Representante no GDPR: necessário para o sistema brasileiro de proteção de dados?

No final do ano passado, a empresa norte-americana Alpha Exploration Co. Inc (Alpha Exploration), que opera a rede social Clubhouse, baseada em interações de voz dos usuários em salas de conversas, foi penalizada pela Autoridade Italiana de Proteção de Dados (DPA). Após realizar uma investigação e constatar diversas inconsistências no tratamento de dados realizado, a DPA aplicou uma multa administrativa no valor de € 2 milhões à empresa, além de uma série de medidas corretivas.

Inicialmente, cabe esclarecer que o representante não deve ser confundido com o papel exercido pelo do encarregado (DPO), previsto em ambas as legislações. De acordo com o artigo 27 do GDPR, é obrigação das empresas de fora do bloco europeu, que lidam com informações de titulares de dados pessoais da União Europeia (UE), a indicação de um representante na UE. Ele é, portanto, a pessoa designada para representar empresas que não estão sediadas na UE em relação às suas obrigações perante o GDPR, servindo como ponto de contato entre as autoridades de proteção de dados da UE, os titulares dos dados e a empresa responsável pelo tratamento.

Seguindo o previsto no GDPR, caso o controlador ou operador não tenha escritórios, filiais ou outros estabelecimentos na UE, mas ainda assim esteja ofertando serviços ou bens a indivíduos ou monitorando o comportamento de indivíduos na UE, estes devem nomear um representante com domicílio em um dos Estados-membros onde encontram-se os titulares, cujos dados pessoais são objeto do tratamento no referido contexto.

O artigo traz exceções à designação do representante, estabelecendo que ela não é necessária quando o tratamento de dados: (1) é ocasional e não inclui em larga escala o tratamento de dados pessoais sensíveis, o tratamento de dados pessoais relativos a condenações penais, infrações ou medidas de segurança, sendo pouco provável que resulte em risco para os direitos e liberdades das pessoas físicas; ou (2) é realizado por uma autoridade ou órgão público.

Em sequência, o regulamento esclarece que o representante pode atuar conjuntamente ou em substituição do responsável pelo tratamento dos dados com a finalidade de garantir o cumprimento do GDPR, sobretudo, em questões relacionadas às autoridades de proteção de dados e aos titulares dos dados.

A designação do representante também é objeto de recomendação do Information Commisioner's Office (ICO). A autoridade britânica esclarece que o representante precisa ser autorizado por escrito a agir em nome do agente de tratamento e pode ser uma pessoa natural ou pessoa jurídica. A Autoridade ainda afirma que, na prática, a maneira mais fácil de nomear um representante seria através de um simples contrato de prestação de serviços.

Na mesma linha, o Considerando 80 do GDPR corrobora as previsões, reiterando que, no tocante ao contato com as autoridades e titulares dos dados, o representante deve ser designado para atuar em nome do controlador ou do operador, podendo ser acionado por qualquer autoridade. Além disso, o considerando dispõe que a nomeação de um representante não afasta a responsabilidade do controlador ou do operador do tratamento de dados pessoais.

Voltando à análise do caso concreto, apesar de a Alpha Exploration ter designado a VeraSafe Ireland Ltd como sua representante na UE, ela foi condenada pela DPA diante de inconsistências. Da análise da sentença — relativamente à representação da companhia na UE —, a decisão da DPA italiana constatou dois principais pontos: (1) a empresa não forneceu os dados de contato do representante da maneira adequada; e (2) as funções desempenhadas pelo representante eram ambíguas, levando à interpretação de que o representante designado não possuía plena competência para representar a empresa frente às solicitações recebidas.

Após a análise dos documentos, a autoridade italiana verificou que a política de privacidade indicava apenas o endereço físico da VeraSafe. Por não mencionar o e-mail de contato, restava impossibilitado o contato do titular com o representante, violando a disposição do GDPR que estabelece a necessidade de indicar o nome e o meio de contato com o representante (artigo 13, nº 1, do GDPR). Além disso, a política de privacidade informava que a empresa representante era uma intermediadora (facilitadora) entre os titulares, as autoridades e o controlador.

