Revista de Direito, Governança e Novas Tecnologias

O presente artigo tem como grande tema o estudo da regulação e governança do fluxo de dados pessoais a partir da análise dos casos Schrems I e II, julgados pelo Tribunal de Justiça da União Europeia em 2015 e 2020, respectivamente. Após a análise dos casos, avança-se para observação do papel de diversos atores, público e privados, na governança e regulação sobre proteção de dados pessoais. A metodologia utilizada é a pragmático-sistêmica, aliada à técnica de pesquisa bibliográfica e documental. A partir da observação das novas conformações organizacionais e regulatórias da sociedade atual, conclui-se que o papel da autorregulação privada, ressaltado a partir do caso Schrems II, mostra-se essencial. A centralidade nas decisões de adequação deve ser relativizada ou ao menos complementada para que a proteção de dados se estruture por meio de outras formas (híbridas) de regulação (autorregulação regulada) e governança (em rede).

BORA, Alfons. Semantics of ruling: reflective theories in regulation, governance and law. In: PAUL, Regine (et al.). Society, regulation and governance: new modes of shaping social change. Cheltenham; Northampton: Edward Elgar, 2017. p. 15-38.

BORA, Alfons. The Shadow of the Law: Intermediary institutions and the ruling part of governance. In: HARTMANN, Eva; KJAER, Poul. The evolution of intermediary institutions in Europe: from corporatism to governance. Houndmills; Basingstoke; Hampshire; New York: Palgrave MacMillan, 2015. p. 141-157.

CASAROSA, Federica. Transnational collective actions for cross-border data protection violations. Internet Policy Review: Journal on Internet Regulation, v. 9, n. 3, Sep./2020. Disponível em: https://policyreview.info/articles/analysis/transnational-collective-actions-cross-border-data-protection-violations. Acesso em: 1 abr. 2022.

CROSS BORDER PRIVACY RULES (CBPRs). About CBPRs. Disponível em: http://cbprs.org/about-cbprs/. Acesso em: 1 abr. 2022.

EHRLICH, Eugen. The sociology of law. Harvard Law Review, Cambridge, v. 36, n. 2, Dec. 1916. p. 130-145. Disponível em: https://bit.ly/3nsrM7v. Acesso em: 1 abr. 2022.

ELETRONIC FRONTIER FOUNDATION (EFF). End 702. Disponível em: https://www.eff.org/pt-br/pages/upstream-prism. Acesso em: 1 abr. 2022.

EUROPEAN UNION. European Parliament. Directorate-General for Parliamentary Research Services. From safe harbour to privacy shield: advances and shortcomings of the new EU-US data transfer rules: in-depth analysis. European Parliament, 2017. Disponível em: https://op.europa.eu/en/publication-detail/-/publication/48f33bb1-e2ca-11e6-ad7c-01aa75ed71a1/language-en. Acesso em: 1 abr. 2022.

EUROPEAN UNION. European Data Protection Board (EDPB). Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, 25 May 2018. Disponível em: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en. Acesso em: 1 abr. 2022.

EUROPEAN UNION. European Data Protection Board (EDPB). Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, 23 July 2020. Disponível em: https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_en. Acesso em: 1 abr. 2022.

EUROPEAN UNION. Commission Implementing Decision (EU) 2021/914, 4 June 2021. Standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council. Disponível em: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj. Acesso em: 1 abr. 2022.

EUROPEAN UNION. European Data Protection Board (EDPB). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 18 June 2021. Disponível em: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf. Acesso em: 1 abr. 2022.

FEDERAL TRADE COMMISSION (FTC). FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook. 24 jul. 2019. Disponível em: https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions. Acesso em: 1 abr. 2022.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). Information security management. Disponível em: https://www.iso.org/isoiec-27001-information-security.html. Acesso em: 1 abr. 2022.

KJAER, Poul. Three-dimensional conflict of laws in Europe. Zentrum für Europäische Rechtspolitik (ZERP), Universität Bremen, 1 Mar. 2019. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1489939. Acesso em: 1 abr. 2022.

