A Autoridade Nacional de Proteção de Dados (ANPD) publicou mês passado a consulta pública sobre a minuta de regulamento de transferências internacionais de dados pessoais. A minuta tem o objetivo de disciplinar a transferência de dados para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro.
Uma transferência internacional pode ser, por exemplo, o compartilhamento de dados entre filiais de uma mesma empresa ou entre uma empresa e um fornecedor de serviços. Isso pode incluir o armazenamento de dados em servidores localizados em outro país.
Fernando Antônio Santiago Junior, do escritório Chenut Oliveira Santiago Advogados, destaca que há diversas situações nas quais ocorre a transferência e que são praticamente invisíveis aos olhos das empresas ou organizações.
“Elas efetuam operações dessa natureza cotidianamente e não se dão conta, como a estocagem dos dados da empresa em servidores baseados fora do Brasil, ou simplesmente, o acesso ao banco de dados pessoais da empresa por alguém situado no exterior. Todas essas situações configuram transferência internacional de dados e só podem ser realizadas em conformidade com a LGPD”, explica.
Sugestão: Lei Geral de Proteção de Dados no Brasil: cinco anos de impacto e evolução
A Lei Geral de Proteção de Dados (LGPD) dispõe sobre a transferência internacional de dados a partir do artigo 33. Basicamente, a lei estabelece que a transferência internacional de dados pessoais é permitida nas seguintes situações:
- quando o país ou organismo internacional de destino oferece um nível de proteção de dados pessoais adequado ao previsto na LGPD;
- quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD; ou
- quando a transferência é necessária para cumprimento de obrigação legal, execução de política pública, execução de contrato, exercício regular de direitos em processo judicial, administrativo ou arbitral, entre outras hipóteses.
No entanto, os especialistas explicam que existe um vazio deixado pela LGPD ao não detalhar o que seria um nível adequado de proteção de dados e ao não estabelecer um mecanismo de adequação, ou seja, um processo pelo qual a ANPD possa reconhecer se o país ou organização possui esse nível de proteção.
Nas palavras de Tatiana Roxo, sócia do Barra, Barros & Roxo Advogados, “a LGPD possui diversas lacunas, uma vez que delega à ANPD a responsabilidade de definições e regulações importantes, que irão viabilizar esta transferência. Além disso, a definição de conteúdo e avaliação de todos estes mecanismos de transferência serão realizados pela Autoridade”.
Então, hoje, explica Fernando Antônio Santiago Júnior, “para o setor privado é praticamente impossível enquadrar uma transferência internacional de dados pessoais dentro de alguma hipótese autorizativa exceto aquela do consentimento do titular dos dados, que na prática é uma alternativa inviável em grande escala”.
Paulo Vinicius de Carvalho Soares, sócio do Lee, Brock, Camargo Advogados, considera motivo de insegurança jurídica essa falta de detalhamento sobre como avaliar o grau de proteção proporcionado pelo recebedor estrangeiro, além da falta de orientação em relação à necessidade de instrumentos contratuais ou auditorias para viabilizar a transferência.
Para reduzir as lacunas existentes na lei, a ANPD publicou, então, a proposta de regulamento.
“O regulamento estabelecerá as regras para a definição da adequação de países terceiros e, também, o procedimento para a adoção de mecanismos contratuais pelos agentes de tratamento no âmbito de transferências internacionais, quando aplicável. Nesse sentido, a minuta do regulamento propõe um modelo das cláusulas-padrão contratuais a serem adotadas nos contratos entre exportador e importador de dados. Ainda ficarão pendentes de regulação os selos, certificados e códigos de conduta”, explica Paulo Brancher, sócio das áreas de Propriedade Intelectual e Tecnologia do Mattos Filho.
Leia mais: Do possível conflito entre a Lei Geral de Proteção de Dados e a Lei de Acesso à Informação
Quem fica responsável pela segurança dos dados?
De qualquer maneira, sempre que ocorra a transferência internacional de dados, o principal responsável pela segurança dos dados é o controlador, que é o dono do banco de dados e quem zela por ele.
