equipamentos ou ativos materiais, o caminho correto ainda será a utilização dos tratados de cooperação internacionais, para solicitar formalmente a realização e execução da diligência pelo poder judiciário do país onde a medida deverá ser cumprida. Mas, de acordo com a decisão do STF, para solicitar apenas arquivos de informação (que estão armazenados digitalmente), não seria razoável tal tipo de exigência, pois as informações estão disponíveis virtualmente, em "nuvem", através de um sistema interconectado de servidores da própria empresa de tecnologia, muitas vezes com sede ou representação comercial no Brasil.
E o titular do dado? Poderia, de alguma forma, se opor a este acesso sem o seu consentimento expresso?
De forma complementar, a General Data Protection Regulation (GDPR), ou Regulamento Geral sobre a Proteção de Dados, que é o regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, publicado em 2018, e que também regulamenta a exportação de dados pessoais para fora da União Europeia e Espaço Econômico Europeu, descreve em uma de suas oito hipóteses legais a possibilidade de acesso, coleta, tratamento, compartilhamento e armazenamento de dados pessoais com base no “Legítimo Interesse”, interpretado da seguinte forma na exposição de motivos da GDPR:
O que é legítimo interesse?
Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional. O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento. Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.
Assim sendo, de forma subsidiária, caso seja caracterizada a coleta de dados objetivando a “prevenção e controle da fraude”, seria possível concluir que há respaldo legal neste tipo de tratamento de dados, mesmo sem o consentimento expresso do titular do dado pessoal.
Deixe seu comentário