*Por: Giulio Franchi e Natássia Alencar
A Autoridade Nacional de Proteção de Dados (“ANPD”) promoverá, nos próximos dias, audiência pública para discutir o futuro do regulamento de transferências internacionais de dados pessoais.[i] Publicado no mês passado, o primeiro esboço trata de normas a serem observadas por agentes que transfiram dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro, dispondo de modelos de cláusulas contratuais que devem ser adotadas e do procedimento para decidir pela adequação de determinado país estrangeiro.
Esse debate é de bastante relevância, pois no atual modelo de economia digital, movida a dados, a transferência internacional de dados pessoais é a realidade de grande parte das empresas, que armazenam dados em data centers localizados no exterior, contratam provedores estrangeiros de serviços de nuvem e/ou de serviços de e-mail, realizam comércio internacional, dentre diversas outras atividades nas quais compartilhamento de dados para o exterior se faz necessário.
Desse modo, a audiência contará com a participação de especialistas e demais pessoas interessadas que serão afetadas pela publicação do regulamento, a fim de evitar que as normas, uma vez aprovadas, inviabilizem modelos de negócio que dependem das transferências internacionais.
O que se observa, mundialmente, é a tendência de os países com legislações de proteção de dados em vigor estabelecerem cláusulas contratuais padrão a serem seguidas pelas empresas que transferem dados para o exterior. E a experiência desses outros países revela que esse mecanismo, um dos tópicos do esboço publicado pela ANPD, tem facilitado as transferências internacionais, por compatibilizar regras de proteção de dados de diferentes nações. Além disso, a adoção das cláusulas padronizadas costuma ser menos custosa para as empresas, por dispensarem a necessidade de negociação entre as partes, representando uma boa solução para pequenas e médias empresas.
Outro mecanismo adotado por autoridades de proteção de dados países estrangeiros é a decisão de adequação dos outros países, tópico também abordado no esboço apresentado pela ANPD. Isso ocorre quando uma autoridade decide que determinado país tem nível adequado de proteção de dados, o que afastaria a necessidade de cumprimento de outros requisitos. Trata-se de um mecanismo delicado pois o tempo que uma autoridade leva para decidir pela adequação de um determinado país costuma impactar a relação comercial entre os países, razão pela qual outros mecanismos de transferência, como a adesão às cláusulas contratuais padrão, se fazem necessários.
Ainda não sabemos exatamente como será o novo regulamento, mas estaremos atentos aos debates realizados a partir da consulta na esperança de que a ANPD consiga viabilizar as transferências internacionais de maneira adequada e segura a todas as partes envolvidas.
[i] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-realizara-audiencia-publica-sobre-regulamento-de-transferencias-internacionais-de-dados-pessoais
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).