ANPD avança na regulamentação da LGPD
Transferência internacional de dados pessoais ganha minuta de norma
Um dos pontos importantes da Lei Geral de Proteção de Dados Pessoais (LGPD) que faltam ser ainda regulamentados é o Regulamento de Transferências Internacionais de Dados Pessoais, que trará as regras de transferências de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil é membro. Recentemente, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) realizou uma audiência pública sobre a minuta da regra.
Jenne Silva, sócia do Vieira da Rocha, Machado Alves Advogados, explica que o tema merece atenção e se torna necessária a devida regulamentação justamente para que haja transparência, razoabilidade e legitimidade no tratamento de dados pessoais quando ocorrer a transferência internacional. A preocupação é que os dados sejam transferidos para países que também contam com nível adequado de segurança das informações. Ou, quando isso não ocorrer, que haja salvaguardas, por meio de cláusulas contratuais, para garantir que há preocupação com a segurança dos dados pessoais.
“É importante pensar em dados pessoais como ativos que são continuamente transferidos entre agentes de tratamento (por exemplo, empresas), o que geralmente também significa transferências entre países e continentes. É comum, por exemplo, que uma empresa brasileira utilize serviços em nuvem situados fora do Brasil. Nesse sentido, é imprescindível que as organizações tenham a segurança de executar as transferências internacionais sem infringir a LGPD”, explica Eugênio Corassa, associado do Freitas Ferraz Advogados.
A minuta de norma estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados realizadas para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. Mas existe a possibilidade de transferência desses dados também para países ou organismos que ainda não considerados adequados. Isso pode ser feito pelo controlador de dados (o responsável pela salvaguarda da integridade dos dados pessoais) quando ele comprovar que respeita os direitos do titular dos dados e o regime de proteção previstos na LGPD – tanto por meio do estabelecimento de cláusulas contratuais específicas para determinada transferência, de cláusulas-padrão contratuais ou de normas corporativas globais. Essas cláusulas são objeto da minuta de norma, sobre a qual a audiência pública versou.
Como as empresas vêm fazendo a transferência internacional de dados na ausência da regra, que ainda não foi publicada, Silva lembra que será necessário atualizar os contratos, para incorporar os requisitos da ANPD, em até 180 dias, contados da data de publicação da Resolução.
O prazo para que os agentes renegociem seus instrumentos contratuais é considerado curto por Guilherme Guidi, associado do Freitas Ferraz Advogados: “O principal ponto de preocupação está relacionado ao prazo de adequação para os agentes que realizam transferências internacionais de dados.” Guidi avalia que outro ponto que pode ser aprimorado é o avanço nas decisões de adequação, de forma a reduzir a burocracia das transferências internacionais – o que seria possível se a ANPD reconhecesse a adequação de jurisdições claramente adequadas, pois esse reconhecimento, de uma vez só afetaria positivamente um grande número de operações.
Na entrevista abaixo, Silva, Corassa e Guidi abordam a regulamentação da transferência internacional de dados pessoais.
– No que consiste a transferência internacional de dados?
Jenne Silva: Trata-se da transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o Brasil seja membro.
Eugênio Corassa: Em suma, a transferência internacional de dados nada mais é que uma transferência de dados pessoais do Brasil para um país estrangeiro ou organismo internacional. Essa operação se caracteriza, conforme exposto pela ANPD, quando um exportador transfere dados pessoais para um importador. O exportador é aquele agente localizado no Brasil que transfere os dados para o importador, localizado em território estrangeiro. Isso pode acontecer, por exemplo, quando uma filial brasileira envia um relatório contendo dados pessoais para sua matriz na Europa, ou ainda quando uma empresa brasileira compartilha dados com um prestador de serviços localizado em outro país.
– Por que a regulamentação da transferência internacional de dados é relevante?
Jenne Silva: É fundamental disciplinar a transferência de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro para estabelecer regras aplicáveis às operações, responsabilidades, deveres, direitos, bem como prever os modelos de Cláusulas-Padrão Contratuais, o fluxo de aprovação das Cláusulas Específicas e Normas Corporativas Globais, além do mecanismo da Decisão de Adequação.
O tema merece atenção e se torna necessária a devida regulamentação justamente para que haja transparência, razoabilidade e legitimidade no tratamento de dados pessoais quando ocorrer a transferência internacional.