LADEUR, Karl-Heinz. The changing role of the private in public governance: the erosion of hierarchy and the rise of a new administrative law of cooperation: a comparative approach. European University Institute, sep./2002. Disponível em: https://cadmus.eui.eu/handle/1814/187. Acesso em: 1 abr. 2022.

LUHMANN, Niklas. Economía de la Sociedad. Ciudad del México: Herder, 2017.

LUHMANN, Niklas. La política como sistema. Ciudad del México: Universidad Iberoamericana, 2004.

LUHMANN, Niklas. La sociedad de la sociedad. Ciudad del México: Herder, 2007.

LUHMANN, Niklas. O direito da sociedade. São Paulo: Martins fontes, 2016.

MACASKILL, Ewen; DANCE, Gabriel. NSA files: decoded. The Guardian, 1 Nov. 2013. Disponível em: https://www.theguardian.com/world/interactive/2013/nov/01/snowden-nsa-files-surveillance-revelations-decoded#section/1. Acesso em: 1 abr. 2022.

MEDZINI, Rotem. Governing the shadow of hierarchy: enhanced self-regulation in European data protection codes and certifications. Internet Policy Review: Journal on Internet Regulation, v. 10, n. 3, Sep./2021. Disponível em: https://policyreview.info/articles/analysis/governing-shadow-hierarchy-enhanced-self-regulation-european-data-protection-codes. Acesso em: 1 abr. 2022.

MOURA, Ariel Augusto Lira. “Lex digitalis” e flexibilidade do direito. In: SCHWARTZ, Germano (coord.). Anais Sociology of Law 2018: o direito entre o caos e desconstrução. Canoas: Unilasalle, 2018. p. 88-98.

NOYB. 4th Advent Reading: Facebook fully ignores "Schrems" rulings by Court of Justice. 19 dez. 2021. Disponível em: https://noyb.eu/en/4th-advent-reading-facebook-fully-ignores-schrems-rulings-court-justice. Acesso em: 1 abr. 2022.

NOYB. Deep Dive: how facebook tries to ignore the CJEU - despite two judgments. 19 dez. 2021. Disponível em: https://noyb.eu/en/deep-dive-how-facebook-tries-ignore-cjeu-despite-two-judgments. Acesso em: 1 abr. 2022.

OCDE (ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO). Action plan for the Global Privacy Enforcement Network (GPEN). 22 Jan. 2013. Disponível em: https://www.privacyenforcement.net/content/action-plan-global-privacy-enforcement-network-gpen. Acesso em: 1 abr. 2022.

ROCHA, Leonel Severo. Epistemologia do direito: revisitando as três matrizes jurídicas. Revista de Estudos Constitucionais, Hermenêutica e Teoria do Direito (RECHTD), v. 5, n. 2, jul./dez. 2013, p. 142-145. Disponível em: http://revistas.unisinos.br/index.php/RECHTD/article/view/rechtd.2013.52.06. Acesso em: 1 abr. 2022.

ROCHA, Leonel Severo. Direito e autopoiese. In: STRECK, Lenio Luís; ROCHA, Leonel Severo; ENGELMANN, Wilson (orgs.). Constituição, sistemas sociais e hermenêutica: anuário do programa de pós-graduação em direito da UNISINOS. n.13. Porto Alegre: Livraria do advogado, 2017. p. 123-136.

ROCHA, Leonel Severo; MOURA, Ariel Augusto Lira de. Epistemologia das redes e a governança digital da ICANN: teoria e práxis do direito na cultura das redes. In: ROCHA, Leonel Severo; COSTA, Bernardo Leandro Carvalho (org.). Atualidade da constituição: o constitucionalismo em Luhmann, Febbrajo, Teubner e Vesting. Porto Alegre: Fi, 2020. p. 504-538. Disponível em: https://bit.ly/3cYc7Kh. Acesso em: 1 abr. 2022.

ROCHA, Leonel Severo; MOURA, Ariel Augusto Lira. Teoria dos sistemas e constitucionalismo digital. In: ROCHA, Leonel Severo; COSTA, Bernardo Leandro Carvalho (org.). O futuro da Constituição: Constitucionalismo social em Luhmann e Teubner. Porto Alegre: Editora Fi, 2021. Disponível em: https://www.editorafi.org/249constitucionalismo. Acesso em: 1 abr. 2022.

