Integrando a soberania de dados indígenas no MERCOSUL: possibilidades de diálogo com a União Europeia 321 mento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.41 A essência do RGPD é que, se organizações fora da UE conscientemente processam dados pessoais de pessoas na UE, então o Regulamento se aplica. E, nesse caso, a nacionalidade do titular dos dados não é um critério relevante para a aplicação do RGPD; o que importa é se as pessoas estão fisicamente na UE. A regulamentação do RGPD sobre o uso de monitoramento e rastreamento de dados terceirizados é uma das demonstrações mais claras da estratégia para restringir esses tipos de relacionamentos. Empresas sem um estabelecimento na Europa estão sujeitas ao RGPD se utilizarem dados pessoais para “monitorar” o comportamento de pessoas na UE. Por exemplo, isso inclui empresas que fazem rastreamento do comportamento de navegação de indivíduos na UE. De fato, o RGPD destaca que essa regra foi criada especificamente para o rastreamento on-line (conforme preâmbulo 24 do RGPD).42 Ainda buscando estabelecer controle global sobre a transferência e manejo de dados, no artigo 45 do RGPD é explicitado que a Comissão Europeia é responsável por decidir se um Estado não-membro da UE, demais setores deste Estado ou uma organização internacional asseguram um nível adequado de proteção de dados. Com isso, se estabelece uma área de livre fluxo de dados entre a UE e este país ou organização e, ao enfrentar um cenário em que a proteção de dados não é mais garantida, a Comissão pode revogar, alterar ou suspender a decisão. Para avaliar a adequação do nível de proteção, a Comissão analisa os seguintes elementos: (i) a legislação interna do Estado, principalmente concernente ao respeito ao Estado de Direito, aos direitos humanos e liberdades fundamentais e as medidas de segurança pública; (ii) existência de autoridades regulatórias para impor o cumprimento das regras de proteção de dados; (iii) compromissos internacionais assumidos pelo país, em especial em relação à proteção de dados.43 Esta extensão extraterritorial do RGPD ilustra como a UE está moldando a governança global de dados, impondo suas normas e regulamentos a entidades globais, independentemente de sua localização física. O enquadramento legal do RGPD no contexto das transferências de dados internacionais e a jurisprudência associada, como os casos Schrems, evidenciam a abordagem da UE em estender sua soberania digital. Ao mesmo tempo, estes regulamentos desafiam as noções convencionais de soberania territorial ao impor normas europeias de proteção de dados a entidades 41 UNIÃO EUROPEIA (UE). Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/EC (Regulamento Geral sobre a Proteção de Dados). Bruxelas, 27 abr. 2016. Jornal Oficial da União Europeia, n. L 119, p. 1-78, 4 maio 2016. 42 Ibidem. 43 Artigo 45 (2) (a)(b)(c) do RGPD.
RkJQdWJsaXNoZXIy MjEzNzYz