O Regulamento de Transferências Internacionais de Dados proposto pela ANPD

No último dia 15 de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, para consulta pública, a minuta do Regulamento de Transferências Internacionais de Dados (TIDs), o qual regulamentará especialmente o procedimento para o reconhecimento da adequação do nível de proteção de dados pessoais de país estrangeiro ou organismo internacional à Lei Geral de Proteção de Dados (LGPD) e as salvaguardas contratuais adequadas para o cumprimento da LGPD no âmbito das TIDs (tais como cláusulas-padrão e normas corporativas globais).

A abertura da consulta pública se dá no contexto da Agenda Regulatória da ANPD de 2023/2024 que definiu a regulação das TIDs como assunto prioritário para o biênio. A prioridade atribuída ao tema é natural e o Regulamento é muito esperado, principalmente diante da relevância dos fluxos internacionais para o desenvolvimento econômico e de negócios, no contexto da sociedade da informação.

Ainda que o Regulamento de TIDs esteja sujeito a modificações, é certo que a sua propositura se configura como um marco na trajetória brasileira de proteção aos dados pessoais. Isso se reflete inclusive na abordagem que vem sendo adotada pela ANPD de alinhar-se ao panorama global de transferências internacionais de dados.

Nesse sentido, apesar de a LGPD possuir raízes fortemente inspiradas no direito europeu, mais especificamente no Regulamento Geral sobre a Proteção de Dados (RGPD), a ANPD tem mostrado, desde o processo de tomada de subsídios, uma considerável atenção ao desafio de implementar mecanismos de transferência que promovam a harmonização com os variados sistemas de proteção de dados existentes ao redor do mundo.

O reconhecimento da sensibilidade do tema pela ANPD fica claro no Relatório de Análise de Impacto Regulatório sobre Construção para o Modelo Regulatório para TIDs, que foi conduzido antes da consulta pública sobre o Regulamento, no qual a Autoridade conclui que “[…] a implementação de várias regulações em proteção de dados ao redor do globo e a grande diversidade dos modelos adotados para os fluxos transfronteiriços de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam possibilitados.”

A presença da ANPD em eventos internacionais dedicados à promoção dos fluxos transfronteiriços também sinaliza seu empenho em buscar caminhos de convergência. Essa intenção pode ser evidenciada com a participação da ANPD no Fórum Global do Cross Border Privacy Rules (CBPR), que ocorreu em Londres, no ano de 2023. O CBPR constitui uma estrutura de certificação global e seu foco recai sobre a comprovação de atendimento das exigências de responsabilização (accountability) relacionadas à proteção de dados e à privacidade.

Ao examinar a proposta do Regulamento de TIDs, percebe-se que a ANPD não se limitou a replicar o modelo adotado pela União Europeia. Em vez disso, a Autoridade está inclinada a estabelecer regras que levam em consideração padrões internacionais e impactos reais dos mecanismos de transferência previstos na LGPD, o que poderá garantir uma maior interoperabilidade com as várias regulações de proteção de dados e ampliar a capacidade de diálogo do Brasil com outras jurisdições.

Um exemplo dessa perspectiva é a ênfase atribuída às medidas de responsabilização e prestação de contas nas transferências internacionais por meio das quais os agentes de tratamento deverão comprovar as garantias de cumprimento dos princípios de proteção de dados, dos direitos do titular e do regime previsto na LGPD (Artigo 2º, inciso III).

Ao invés de se concentrar exclusivamente em uma abordagem geográfica, que pretende proteger os dados contra os ricos que o país destinatário pode apresentar, as medidas de responsabilização e prestação estão voltadas para a cultura de governança de dados dos agentes de tratamento responsáveis pela transferência, reconhecendo a importância das práticas internas para garantir transferências seguras.[1]

Além disso, a minuta do Regulamento de TIDs apresentou critérios para a ANPD avaliar o nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional mediante uma decisão de adequação, que requerem não apenas um exercício jurídico, mas também um balanço cuidadoso de questões práticas, estratégicas e diplomáticas.

Nesse sentido, a minuta do Regulamento de TIDs estabelece que devem ser considerados os riscos e os benefícios proporcionados pela decisão de adequação, como a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, das relações diplomáticas e da cooperação internacional do Brasil com outros países (Artigo 12).

Ainda, a minuta do Regulamento de TIDs determina que a ANPD deve priorizar a avaliação do nível de proteção de dados de países estrangeiros que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países (Artigo 12, parágrafo único).

Por fim, cabe destacar a iniciativa da minuta do Regulamento de TIDS de possibilitar o reconhecimento de equivalência de cláusulas contratuais padrão para transferências internacionais oriundas de outros países (Artigos 17 a 19). A previsão desse procedimento tende a promover a aproximação entre as diferentes jurisdições que se baseiem em modelos de proteção de dados alinhados ao do Brasil, ao mesmo tempo que desonera dos agentes de tratamento que, em determinados casos, não precisarão adotar dois conjuntos de cláusulas para uma mesma transferência de dados.

A decisão sobre a proposta de equivalência deve avaliar se as cláusulas-padrão contratuais estrangeiras são compatíveis com a legislação de proteção de dados brasileira, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais. Similar à decisão de adequação já mencionada, a ANPD também deverá realizar uma análise multifacetada que considerará os riscos, impactos e os benefícios proporcionados pela aprovação, as relações diplomáticas e os esforços de cooperação internacional do Brasil com outros países, priorizando as cláusulas que possam ser utilizadas em escala (Artigo 18).

Não obstante os aspectos positivos destacados, é importante mencionar que o texto proposto ainda possui espaço para melhorias. A título exemplificativo, a minuta do Regulamento carece de orientações mais específicas para aqueles agentes de tratamento que atualmente transfiram dados pessoais com base em outros instrumentos contratuais. O parágrafo único do Artigo 2º da Resolução que aprova o Regulamento prevê que os agentes de tratamento que já transferem dados internacionalmente com base em cláusulas-contratuais terão 180 dias para incorporar o modelo de cláusulas-contratuais proposto. No entanto, essa sugestão parece um pouco simplista e ignora as complexidades negociais naturais dos arranjos contratuais nos quais as cláusulas-padrão estão inseridas.

Sob a perspectiva prática, é válido destacar a dificuldade operacional com a qual a atuação da ANPD na fiscalização do Regulamento poderá se confrontar uma vez que o texto for aprovado, tendo em vista que a Autoridade ainda se encontra em processo de estruturação. A sistemática proposta demandará uma atuação constante da ANPD, seja para aprovar cláusulas específicas e equivalentes, assim como as normas corporativas globais, seja para fiscalizar a implementação das cláusulas-padrão pelos agentes de tratamento. A falta de robustez estrutural da ANPD para atuar nos níveis em que será demanda pelo futuro Regulamento poderá contribuir para que haja atraso na eficácia almejada, o que foi reconhecido pela própria Autoridade no Relatório de Análise de Impacto Regulatório antes mencionado.

Ainda que não sem críticas à sistemática de transferência de dados prevista pela LGPD (comum a leis de tantas outras jurisdições) e tendo em mente a possibilidade de melhorias na minuta do Regulamento e os desafios que sua adoção representará, os elementos identificados acima demonstram que a proposta regulatória das TIDs pela ANPD busca encontrar um horizonte equilibrado entre a proteção de dados no Brasil, as melhores práticas internacionais e a liberdade dos fluxos de dados de forma confiável.

[1] KUNER, Christopher. Regulation of transborder data flows under data protection and privacy law: past, present, and future. TILT Law & Technology Working Paper, n. 16, 2010. Disponível: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1689483.