“A responsabilidade por garantir a segurança dos dados pessoais é sempre do controlador desses dados. Se ele os compartilha com um agente de tratamento baseado no exterior, a análise da responsabilidade sobre algum eventual incidente de segurança ou uso ilegal dos dados deve ser analisado caso a caso segundo os fatos, a natureza do tratamento e a qualificação jurídica do agente de tratamento. O Direito da Proteção dos Dados Pessoais é extremamente casuístico”, argumenta o sócio do Chenut Oliveira Santiago Advogados.
Paulo Vinicius de Carvalho Soares reconhece a responsabilidade primária do controlador, mas recomenda prever responsabilização solidária do recebedor estrangeiro por eventuais danos ao titular, quando comprovado que não respeitou os princípios da LGPD. “Isso traria maior segurança jurídica”, diz.
No mesmo sentido, Paulo Brancher afirma que a segurança dos dados é responsabilidade de todos os agentes de tratamento envolvidos e recomenda: “Na prática, cada agente de tratamento deverá adotar medidas adequadas e compatíveis com as atividades que realiza com o objetivo de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais envolvidos”.
Confira também: Como pequenas empresas devem registrar operações de tratamento de dados pessoais?
Harmonização de regras entre países
Algumas jurisdições como a União Europeia, Estados Unidos, Argentina, Colômbia e Japão já regulam a transferência internacional de dados.
A União Europeia tem regras sobre a transferência de dados pessoais para fora do Espaço Econômico Europeu (EEE) estabelecidas no Regulamento Geral de Proteção de Dados (GDPR). Parecida com a LGPD, a GDPR exige que a transferência de dados pessoais para fora do EEE só seja permitida se o país de destino oferecer um nível adequado de proteção de dados, se forem adotadas garantias apropriadas, como cláusulas contratuais padrão, ou se uma das exceções trazidas pela lei se aplicarem ao caso.
“O Brasil poderia se espelhar nesse modelo, buscando acordos no âmbito do Mercosul, por exemplo”, sugere o sócio do LBCA.
Para facilitar as transferências entre diversos países, seria interessante a harmonização e interoperabilidade entre as legislações. “Ao facilitar a aderência dos agentes de dados às exigências de cada país, as autoridades contribuem para o desenvolvimento da atividade empresarial de forma internacional, o que incentiva diretamente também o desenvolvimento da inovação e da economia”, afirma o sócio do Mattos Filho.
Adriane Loureiro, sócia do B/LUZ, concorda e diz que “dada a globalização e a natureza interconectada da economia digital, é importante que haja uma harmonização entre as legislações de diferentes países para facilitar o fluxo de dados entre fronteiras e, ao mesmo tempo, garantir a segurança dos dados”.
Pode te interessar: ANPD fixa nova interpretação sobre dados de crianças e adolescentes
Segundo a advogada, isso pode ser alcançado por meio de acordos internacionais, como o Privacy Shield que, apesar de invalidado pelo Tribunal de Justiça da UE, serviu como um mecanismo para facilitar a transferência de dados entre a UE e os EUA; e o EU-U.S. Data Privacy Framework, que introduziu melhorias significativas em comparação ao Privacy Shield.
Além disso, ela destaca que a existência de normas internacionais, como as estabelecidas pela Organização Internacional de Padronização (ISO), pode ajudar a harmonizar as práticas de proteção de dados em todo o mundo.
O movimento da ANPD com a minuta do regulamento vai ao encontro dessa necessidade de harmonizar as regras dos países. “A ANPD parece estar buscando aproximar as diferentes jurisdições, como, por exemplo, por meio da previsão da aprovação de cláusulas-padrão contratuais equivalentes. Sobre esse ponto, a minuta prevê a possibilidade de a ANPD decidir que cláusulas-padrão contratuais estrangeiras são compatíveis com a legislação de proteção de dados brasileira e, com isso, que podem ser utilizadas pelos agentes de tratamento sujeitos à LGPD sem a necessidade da implementação de outros mecanismos contratuais”, afirma Paulo Brancher.
Add new comment