Desafios atuais para a transferência internacional de dados pessoais no Brasil

Artigo publicado pela Federasul. (21 junho de 2022)

Nem mesmo conceituar a transferência internacional de dados é uma tarefa fácil, considerando-se a falta de elementos exemplificativos na Lei Geral de Proteção de Dados (“LGPD”). Segundo o inciso XV, do artigo 5º, da LGPD, transferência internacional de dados é a “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”. Em complemento, o inciso XVI, do artigo 5º, da LGPD, dispõe que a transferência internacional implica em um uso compartilhado de dados.

Desta forma, seria possível afirmar o conceito de “transferência” está limitado ao envio de dados pessoais do Brasil para um outro um país? Ou que o simples transporte de informações via rede – tal como realizado pelos provedores de internet – configuraria transferência internacional de dados pessoais? Em verdade, não existem respostas concretas para essas questões, ao menos não por enquanto, uma vez que anda temos um caminho longo a percorrer na temática.

Um possível entendimento seria de que o mero armazenamento de dados pessoais fora do país e o acesso remoto a dados pessoais a partir do exterior se caracterizariam como uma “transferência internacional” para os fins da LGPD[1]. Por outro lado, há quem sustente ser necessário que agentes localizados em diferentes territórios compartilhem dados pessoais para a realização de atividades específicas[2]. De qualquer forma, em um mundo cada vez mais conectado, essas transferências são progressivamente mais comuns. É o caso, por exemplo, de empresas que armazenam dados em data centers localizados fisicamente em outro país; que contratam provedores de computação estrangeiros nos serviços de nuvem ou de e-mail; e até mesmo que compartilham base de dados de RH com outras empresas do mesmo grupo localizadas em diferentes territórios[3].

De tal modo, recomenda-se às empresas sediadas no Brasil que realizam tratamento de dados pessoais e os envia para o exterior, e às empresas sediada no exterior que realizam o tratamento de dados de brasileiros, atentar-se às bases legais capazes de autorizar tais transferência – as quais estão taxativamente elencadas no artigo 33, da LGPD. A primeira das hipóteses, disposta no inciso I do referido artigo, diz respeito às transferências “para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado”. É dizer: com base em critérios elencados no artigo 34, da LGPD, a Autoridade Nacional de Proteção de Dados (“ANPD”) avaliará o nível de proteção de dados do país estrangeiro ou organismo internacional. Desse modo, quando um país ou organização internacional tiver o nível de proteção de dados reconhecido como adequado pela ANPD, a transferência internacional de dados pessoais poderá ocorrer livremente.

Nos casos em que o local de destino dos dados não for considerado de nível adequado em proteção de dados pela ANPD, caberá ao controlador “oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados”, conforme o inciso II, do artigo 33, da LGPD. Tais garantias podem ser cumpridas por meio dos seguintes mecanismos: a) “cláusulas contratuais específicas para determinada transferência”; b) “cláusulas-padrão contratuais”; c) “normas corporativas globais” e d) “selos, certificados e códigos de conduta”.

Nesse sentido, segundo o artigo 35, da LGPD, “a definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta (…) será realizada pela autoridade nacional”.

Em que pese a ANPD tenha recentemente iniciado o processo de tomada de subsídios, para coleta de colaborações da sociedade[4], destaca-se, todavia, que, até o momento, os artigos referentes à transferência internacional de dados ainda pendem de regulamentação. Nesse sentido, a autoridade brasileira não poderá exigir o cumprimento pelas empresas, pois estaria impondo barreiras capazes de quebrar os próprios fundamentos LGPD, como o “desenvolvimento econômico e tecnológico e a inovação”, nos termos do inciso V, do artigo 2º[5].

Ressalta-se que, dentre os mecanismos de transferência internacional de dados a serem regulados pela ANPD, as decisões de adequação são as que menos possivelmente oneram as empresas, uma vez que reduzem de forma considerável os custos de transação e as preocupações com questões jurídicas atinentes ao compartilhamento de dados. Todavia, o Brasil sequer foi considerado um país de nível adequado em proteção de dados por outro Estado. Nesse sentido, seriam relevantes os esforços da ANPD na obtenção de uma decisão de adequação do Brasil pelas autoridades europeias.

