Não, caro leitor, este não é um texto publicitário, mas apenas inspirado numa propaganda.

Deixe-me situar aqueles que ainda não a viram: uma grande empresa alardeia que você não sabe o que acontece cada vez que pedem seu CPF, que tem muita gente lucrando com seus dados e, como uma boa samaritana, informa que ela lhe dará acesso a essas informações que, sendo suas, devem lhe ser participadas.

Nobre, não? Nem um pouco.

A referida empresa atua em âmbito internacional e tem suas raízes na Europa, onde a Lei de Proteção de Dados – comumente referida como GDPR – já está em vigor e impõe esta (e tantas outras) obrigação.

Mas, a se a lei é europeia, por qual razão a estão seguindo aqui?

Simples: padronização e ultra territorialidade legislativa.

O primeiro foi explicado por Henry Ford há pouco mais de 100 anos e pode ser sintetizado em uma frase a ele atribuída: qualquer um pode ter um Ford da cor que deseje, desde que seja preto.

A padronização de procedimentos e informações é, há muito, uma preocupação das empresas, que encontrou barreiras não só nas regulamentações locais, mas especialmente na inviabilidade de uma rede de informações interna rápida, e que, sem custos estratosféricos, atingisse escala mundial.

Não precisamos de muito para perceber que este último “problema” já deixou de existir há alguns anos: a Internet, e a rede mundial que a sustenta, permitiu que as empresas tenham acesso a qualquer dado de suas filiais de maneira instantânea, não importando onde no mundo elas estão localizadas, incentivando ainda mais a padronização destas informações, de maneira que fossem compreendidas por qualquer operador desta intrincada teia de informações.

Restaram as legislações locais. Ou não.

Na ciência jurídica – e na prática cotidiana, ainda sobrevive o conceito de soberania e, com ele, a ideia de que a cada País cabe regular seus interesses internos por meio de suas próprias leis. Externamente, na relação com os seus pares, os países assinam tratados e convenções internacionais, definindo aquilo que se entende que deva ser observado por seus signatários.

A Lei de Introdução às normas do Direito Brasileiro deixa clara essa separação, limitando a aplicação das normas estrangeiras para situações específicas e especiais, criando hipóteses de ultra territorialidade legislativa – isto é, quando as normas de um determinado país se aplicam no território de outro.

No mundo físico, onde distância e fronteiras têm significado, a divisão destas questões e normas é relativamente simples. Mas, com a Internet, esse aspecto digital se tornou cada dia mais presente nas nossas rotinas, dando novos contornos a tais questões.

A GDPR, vislumbrando essa mudança de paradigma, acena com uma estrutura legislativa diferente, definindo seu campo de aplicação não a determinado(s) país(es), mas sim a todo e qualquer cidadão europeu e a toda e qualquer empresa que trate dados daqueles primeiros, independentemente de onde um (cidadão) ou outro (empresa) se encontrem situados geograficamente.

Quebrou-se, assim, a clássica visão de que a ultra territorialidade é excepcional, tornando-a uma regra e uma preocupação premente nas empresas transnacionais.

Ao uniformizar seus processos e procedimentos para seguir a GDPR, as empresas almejam prevenir demandas judiciais junto à União Europeia; de quebra, aproveitam essa obrigação para fazer merchandising institucional nos seus demais mercados.

Mas, qual o problema disso? Ao que tudo indica, estamos nos beneficiando de uma legislação moderna. Estamos?

Indiscutivelmente, vemos a divulgação publicitária de um pequeno e limitado aspecto da GDPR, sem garantia de sua aplicação efetiva, muito menos de que seus objetivos e princípios norteadores serão respeitados.

Apenas para citar um exemplo, a GDPR, em sua parte não “importada” como propaganda, permite aos seus destinatários questionar e exigir a exclusão de informações inverídicas ou inadequadas aos fins daquela instituição, bem como proíbe a coleta, armazenamento e utilização de dados que possam resultar em discriminação, seja por raça, cor, orientação sexual, religião, ou mesmo que tratem de perfil de saúde ou genético.

Isso valerá aqui? Não se sabe.

Deixando ainda mais confusa a questão, por não terem “importado” as consequências previstas na GDPR para as hipóteses de violação ou utilização indevida destes dados, caberá ao Judiciário o dever de definir, com base nas nossas normas locais, quais serão as consequências desta violação, sé é que haverá alguma.

E tudo isso em razão de uma simples pergunta. Será mesmo tão simples assim?

EnglishPortuguese