Adicionalmente, constatou-se que as informações fornecidas pela empresa eram imprecisas, à medida que o texto sugeria ao solicitante a necessidade de enviar a comunicação não apenas ao representante (VeraSafe), mas também ao controlador (Alpha Exploration), como se tal constituísse um ônus necessário para o atendimento de solicitação do titular. Isso, no entendimento da DPA, fere as disposições que estabelecem que o representante atua em nome do responsável pelo tratamento dos dados.

Traçando um paralelo com o cenário brasileiro, a LGPD estabelece, do mesmo modo que o GDPR, que suas disposições são aplicáveis às operações de tratamento de dados que tenham por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional (artigo 3º, II).

Porém, diferente do GDPR, atualmente, não há na LGPD a previsão que determine a obrigatoriedade da nomeação de um representante para entidades estrangeiras que realizam o tratamento de dados de titulares localizados no Brasil. Analisando a legislação estrangeira, infere-se que a designação de um representante necessariamente implica em realizar uma transferência internacional dos dados, visto que essa figura é necessária para atender titulares e autoridades localizados na UE em relação a um tratamento de dados realizado fora desse território.

É interessante notar que, para assegurar aos dados pessoais proteção para além dos limites de seus respectivos territórios nos casos de transferência internacional de dados, a lei brasileira concebeu mecanismos de salvaguarda semelhantes àqueles adotados pelo GDPR. Entretanto, apesar da inegável inspiração da legislação nacional ao modelo europeu, a designação do representante estabelecido no território dos titulares dos dados é um dos pontos divergentes entre as normas.

Acerca do tratamento de dados realizado por empresas estrangeiras, a LGPD até traz certas disposições, entre elas, determina que a companhia será notificada e intimada dos atos processuais indicados na legislação através de seu agente ou representante ou pessoa responsável pela filial, agência, sucursal, estabelecimento ou escritório no Brasil, independentemente de procuração ou de haver disposição contratual ou estatutária que confira poderes ao indivíduo notificado (artigo 61).

Essa alternativa para a comunicação com o representante da companhia encontra amparo no Código de Processo Civil (CPC), que dispõe que representação de pessoa jurídica estrangeira poderá ser realizada pelo gerente, representante ou administrador de sua filial, agência ou sucursal aberta ou instalada no Brasil, que se presumem autorizados a receber citação para qualquer processo (artigo 75, X e § 3º, CPC).

Apesar de as citações, notificações ou intimações enviadas aos listados no artigo serem consideradas válidas, essa disposição não supre a lacuna no ordenamento jurídico brasileiro em relação à designação do representante. O fato de ser meramente apto a receber notificações em nome da empresa em nada se assemelha à principal função do representante, que seria a de viabilização da comunicação entre os responsáveis pelo tratamento de dados, as autoridades de proteção de dados locais e os titulares dos dados.

Os maiores prejudicados nessa dinâmica atual são os titulares de dados que, sem um ponto de contato local, podem se deparar com dificuldades em contatar as empresas estrangeiras responsáveis pelos tratamentos de dados e exercer os direitos em relação a seus dados pessoais.

É inegável que a designação do representante favorece e contribui com o desenvolvimento de um ambiente seguro e alinhado com os preceitos elencados na LGPD. Levando em consideração a realidade brasileira, um formato interessante seria a cumulação das duas funções na figura do encarregado (DPO) com um requisito extra ainda não estipulado: o domicílio obrigatório no Brasil.

Diante da obrigatoriedade de um encarregado com domicílio obrigatório no país, as empresas sem filiais, escritórios ou estabelecimentos no Brasil que tratem dados pessoais no país, não teriam que nomear duas figuras distintas — encarregado e representante —, mas não deixariam de garantir o atendimento dos titulares. Essa equação permitiria, ao mesmo tempo, viabilizar a comunicação facilitada e cumprir de forma adequada as disposições da LGPD sem onerar os agentes de tratamento de dados com mais exigências além das necessárias.

É certo que há inúmeros pontos que ainda precisam de regulamentação e expansão quando o assunto é privacidade e proteção de dados no Brasil, mas, no futuro próximo, pode ser que a figura faça falta para os titulares brasileiros.