SOMBRA, Thiago Luís Santos. Fundamentos da regulação da privacidade e proteção de dados pessoais: pluralismo jurídico e transparência em perspectiva. São Paulo: Thomson Reuters Brasil, 2019.

TEUBNER, Gunther. Breaking frames: economic globalization and the emergence of lex mercatória. European journal of social theory, New York, v. 5, n. 2, abr./jun. 2002, p.199-217. Disponível em: https://bit.ly/3lAROVE. Acesso em: 1 abr. 2022.

TEUBNER, Gunther. Direito, sistema e policontexturalidade. Unimep: Piracicaba, 2005.

TEUBNER, Gunther. Fragmentos constitucionais: constitucionalismo social na globalização. São Paulo: Saraiva, 2016.

TEUBNER, Gunther. Global Bukowina: legal pluralism in the world society. In: TEUBNER, Gunther (ed.). Global law without a State. Aldershot; Brookfield: Dartmouth, 1997. p. 3-28.

THE GUARDIAN. Cambridge Analytica files. Disponível em: https://www.theguardian.com/news/series/cambridge-analytica-files. Acesso em: 1 jan. 2022;

THORNHILL, Chris. The future of State. In: KJAER, Poul; TEUBNER, Gunther; FEBBRAJO, Alberto (ed.). The financial crisis in constitutional perspective: the dark side of functional differentiation. Oxford; Portland: Hart, 2011. p. 357-395.

TRACOL, Xavier. ‘Schrems II: the return of the Privacy Shield. Computer Law & Security Review, v. 39, Nov./2020. p. 7. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0267364920300893#:~:text=The%20Schrems%20II%20judgment%20has,Privacy%20Shield%20remains%20legally%20valid. Acesso em: 1 abr. 2022.

TRACOL, Xavier. Legislative genesis and judicial death of a directive: The European Court of Justice invalidated the data retention directive (2006/24/EC) thereby creating a sustained period of legal uncertainty about the validity of national laws which enacted it. Computer Law & Security Review, v. 30, n. 6, Dec. 2014. p. 736-746. Disponível em: https://www.sciencedirect.com/science/article/abs/pii/S0267364914001587?via%3Dihub. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Directiva 95/46/CE do Parlamento Europeu e do Conselho, 24 outubro 1995. Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A31995L0046&qid=1642507300888. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Decisão 2000/520 da Comissão Europeia, 26 julho 2000a. Relativa ao nível de protecção assegurado pelos princípios de “porto seguro” [safe harbour privacy principles] e pelas respectivas questões mais frequentes (FAQ) emitidos pelo Department of Commerce dos Estados Unidos da América. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32000D0520. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Carta de Direitos Fundamentais da União Europeia. 18 dez. 2000b. Disponível em: https://www.europarl.europa.eu/charter/pdf/text_pt.pdf. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Tratado sobre o Funcionamento da União Europeia, 2007. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A12012E%2FTXT. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Decisão 2010/87 da Comissão Europeia, 5 fevereiro 2010. Relativa a cláusulas contratuais-tipo aplicáveis à transferência de dados pessoais para subcontratantes estabelecidos em países terceiros nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1643040965548&uri=CELEX%3A32010D0087. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, 27 abril 2016a. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/pt/TXT/?uri=CELEX%3A32016R0679. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Decisão 2016/1250 da Comissão Europeia, 12 julho 2016b. Relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UE-EUA, com fundamento na Diretiva 95/46/CE do Parlamento Europeu e do Conselho. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1643027909451&uri=CELEX%3A32016D1250#ntr14-L_2016207EN.01000101-E0014. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Tribunal de Justiça (Grande Secção). Pedidos de decisão prejudicial apresentados pela High Court (Irlanda) e pelo Verfassungsgerichtshof. Comunicações eletrónicas — Diretiva 2006/24/CE — Serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações — Conservação de dados gerados ou tratados no contexto da oferta desses serviços — Validade — Artigos 7.°, 8.° e 11.° da Carta dos Direitos Fundamentais da União Europeia. Digital Rights Ireland Ltd contra Minister for Communications, Marine and Natural Resources e o. e Kärntner Landesregierung e o. Relator: Thomas von Danwitz, 8 abril 2014. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=ecli%3AECLI%3AEU%3AC%3A2014%3A238. Acesso em: 1 abr. 2022.