Eugênio Corassa: É importante pensar em dados pessoais como ativos que são continuamente transferidos entre agentes de tratamento (por exemplo, empresas), o que geralmente também significa transferências entre países e continentes. É comum, por exemplo, que uma empresa brasileira utilize serviços em nuvem situados fora do Brasil. Nesse sentido, é imprescindível que as organizações tenham a segurança de executar as transferências internacionais sem infringir a LGPD.
A regulamentação é importante pois, apesar de listar diversas opções em que uma empresa pode fundamentar a transferência internacional, a LGPD deixou a cargo da ANPD definir as regras específicas para uso de cada hipótese de autorização. Com a regulamentação, as empresas terão acesso a novos mecanismos para fundamentar e garantir transferências internacionais.
A regulamentação proposta pela ANPD traz mais clareza para os critérios legais que autorizam essa transferência, além de estabelecer garantias mínimas para que esse procedimento ocorra. Uma das medidas trazidas pela regulamentação é a decisão de adequação, em que a ANPD poderá reconhecer a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais, permitindo a transferência de dados pessoais de brasileiros para um território estrangeiro sem requisitos adicionais.
A regulamentação também é uma providência que estava prevista na agenda regulatória da ANPD para o biênio 2023-2024, tendo em vista que a LGPD já estabelece a obrigação da ANPD de regulamentar lacunas referentes ao tema, como a definição de cláusulas-padrão contratuais para providenciar essa transferência.
– Quais são os principais pontos da minuta de regulamento de transferência internacional de dados?
Jenne Silva: Estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados realizadas: para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD; e nas hipóteses em que o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; ou c) normas corporativas globais.
Eugênio Corassa: Dentre os principais pontos da minuta de regulamento proposta pela ANPD, é possível destacar três quesitos principais. O primeiro é a definição do que necessariamente configura uma transferência internacional, bem como as definições dos termos vinculados a esse procedimento.
O segundo é o estabelecimento de requisitos gerais e hipóteses autorizativas referentes à transferência internacional. Nesse sentido, os agentes envolvidos na transferência deverão ser capazes de comprovar a observância às normas legais
previstas na LGPD. Também vale destacar que a transferência internacional deve estar amparada em alguma base legal prevista na LGPD e em alguma das modalidades legais, como as hipóteses previstas no artigo 33 da LGPD.
Finalmente, o terceiro quesitos é a previsão das cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas para regulamentar essa transferência. Além de apresentar um modelo de cláusulas-padrão contratuais que deve ser seguido, a ANPD também especifica como deverá ocorrer a aprovação das cláusulas contratuais específicas e das normas corporativas globais, que podem ser propostas pela própria organização ao invés da utilização das cláusulas propostas pela ANPD.
– Há ajustes que podem aprimorar a regra publicada e/ou pontos que geram preocupação? Em caso afirmativo, quais são?
Jenne Silva: O ponto de alerta é com relação à futura necessidade de atualização/revisão contratual por parte dos agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas-padrão contratuais que deverão incorporar as cláusulas aprovadas pela ANPD aos seus respectivos instrumentos contratuais no prazo de até 180 dias, contados da data de publicação desta Resolução.
A revisão dos instrumentos contratuais para garantir a devida conformidade de acordo com a futura normativa deverá fazer parte do plano de ação de conformidade dentro de um Programa de Governança de Dados para alinhamento dos aspectos operacionais e jurídicos.
Guilherme Guidi: Sem dúvida. O principal ponto de preocupação está relacionado ao prazo de adequação para os agentes que realizam transferências internacionais de dados. De acordo com o regulamento, os agentes terão até cento e oitenta dias para adequarem seus instrumentos aos padrões contratuais impostos pela LGPD. Esse prazo, no entanto, pode ser muito curto para que os agentes renegociem seus instrumentos contratuais.
Outro ponto que pode ser aprimorado é o avanço nas decisões de adequação, de forma a reduzir a burocracia das transferências internacionais. Hoje, a maior parte das empresas acaba adotando mecanismos contratuais para garantir a licitude da transferência. Mesmo a implantação de mecanismos coletivos como códigos de conduta e certificações demandariam um trabalho mais extenso da ANPD, enquanto reconhecer a adequação de jurisdições específicas que
claramente se mostram adequadas afetaria positivamente um grande número de operações com um único ato.
Finalmente, também há uma preocupação com o processo de aprovação de cláusulas-padrão específicas e normas corporativas globais propostas pelas empresas à ANPD. No caso, não há indicação de quanto tempo o procedimento pode demorar, o que pode prejudicar severamente a organização das empresas.