Opinião

Regras para transferência internacional de dados: atenção às jabuticabas

Autores

20 de abril de 2022, 13h14

A regulamentação das hipóteses para transferência internacional de dados está prevista para acontecer ainda neste primeiro semestre de 2022, conforme agenda regulatória divulgada pela ANPD (Autoridade Nacional de Proteção de Dados). Inclusive, é sabido que a autoridade, nas últimas semanas, vem se debruçando sobre o tema em suas pesquisas, reuniões e discussões. À primeira vista pode não parecer, mas este é um dos temas mais sensíveis e impactantes de toda a agenda regulatória, o que justifica que a sociedade se atente para o que vem por aí.

Em primeiro lugar, é vital que as limitações para transferência internacional de dados não impactem, de maneira irrazoável e injustificada, a economia digital globalizada, pautada na descentralização da localização da informação. O modo como a sociedade global edificou os serviços digitais em larga escala como conhecemos hoje foi pautado na possibilidade de contratação de data centers em qualquer parte do mundo, sendo que essa diversidade de opções é justamente o que viabiliza os níveis de serviço que temos hoje. Tanto é assim que, atualmente, segundo levantamento do site DataCenterMap, estima-se que existam 4.912 data centers disponíveis para locação e compartilhamento em 130 países diferentes.

Nesse ponto, vale lembrar que, além da premissa da inspiração no modelo europeu, o processo legislativo da Lei Geral de Proteção de Dados (LGPD) também contou com as contribuições apresentadas pela sociedade em audiência pública dedicada ao tema, ocorrida em 07.06.2017, ocasião em que, sobre o tema em específico, restou clara a preocupação de não se criar regras que inviabilizassem modelos de negócio de outsourcing relativos às tecnologias de armazenamento de dados (especialmente computação em nuvem). Inclusive, tal preocupação vai ao encontro do fundamento da livre-iniciativa, que, além de constitucionalmente previsto (artigo 1º, IV, da Constituição Federal), é ratificado pelo artigo 2º, VI, da LGPD.

Pois bem. Eis que é chegado o momento de a ANPD enfrentar esse (delicado) tema e editar sua regulamentação sobre as hipóteses que justificarão, do ponto de vista legal, transferências internacionais de dados, as quais podem estar presentes em situações corriqueiras no contexto empresarial, como compartilhamento de base de dados de RH entre empresas do mesmo grupo (matriz-filial), armazenamento de dados em data centers fisicamente localizados no exterior, terceirização de serviço de atendimento ao consumidor, contratação de provedor de computação em serviço de nuvem estrangeiro, contratação de provedor de e-mail estrangeiro etc. Fato é que inúmeras atividades empresariais podem envolver transferência internacional de dados e, consequentemente, atrair a necessidade de se observar um dos requisitos do regime especial trazido pelos incisos do artigo 33 da LGPD, o que reforça a importância e amplitude do tema a ser regulamentado em breve pela nossa Autoridade.

Analisando o cenário internacional, também é fato que o Brasil chegou "atrasado" ao debate, uma vez que, há décadas, já há normas de transferência internacional de dados regulamentadas e plenamente vigentes em países membros da União Europeia, onde vigora o Regulamento Geral de Proteção de Dados (RGPD ou GDPR). Diante desse cenário, não há como negar que as regras previstas no direito comunitário europeu acabaram guiando o mercado e as atividades de conformidade das empresas, que hoje, em negócios internacionais, não afastam a exigência de que sejam observados requisitos e salvaguardas decorrentes da legislação europeia.

Tomemos como exemplo um contrato envolvendo operação de tratamento de dados de caráter internacional no qual uma das partes (empresa A) é estabelecida na Espanha — e, portanto, sujeita ao GDPR — e a outra, brasileira (empresa B), estabelecida no Brasil, onde os dados recebidos de A serão armazenados. Nesse contexto, a empresa A, uma vez sujeita ao GDPR, não renunciará (nem poderia) à aplicabilidade da legislação europeia em sua relação com a empresa B, conforme artigo 28, 4, do GDPR e Guidelines nº 3/2018 do European Data Protection Board (EDPB). Ainda nessa hipótese, se B transfere dados pessoais tratados no contexto de sua relação com A a uma organização terceira (empresa C), localizada fora do território europeu ou brasileiro, A, novamente com razão, defenderá que entre B e C são aplicáveis as salvaguardas do direito europeu, enquanto B, por também estar submetida à LGPD, argumentará (com igual razão) que sua relação com C está sujeita à legislação brasileira e, consequentemente, às hipóteses regulamentadas pela ANPD para transferência internacional de dados. Armado estará, portanto, importante e desafiador conflito entre normas europeias e brasileiras.

Diante desse tipo de dilema, partindo-se do princípio de que, na prática, as regras europeias, em muitos casos, serão inafastáveis e já estarão refletidas em muito dos contratos envolvendo agentes de tratamento de dados sujeitos à LGPD, deve a regulamentação da ANPD ter como premissa a sua total compatibilidade com as salvaguardas já consagradas globalmente, especialmente com as cláusulas-tipo adotadas pela Comissão Europeia para legitimação de transferência internacional de dados. Sem prejuízo de outras opções a serem construídas, poderia a ANPD, por exemplo, editar um modelo de cláusulas-padrão para transferência internacional de dados pensado para as situações em que já exista em contrato previsão de aplicação das cláusulas-tipo da Comissão Europeia, ou seja, um rol de disposições complementares – mas não conflitantes – com as europeias.

Poderá alguém suscitar que isso representaria um prejuízo para a autonomia da Autoridade brasileira, mas, certamente, o prejuízo seria muito maior caso a regulamentação, em vez de solucionar, tornasse intransponível o conflito ora apontado. Além disso, é importante lembrar que, querendo o Brasil ser considerado futuramente um país com nível adequado para importação de dados protegidos pelo GDPR, é extremamente importante que nossas regras e salvaguardas para transferência internacional de dados sejam equivalentes às europeias, pois esse é expressamente um dos critérios que a Comissão Europeia precisa analisar ao decidir pela adequação ou não de um país terceiro, conforme redação do artigo 45, 2, "a", do GDPR.  

No mais, apreciáveis até então os esforços da ANPD para editar regulamentações que sejam aderentes às particularidades locais, sendo que, no caso da transferência internacional de dados, ao menos em relação às cláusulas-padrão previstas no artigo 33, II, "b", da LGPD, as particularidades locais (leia-se: o atraso regulatório brasileiro no tema e a consequente ampla adoção das cláusulas-tipo europeias) não deixam espaço para opções que ignorem a necessidade de total harmonização com as salvaguardas já regulamentas e adotadas no contexto do direito comunitário europeu. De outra forma, criar-se-á uma daquelas indigestas jabuticabas jurídicas, que são frutos típicos das inovações exóticas e próprias do direito brasileiro.

Autores

  • é sócio do Prado Vidigal Advogados, mestre em Direito Digital e Sociedade da Informação pela Universidade de Barcelona, especialista em Propriedade Intelectual e Novos Negócios pela Fundação Getúlio Vargas (FGV/SP) e profissional de privacidade certificado pela IAPP (CIPP/E).

    Ver todos os posts

  • é sócio do Prado Vidigal Advogados com extensão em Privacy by Design pela Ryerson University, MBA em Direito Eletrônico pela Escola Paulista de Direito (EPD), profissional de privacidade certificado pela IAPP (CIPP/E) e coautor de diversas obras sobre privacidade e proteção de dados.

    Ver todos os posts

Tags:

Encontrou um erro? Avise nossa equipe!