Setor privado deve ficar atento aos movimentos da ANPD sobre a transferência internacional de dados

A pauta sobre a transferência internacional de dados é uma das mais abordadas quando falamos em proteção de dados pessoais. A Autoridade Nacional de Proteção de Dados (ANPD) já enfatizou sua prioridade para este ano: regulamentar hipóteses legais para que dados pessoais possam ser transferidos a organizações estabelecidas em outros países.

Esse é considerado um dos tópicos mais desafiadores da agenda da ANPD, sendo que, a maior parte do desafio vem do fato de que o desenvolvimento econômico e a promoção da inovação dependem da circulação de dados a nível mundial.

Na rotina de diferentes organizações, sobretudo as multinacionais, as transferências internacionais de dados ocorrem a todo momento. Essa realidade atrai impacto significativo do tema às empresas do setor privado com as atividades internacionais.

À exemplo, o envio da base de dados de colaboradores para a matriz sediada em outro país, o armazenamento de dados via contratação de terceiros cujos servidores estão localizados no exterior e mesmo outras atividades rotineiras que envolvam interações com organizações localizadas em outros países podem configurar transferências internacionais de dados reguladas pela Lei Geral de Proteção de Dados (LGPD).

Diante desse cenário, a LGPD determina algumas condições para que dada transferência internacional de dados seja caracterizada como lícita, as quais estão em processo de regulamentação pela ANPD. Resumidamente, as hipóteses autorizadas de maior aplicação no contexto das atividades empresariais passam pela necessidade de que tal transferência:

  • (i) aconteça para organização localizada em país de nível de proteção de dados adequado, segundo a ANPD; ou
  • (ii) seja apoiada em algum dos instrumentos contratuais previstos na LGPD e regulados pela ANPD, como cláusulas-padrão contratuais firmadas entre as empresas envolvidas, normas corporativas globais aprovadas pela autoridade ou cláusulas específicas também por ela avalizadas.

Vale lembrar que as normas para a transferência internacional de dados foram fortemente inspiradas nas regras previstas na legislação europeia, mais especificamente no Regulamento Geral de Proteção de Dados (RGPD ou GDPR), assim como todo o modelo brasileiro de proteção de dados foi elaborado de maneira muito semelhante ao europeu.

No entanto, é de se preocupar que seja adotado no Brasil, interpretações, regras e posições que divergem daquelas europeias e aumentemos o ônus de se fazer negócios em nosso país. Para exemplificar: se no cenário europeu já está definido que não caracteriza transferência internacional de dados a coleta direta de dados de pessoa localizada no Brasil por sua organização situada no exterior, por aqui tampouco deveria haver espaço para se construir interpretação diversa.

Uma outra preocupação para o setor privado é a estratégia de priorização regulatória adotada pela ANPD sobre o assunto. De acordo com a nota técnica (20/2022/CGN/ANPD), o entendimento da Autoridade é de que o melhor caminho é deixar de disciplinar, neste momento, regras e procedimentos para que um país seja considerado de nível adequado ao Brasil em proteção de dados para focar na regulamentação de instrumentos contratuais e modelos de cláusulas que, ainda segundo a ANPD, serão as ferramentas mais utilizadas pelas organizações para adequarem seus fluxos internacionais de dados.

Quando imposto às empresas que se mobilizem para a adequação de seus contratos em todo e qualquer caso, ou seja, enfrentar complexas questões, inclusive relacionadas a conflitos entre jurisdições, surge uma preocupação sobre o posicionamento da ANPD. Mesmo nas transferências de dados a países submetidos à legislação europeia, os quais são esperados que obtenham reconhecimento do nível de adequação, num futuro próximo, já que o modelo nacional de proteção de dados foi inspirado (quando não copiado) no modelo europeu.

As cláusulas-padrão para transferências internacionais a serem criadas pela ANPD devem receber atenção. Isso porque o Brasil está atrasado sobre a regulamentação do tema, sendo que já existem cláusulas-padrão contratuais amplamente propagadas e usadas no âmbito internacional (em especial, as cláusulas-padrão estipuladas pela Comissão Europeia), as quais não podem ser atropeladas pelas futuras cláusulas brasileiras sob pena de a regulamentação nacional fazer surgir conflito intransponível entre disposições contratuais e consequente ineficácia do instrumento criado.

Por fim, não faltam motivos para que o setor privado esteja atento aos movimentos regulatórios da ANPD quanto ao tema, inclusive participando ativamente das futuras consultas públicas oportunizadas pela autoridade.

Espera-se que o alerta incentive a criação de uma regulamentação equilibrada, sem dar espaço para impropriedades que, no tema da internacionalização dos fluxos de dados, têm o potencial de deixar o Brasil fora do mapa.

 

  • Fonte: LGPDBrasil.com.br
  • Imagem: Freepik
  • 19 de agosto de 2022