No mais, nos casos em que o Estado não for considerado adequado, em nível de proteção de dados, pela ANPD, outra possibilidade é a utilização de cláusulas contratuais-padrão, contrato no qual constam obrigações das partes envolvidas na transferência internacional de dados, além dos direitos dos titulares dos dados a serem transferidos.[6]

No direito europeu, a Comissão Europeia disponibiliza modelos de cláusulas padrão para relações “controlador-operador” e “controlador-controlador”[7], que são usadas por 94% das empresas que transferem dados pessoais internacionalmente na União Europeia[8]. Esse mecanismo, apesar de exigir esforços dos agentes, pode fixar um nível de uniformidade de critérios demandados dos receptores internacionais de dados. Por esse motivo, as cláusulas padrão-contratuais tornam-se o mecanismo mais acessível para empresas de pequeno e médio porte, que na falta de ação por parte da ANPD, estão se socorrendo dos próprios modelos europeus.

Já as normas corporativas globais, encontram correspondência nas “Binding Corporate Rules” (“BCR”) do Direito Europeu. As BCR são pensadas para multinacionais, que enviam dados entre empresas do mesmo grupo, e devem passar por aprovação da autoridade europeia. No mais, o mecanismo de selos, certificados e códigos de conduta é bastante novo também em ambiente europeu; todavia, algumas orientações do Comitê Europeu para Proteção de Dados podem servir de modelo para o Brasil[9].

Como se vê, o desafio a ser enfrentado pela ANPD na regulação dos mecanismos de transferência internacional é grande, já que a Autoridade ainda não realizou a análise do grau de proteção adequado de leis de outros países em relação à LGPD, não disponibilizou modelo de cláusulas contratuais-padrão e tampouco validou as cláusulas contratuais específicas e as normas corporativas globais.

Portanto, a transferência internacional de dados pessoais ainda será pauta de inúmeras discussões no ambiente empresarial brasileiro. Nesse sentido, a regulação dos mecanismos de transferência internacional de dados pessoais pela ANPD – bem como de outros temas presentes na LGPD – será de suma importância para que o Brasil possa se inserir como um ator participante do fluxo internacional de dados, trazendo, assim, benefícios comerciais e econômicos para o país.

Marcela Joelsons, membro da Comissão de Proteção de Dados da FEDERASUL.

Referências

[1] LEONARDI, Marcel. Transferência internacional de dados. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfganf; RODRIGUES JR., Otavio Luiz (coord.). Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021. p. 289-298 [2] ZAPPELINI, Thaís Duarte. Guia de Proteção de Dados Pessoais: transferência internacional. São Paulo: FGV, 2020, p. 14. Disponível em: https://portal.fgv.br/sites/portal.fgv.br/files/transferencia_internacional.pdf. Acesso em: 15 jun. 2022. [3] MALDONADO, Viviane Nóbrega e OPICE BLUM, Renato (Coord.). LGPD: Lei Geral de Proteção de Dados Pessoais Comentada. 4. Ed. São Paulo: Revista dos Tribunais, 2022. e-Book. [4] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Tomada de subsídios sobre transferências internacionais de dados pessoais inicia nesta quarta-feira. 2022. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/tomada-de-subsidios-sobre-transferencias-internacionais-de-dados-pessoais-inicia-nesta-quarta-feira#:~:text=Com%20essa%20tomada%20de%20subs%C3%ADdios,transfer%C3%AAncia%20internacional%20de%20dados%20pessoais. Acesso em: 15 jun. 2022. [5] MALDONADO, Viviane Nóbrega e OPICE BLUM, Renato (Coord.). LGPD: Lei Geral de Proteção de Dados Pessoais Comentada. 4. Ed. São Paulo: Revista dos Tribunais, 2022. e-Book. [6] LEONARDI, Marcel. Transferência internacional de dados. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfganf; RODRIGUES JR., Otavio Luiz (Coord.). Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021. p. 289-298. [7] UNIÃO EUROPEIA. Comissão Europeia. Commission Implementing Decision (EU) 2021/914https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj. Acesso em: 15 jun. 2022. [8] INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS E ERNST & YOUNG. IAPP-EY Annual Privacy Governance Report 2021. [S.l]: Iapp-Ey, 2021. Disponível em: https://iapp.org/media/pdf/resource_center/IAPP_EY_Annual_Privacy_Governance_Report_2021.pdf. Acesso em: 15 jun. 2022. [9] MALDONADO, Viviane Nóbrega e OPICE BLUM, Renato (Coord.). LGPD: Lei Geral de Proteção de Dados Pessoais Comentada. 4. Ed. São Paulo: Revista dos Tribunais, 2022. e-Book.
Sou assinante
Sou assinante