Com a publicação da resolução CD/ANPD 19¹, em 23/8/24, as empresas e organizações brasileiras devem impreterivelmente iniciar seu processo de adequação das transferências internacionais ao abrigo do art. 33 da LGPD - Lei Geral de Proteção de Dados Pessoais.
Devido à ausência de qualquer decisão de adequação da ANPD que possibilite a livre transferência de dados pessoais para um outro país, a assinatura das cláusulas-padrão contratuais entre o exportador e o importador de dados torna-se, de longe, o mecanismo mais adequado para garantir a segurança jurídica às transferências internacionais de dados pessoais do setor privado.
Porém, vale lembrar que – poucas semanas após a publicação da Resolução – os desafios relacionados à tarefa começam a tomar forma.
Desafio 1: Mapeamento das transferências internacionais realizadas pelas empresas
O primeiro desafio no processo de adequação ao art. 33 da LGPD é a falta de visibilidade da maior parte das empresas brasileiras sobre quais dados são transferidos e para quais países. Assim, o passo inicial a ser tomado consiste em mapear os principais fluxos de dados da empresa para identificar transferências internacionais. Numa abordagem de risco, é recomendável priorizar fluxos que impliquem no armazenamento ou compartilhamento de dados de alto risco² ou em alta volumetria.
Algumas estratégias para obter essas informações incluem a consulta de outros setores, como SI - Segurança da Informação ou até mesmo o jurídico – caso as informações sobre transferências internacionais estejam documentadas nos contratos com fornecedores. Outra abordagem consiste em entrar em contato diretamente com os fornecedores ou parceiros por meio de uma comunicação formal questionando-os sobre o tema.
Em empresas com um setor de privacidade mais maduro, é possível que as informações sobre transferência internacional já estejam mapeadas nos registros de atividades de tratamentos de dados pessoais (Ropa) ou ainda, nas avaliações de fornecedores (nos casos de operadores que transferem dados pessoais para fora do Brasil).
No entanto, a prática revela que os registros não são totalmente confiáveis, pois na maior parte das vezes os respondentes desses questionários não têm conhecimento aprofundado sobre o assunto. Por essa razão, o cruzamento das informações com informações de outros setores e as comunicações a fornecedores devem ser considerados enquanto mecanismos de verificação das informações obtidas.
Desafio 2: Transferências internacionais de dados pessoais para os EUA - Estados Unidos
Os EUA são um destino comum para dados de empresas brasileiras devido à presença de muitas empresas de tecnologia e serviços no país.
Em termos regulatórios, os EUA não possuem uma legislação Federal única de proteção de dados equivalente à LGPD. Em vez disso, a proteção de dados é fragmentada, com leis estaduais e setoriais que podem variar significativamente³. Por essa razão, a possibilidade de uma decisão de adequação pela ANPD é pouco provável.
De fato, a conturbada experiência europeia demonstra que depender de decisões de adequação para as transferências para os EUA pode não ser a alternativa que mais garante segurança jurídica. No caso europeu, a Corte de Justiça da União Europeia já anulou duas vezes a validade dos mecanismos autorizativos de transferência internacional para os EUA, gerando um cenário de forte insegurança jurídica para empresas e organizações que dependiam desses mecanismos para transferir quantidades significativas de dados4.
Por essa razão, assinar as cláusulas-padrão contratuais para respaldar transferências de dados para os EUA é a alternativa juridicamente mais segura.
Desafio 3: Poder de barganha com outros players do mercado
Na prática, a assinatura de contratos implica naturalmente em considerar a capacidade de negociação da empresa frente aos diversos players do mercado. É comum que empresas brasileiras realizem transferências internacionais de dados pessoais por meio de grandes players como os provedores de nuvens (Microsoft, Amazon, Google etc.). Esses players também estão sujeitos à legislação brasileira e devem adequar-se à resolução. Na Europa, a Microsoft, AWS e Google oferecem a possibilidade de assinatura das Standard Contractual Clauses para transferências de dados pessoais para fora da União Europeia5. Assim, é possível que no contexto brasileiro, esses parceiros também apresentem seus próprios termos de adesão para assinatura pelas empresas.
É importante monitorar essa possibilidade dentro do prazo assinalado pela ANPD. Em termos de responsabilidade, em muitos casos essas empresas atuam como operadoras dos dados e a LGPD é clara sobre a possibilidade de responsabilização solidária do controlador em caso de descumprimento da legislação por seus operadores6.
Conclusão
Apesar de o tema ser novidade, existem diversas estratégias para lidar com os desafios relacionados à adequação das transferências internacionais de dados pessoais às exigências impostas pela LGPD.
É importante lembrar que a ANPD já aplicou sanções aos casos de descumprimento da LGPD. Após o prazo de 12 meses para assinatura das cláusulas-padrão contratuais, a legalidade das transferências internacionais de dados estarão seguramente dentro do escopo das fiscalizações da autoridade.
___________
1 https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-58009539
2 Para a definição de alto risco, podem ser utilizados os parâmetros estabelecidos no art. 5º do Regulamento de Comunicação de Incidentes RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024 – DOU – Imprensa Nacional (in.gov.br)
3 https://iapp.org/resources/global-privacy-directory/
4 Schrems I: https://curia.europa.eu/juris/liste.jsf?&num=C-362%252F14, Schrems II: https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf
5 https://learn.microsoft.com/en-us/compliance/regulatory/offering-eu-model-clauses https://policies.google.com/privacy/frameworks?hl=en-US, https://aws.amazon.com/pt/compliance/gdpr-center/
6 Art. 42 da LGPD