Jota
14/8/2022
Por – Fabricio Bertini Pasquot Polido
Em 30 de junho de 2022, a Autoridade Nacional de Proteção de Dados brasileira (ANPD) encerrou o prazo para a tomada de subsídios para regulamentação da transferência internacional de dados pessoais (TID), em linha com sua atribuição de política normativa estabelecida pela Lei Geral de Proteção de Dados (LGPD), e expectativa de que o tema possa sair do papel da atual Agenda Regulatória Bianual da Autoridade (2021-2022).
O exercício trazido pela ANPD também se encontra em sintonia com duas importantes medidas de convergência entre práticas de cooperação internacional em matéria de governança de dados. De um lado, a ANPD diretamente refere-se à análise de impacto regulatório (Decreto nº 10.441/2020), que deve servir a qualquer iniciativa e processos de elaboração e execução de políticas públicas e atividades regulatórias por parte dos entes da administração pública federal, expressando uma reação às recomendações e diretrizes da OCDE (organização em que o Brasil pretende ingressar como membro). De outro, a ANPD busca, de modo consistente, atender a uma demanda geral de regulamentação das operações envolvendo transferência internacional de dados, oferecendo previsibilidade no campo regulatório aos atores envolvidos, especialmente titulares de dados pessoais e empresas.
No caso da agenda regulatória da ANPD para regulamentação de TID, as recomendações da OCDE se aplicam diretamente. Considera-se que é papel do Estado brasileiro promover a construção de objetivos e estruturas claras para implementação de políticas na área de privacidade e proteção de dados, acessíveis a todos. Isso significa, da perspectiva da autoridade, a tarefa de garantir igualmente que benefícios econômicos, sociais e ambientais da escolha regulatória justifiquem os custos incorridos, que os efeitos distributivos sejam equitativamente considerados e os benefícios concretos sejam elevados[1].
Outro aspecto que decorre da articulação das questões propostas está a preocupação com os interesses dos titulares de dados pessoais submetidos à LGPD nas operações envolvendo transferência internacional de dados. Salvaguardas adicionais, como cláusulas-padrão contratuais (art.33, inciso II, alínea ‘b’) e as normas corporativas globais (art.33, inciso II, alínea ‘b’) são previstas com o objetivo de evitar que dados pessoais de titulares no Brasil, submetidos a certas operações de tratamento alcançando países terceiros, sofram uma espécie de rebaixamento em níveis esperados de proteção jurídica (substantiva e procedimental). Isso ocorre com leis e regulamentos em Estados em cujas jurisdições importadores de dados mantenham suas atividades operacionais, mas os padrões de observância de proteção de dados e direitos de titulares de dados sejam comparativa e qualitativamente questionáveis.
O desafio, para esse debate hoje trazido pela ANPD para o Direito brasileiro, reside em evitar qualquer forma de transplante cego, plano ou estéril de modelos jurídicos estrangeiros. Por exemplo, o desenvolvimento, a adoção e a aplicação efetiva de cláusulas-padrão contratuais e normas corporativas globais por parte de controladores e operadores de dados representarão compromissos característicos da salvaguarda, não devem ser examinados apenas sob as lentes de uma “equivalência essencial”, como decorreu da decisão da Corte de Justiça da União Europeia no caso C-311/18 (‘Schrems II’)[2], mas muito mais de “assimilação funcional” entre as salvaguardas adicionais oferecidas pelos agentes de tratamento (controladores e operadores de dados) e padrões normativos globais/ transnacionais consolidados a partir das diversas experiências dos sistemas domésticos e regionais. A experiência europeia alcançada pela Diretiva 95/46 e o Regulamento Europeu de Proteção de Dados não pode esgotar a totalidade de soluções em matéria de proteção de dados pessoais, incluindo operações envolvendo TID.
A perspectiva da “assimilação funcional”, ao revés, permite que as cláusulas padrão-contratuais ou mesmo regras corporativas vinculantes (na LGPD, “normas corporativas globais”) — como instrumentos para salvaguardas adicionais de proteção de dados em operações de TID — possam incorporar os melhores e adequados padrões de proteção de dados pessoais a partir do intercâmbio de modelos e de aprendizados recíprocos entre sistemas legais, regimes funcionais, e fontes normativas estatais e não estatais — a propósito de uma leitura teoricamente fundamentada na teoria do Direito, sociologia jurídica, Direito Internacional Privado e Direito Comparado[3].
