Artigos - Postado em: 06/07/2020

Anywhere office e proteção de dados

[:br]

A pandemia do novo corona vírus (COVID-19) modificou fortemente o modo como os profissionais vem trabalhando. Em pouquíssimo tempo, todos nós fomos forçados a nos adaptar a uma realidade de trabalho remoto e interações digitais.

Após alguns meses vivendo nesta realidade imposta, muitas empresas começaram a se adaptar ao chamado “novo normal” e cogitar a possibilidade de adotar o home office como uma regra ou mesmo renunciar a escritórios físicos. Como consequência, a página da Veja São Paulo anunciava nesta quarta-feira 1° de julho, a chamada “Debandada Faria Limer”[1].

A matéria abordava a possibilidade de grandes empresas desocuparem prédios na região nobre de São Paulo com projetos de implementação de home office definitivo ou com planos de mudança para fora da cidade de São Paulo.

Se efetivamente adotado o home office by default, é possível que partamos rapidamente para uma evolução ao chamado anywhere office. Nesta modalidade, é possível que tenhamos profissionais habitando em um determinado país e prestando serviços em outro.

É claro que existem diversas questões imigratória, trabalhista ou mesmo tributária a serem analisadas neste contexto, mas este artigo busca enfrentar especificamente os desafios da transferência internacional de dados pessoais que ocorrerão nestes casos.

A maior parte dos trabalhadores lida com um volume razoável de dados pessoais e o exercício de suas atividades fora do Brasil poderá gerar questionamentos acerca da transferência internacional de dados pessoais.

No Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD) – ainda em período de vacatio legis – dispõe em seu artigo 33 os requisitos para transferência de dados pessoais para outros países. Muito embora boa parte de seus incisos dependa de regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), podemos vislumbrar alguns cenários para transferência de dados pessoais neste contexto de trabalho remoto internacional. Para tanto, passemos a analisar as seguintes situações:

(i) Empregados residindo fora do país, mas empregados por empresas brasileiras

A LGPD não faz distinção sobre a transferência internacional de dados pessoais para pessoas empregadas pelo agente brasileiro ou não. Neste caso, teoricamente, ainda que o empregado esteja vinculado à empresa brasileira, se estiver fora do Brasil, o empregador deverá observar os requisitos do art. 33 da LGPD para transferir dados pessoais.

Contudo, cumpre mencionar que a Autoridade de Proteção de Dados do Reino Unido (ICO) possui um entendimento diverso com base na legislação local. Esta autoridade entende que se a transferência é feita para um trabalhador empregado por sua empresa, esta transferência não se enquadraria nas restrições previstas no Regulamento Geral sobre Proteção de Dados europeu (RGPD).

“Entretanto, se você estiver enviando dados pessoais a alguém empregado por você ou por sua empresa, esta não é uma transferência restrita. As restrições de transferência só se aplicam se você estiver enviando dados pessoais para fora de sua organização.” (Tradução livre)[2]

É claro que este entendimento e regulamentação não se aplicam ao Brasil, haja vista que o ICO é uma autoridade estrangeira e que se submete à legislação europeia. Ou seja, não há relação com a realidade brasileira e o exemplo é trazido a este contexto apenas por razões acadêmicas.

Entretanto, tendo em vista que a LGPD é razoavelmente similar ao RGPD em alguns aspectos, não se pode descartar a possibilidade da ANPD adotar um posicionamento similar ao do ICO no futuro. Cabe a nós esperarmos para ver qual será sua interpretação do tema.

(ii) Funcionário contratados por empresa sediada no exterior e prestando serviço a uma empresa brasileira

O primeiro passo será verificar se o país de destino dos dados é considerado um país que proporciona grau de proteção de dados pessoais adequado ao previsto na LGPD. O Brasil deveria contar com uma regulamentação neste sentido e estabelecerá uma lista de países que se enquadrem neste perfil. Novamente, a ausência de regulamentação da ANPD não nos deixa ir além neste tema.

Caso o país não esteja previsto nesta lista, passaremos a analisa caso o caso:

Nos casos em que a transferência internacional de dados pessoais esteja vinculada a uma execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (art. 7°, inc. V da LGPD), não será necessário adotar nenhum outro procedimento específico, como por exemplo coleta de consentimento ou implementação de cláusulas contratuais. Imagine, por exemplo, alguém que trabalhe com transfer no Japão e que receba dados pessoais dos turistas que deve buscar no aeroporto. A transferência destes dados pessoais é necessária para a execução do contrato de prestação de serviços de transporte.

Além disso, deve ser analisada a necessidade de transferência internacional de dados pessoais para os seguintes casos:

(a) Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; (art. 33 III)

(b) Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (art. 33 IV)

(c) Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; (art. 33 VI)

(d) Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade; (art. 33 VII)

(e) Quando a transferência for necessária para o cumprimento de obrigação legal ou regulatória pelo controlador; (art. 7° II)

(f) Quando a transferência for necessária para o exercício regular de direitos em processo judicial, administrativo ou arbitral. (Art. 7° VI)

Caso nenhuma destas hipóteses se apliquem, a empresa poderá implementar cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, obter selos, certificados e códigos de conduta regularmente emitidos ou mesmo solicitar a autorização da ANPD. Porém, todas estas alternativas dependerão de uma ANPD operante para que possam ser implementadas, o que no atual momento, não é o caso.

Por último, porém não menos importante, a empresa pode solicitar o consentimento para que tal transferência seja realizada. Neste caso, importante ressaltar que o consentimento deve ser manifestação livre, informada e inequívoca pela qual o titular concorda consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta finalidade de outras finalidades.  

Em que pese atualmente haver alguma dificuldade de se vislumbrar a operacionalização destas transferências internacionais de dados em um cenário de trabalho remoto internacional, é possível que com a atuação da ANPD este cenário se torne mais fácil de ser gerenciado. De toda sorte, os desafios do mundo moderno virão para serem enfrentados e o direito terá que normatizar estas novas realidades.

Nosso escritório possui profissionais preparados para assessorar sua empresa nos desafios do novo normal. Em caso de dúvidas sobre proteção de dados pessoais ou direito digital, procure o Chenut Oliveira Santiago.


[1] https://vejasp.abril.com.br/edicoes/2693/

[2] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers/
Original: “However, if you are sending personal data to someone employed by you or by your company, this is not a restricted transfer. The transfer restrictions only apply if you are sending personal data outside your organisation.”

[:]

Voltar