Prazo enxuto para adequação é desafio de normas sobre transferência internacional de dados

Prazo enxuto para adequação é desafio de normas sobre transferência internacional de dados

ANPD publicou resolução com regulamentação do tema na última semana; empresas têm 12 meses para se adequarem

A Agência Nacional de Proteção de Dados (ANPD) publicou na última sexta-feira (23/8) a resolução número 19, que regulamenta a transferência internacional de dados. O detalhamento do tema, que já aparece de forma mais geral na Lei Geral de Proteção de Dados (LGPD), era aguardado pois um grande número de empresas, mesmo as que não são multinacionais ou tem contratos no exterior, optam por serviços de hospedagem de dados em nuvem fora do país, que oferecem preços mais baixos.

A grande novidade é a determinação de um limite de 12 meses para a adequação das organizações às cláusulas-padrão aprovadas pela ANPD, contado a partir da publicação da resolução no Diário Oficial da União. “É um prazo bastante enxuto, que não dá brecha para as empresas não olharem para isso imediatamente”, diz Thaissa Garcia, sócia e head de Privacidade e Proteção de Dados do escritório Albuquerque Melo Advogados. “É importante olhar para dentro [das organizações] para entender processos, mapear fluxos e entender os passos para os próximos meses”. A partir disso, é possível inclusive que as organizações detectem vulnerabilidades em seus sistemas de proteção, e seja necessário mais tempo hábil para lidar com o problema.

Assim, as empresas devem analisar as cláusulas-padrão, que “estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados”, que devem ser adotadas integralmente e sem alterações. No entanto, a organização ainda terá de preenchê-las de acordo com suas condições específicas: se a empresa é controladora ou operadora dos dados, detalhamento de quais dados estão sendo compartilhados e de que forma se dá o tratamento deles, etc. “Também é um desafio, pois exige um nível de maturidade em relação à legislação”, diz Garcia

Caso as empresas não queiram adotar as cláusulas-padrão, poderão solicitar à ANPD permissão para usar cláusulas específicas, “em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador”. Segundo a resolução, o órgão avaliará o pedido seguindo alguns critérios, como se as cláusulas específicas oferecem nível de segurança equivalente aos das cláusulas-padrão, além dos “dos riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos […] impactos quanto ao fluxo internacional de dados, relações diplomáticas, comércio e cooperação internacional do Brasil com outros países e organismos internacionais”. 

O mecanismo de cláusulas-padrão e específica é semelhante ao adotado pela legislação da União Europeia para proteção de dados pessoais, que tem diretrizes nesse aspecto desde a década de 1990 e tem se mostrado um bom modelo para garantir relações comerciais internacionais mais fluidas, segundo Laércio Sousa, sócio da área de direito digital, de proteção de dados e propriedade intelectual do Velloza Advogados. “Sabemos das dificuldades de estrutura da ANPD, mas é um bom mecanismo para uma cultura que está em construção no Brasil”, diz. 

Além disso, a resolução prevê diretrizes para empresas entre organizações do mesmo grupo, caso de empresas multinacionais que, por exemplo, por vezes, têm setores de recursos humanos centralizados e que precisam acessar dados pessoais de funcionários em vários pontos do mundo. Nesses casos, a ANDP define padrões mínimos para essas regras, como identificação nos países envolvidos nessas transferências. Além disso, as normas globais também devem ser submetidas previamente ao órgão. 

Reconhecimento dos pares

O esperado é que as solicitações de cláusulas específicas sejam residuais, o que deve limitar a carga de trabalho da ANPD nesse sentido — e aliviar o tamanho de eventuais filas de espera para análise de pedidos. O maior desafio do órgão vai ser em outra frente, no reconhecimento de adequação das normas de outros países, aponta Douglas Leite, sócio do Bhering Advogados. “Estamos falando de uma nova espécie de processo administrativo que vai começar agora, é desafiador justamente porque é novo”, diz. 

Nele, a autoridade vai avaliar “a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais”. O órgão dará prioridade para reconhecimento do nível de proteção das informações para países que garantam tratamento recíproco ao Brasil – algo que pode não ser tão simples, uma vez que ainda não construímos reputação internacional no tema. “Mas conforme essas regulamentações são feitas, vamos suprindo essas lacunas, dão mais concretude e ajuda o Brasil a “chegar lá” a nível de reconhecimento”, diz Leite.

Próximos passos

Sancionada há seis anos e em vigor desde 2020, a Lei Geral de Proteção de Dados ainda tem pontos que aguardam regulamentação, que dependem de manifestação do Conselho Nacional de Proteção de Dados (CNPD). Há também preocupações em relação ao uso de inteligência artificial em relação à proteção de dados – as discussões do Marco Legal da IA, que está em avaliação no Senado, contam com a participação da ANPD. 

Outro ponto que passou por consulta pública para regulamentação em fevereiro deste ano é a padronização para anonimização de dados — definidos pela LGPD com uma informação que originalmente era ligado a uma pessoa, mas que passou por técnicas de desvinculação de seu dono original e que, portanto, não se aplicariam à legislação. 

Outros temas que aguardam regulamentação são o uso de dados biométricos e de saúde, e o uso de dados pessoais na segurança pública — por exemplo, para definir padrões técnicos adequados para ferramentas de reconhecimento facial em sistemas de segurança. 

Publicado por Jota