UNIÃO EUROPEIA. Tribunal de Justiça (Grande Secção). Pedido de decisão prejudicial apresentado pela High Court (Irlanda). Reenvio prejudicial — Dados pessoais — Proteção das pessoas singulares no que diz respeito ao tratamento desses dados — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.°, 8.° e 47.° — Diretiva 95/46/CE — Artigos 25.° e 28.° — Transferência de dados pessoais para países terceiros — Decisão 2000/520/CE — Transferência de dados pessoais para os Estados Unidos — Nível de proteção inadequado — Validade — Queixa de uma pessoa singular cujos dados foram transferidos da União Europeia para os Estados Unidos — Poderes das autoridades nacionais de controlo. Maximillian Schrems contra Data Protection Commissioner. Relator: Thomas von Danwitz, 6 de outubro de 2015. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1642288054180&uri=CELEX%3A62014CJ0362. Acesso em: 1 jan. 2021.

UNIÃO EUROPEIA. Tribunal de Justiça (Grande Secção). Processo C‑311/18. Conclusões do advogado-geral Saugmandsgaard Øe, 19 dezembro 2019. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1643402586985&uri=CELEX%3A62018CC0311. Acesso em: 1 jan. 2021.

UNIÃO EUROPEIA. Tribunal de Justiça (Grande Secção). Pedido de decisão prejudicial apresentado pela High Court (Irlanda). Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.o, 8.o e 47.o — Regulamento (UE) 2016/679 — Artigo 2.o, n.o 2 — Âmbito de aplicação — Transferências de dados pessoais para países terceiros para fins comerciais — Artigo 45.o — Decisão de adequação da Comissão — Artigo 46.o — Transferências mediante garantias adequadas — Artigo 58.o — Poderes das autoridades de controlo — Tratamento dos dados transferidos pelas autoridades públicas de um país terceiro para efeitos de segurança nacional — Apreciação do caráter adequado do nível de proteção assegurado no país terceiro — Decisão 2010/87/UE — Cláusulas‑tipo de proteção para a transferência de dados pessoais para países terceiros — Garantias adequadas oferecidas pelo responsável pelo tratamento — Validade — Decisão de Execução (UE) 2016/1250 — Adequação da proteção assegurada pelo Escudo de Proteção da Privacidade União Europeia‑Estados Unidos — Validade — Queixa de uma pessoa singular cujos dados foram transferidos da União Europeia para os Estados Unidos. Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems. Relator: Thomas von Danwitz, 16 de julho de 2020. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1642447809498&uri=CELEX%3A62018CJ0311. Acesso em: 1 jan. 2021.

UNITED NATIONS. International Law Commission. Report on the work of its fifty-eighth session (1 May to 9 June and 3 July to 11 August 2006). General Assembly Official Records, Sixty-first Session Supplement n. 10 (A/61/10). Disponível em: http://untreaty.un.org/ilc//reports/2006/english/chp12.pdf. Acesso em: 1 abr. 2022.

UNITED STATES (US). NATIONAL SECURITY AGENCY (NSA). Executive Order (EO) 12333, 4 Dec. 1981. Disponível em: https://www.nsa.gov/Signals-Intelligence/EO-12333/. Acesso em: 1 abr. 2022.

UNITED STATES (US). DEPARTMENT OF COMMERCE (DoC). FAQs – EU-U.S. Privacy Shield Program Update. 31 Mar. 2021. Disponível em: https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update. Acesso em: 1 abr. 2022.

UNITED STATES. THE WHITE HOUSE. Fact Sheet: United States and European Commission announce Trans-Atlantic Data Privacy Framework. March 25, 2022. Disponível em: https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/. Acesso em: 1 abr. 2022.

ZUBOFF, Shoshana. The age of surveillance capitalism: the fight for a human future at the new frontier of power. New York: Public Affairs, 2019.

ZÜRN, Michael. A theory of global governance: authority, legitimacy, and contestation. Oxford: Oxford University Press, 2018.