Uma abordagem meramente “essencialista” para o equivalente de padrões de proteção em cláusulas-padrão contratuais — como dado pela decisão da Corte de Justiça da UE — poderia ser mal compreendida e transliterada em modo automático ou mecânico por autoridades nacionais de proteção de dados e tribunais ao redor do globo. Indo mais além, seria também indutora de certa “subalternidade”, justamente aquela que sistemas jurídicos inovadores — como o direito brasileiro — deveriam evitar.
Partindo-se da viva experiência de organizações internacionais relevantes (OEA, Conselho da Europa, OCDE, Uncitral, Unctad), das organizações da indústria, sociedade civil e academia, e dos experimentos diversificados de leis e regulamentos domésticos de proteção de dados qualitativamente comparáveis (e.g. Argentina, Singapura, Reino Unido, Nova Zelândia e Uruguai), observa-se que modelos baseados em cláusulas-padrão contratuais bem estruturados passam pelo reconhecimento e estabelecimento de requisitos mínimos, passíveis de uma dita “assimilação funcional” de padrões adequados e adicionais de proteção de direitos de titulares em transferências internacionais de dados.
Eles envolvem critérios como: (i) declarações e garantias sobre adequação das operações envolvendo dados (conformidade) por controladores e operadores, tal qual submetidos a transferência; (ii) transparência na descrição e consecução das finalidades do tratamento; (iii) acesso a informações sobre tratamento; (iv) mecanismos simplificados de exercício de direitos pelos titulares de dados; (v) respeito/observância das finalidades e bases legais de tratamento de dados pessoais segundo a lei aplicável por parte dos agentes de tratamento e também da autoridades regulatórias (sob pena de prolação de decisões ilegais em processos fiscalizatórios e sancionatórios); e (vi) potenciais e finalidades das operações de TID para indução de inovação tecnológica, inovação digital e facilitação do fluxo transfronteiriço de dados.
Por um princípio de “assimilação funcional”, autoridades e legisladores têm condições de conceber os requisitos mínimos para que as salvaguardas de proteção sejam adotadas e praticadas pelos agentes de tratamento como em cláusulas-padrão contratuais. Ele espelha não apenas um padrão adequado de proteção, mas um “direito aplicável mais favorável” às operações de tratamento em transferência internacional de dados, e, consequentemente, respeito aos direitos de titulares de dados pessoais. Se o exercício mais simplista por parte de uma autoridade de proteção de dados resultasse em mera transposição de modelos regulatórios para TID — o que definitivamente não parece ser o caso da ANPD — haveria pouco espaço de inovação jurídica na concepção de modelos flexíveis baseados na estrutura de cláusulas-padrão contratuais.
Modelos flexíveis para organizar o fluxo transfronteiriço de dados tendem a evitar a indesejada rigidez de um “direito formular” para se valer de maior grau de adaptabilidade. Os modelos flexíveis coexistem entre o estabelecimento de padrões ou requisitos mínimos para que agentes de tratamento de dados aperfeiçoem e apliquem suas cláusulas-padrão contratuais para TID, mantendo a possibilidade de autoridades também considerar alternativas textuais para cláusulas-padrão em casos de agentes de tratamento de pequeno e médio portes.
De todo modo, no caso da interpretação e aplicação das regras da LGPD e execução agenda da ANPD, o exercício regulatório poderá ser conduzido de modo a prestigiar os atores relevantes na disciplina de proteção de dados. A cultura de privacidade de dados não terá lugar se apenas uma visão distorcidamente privatista para direitos de titulares de dados prevalecer — como lamentavelmente tem ocorrido para discussões aparentemente técnicas e especializadas da LGPD no Brasil, “importação de cartilhas”, ou mesmo sobre a interpretação do caráter fundamental do direito à proteção de dados pessoais, conforme o art. 5º, inciso LXXIX da Constituição da República[4]. Esse dispositivo, acima de tudo, representa uma garantia de caráter constitucional e internacional (fruto dos instrumentos internacionais relevantes) contra interferência arbitrária, desproporcional e ilegal a liberdades comunicativas, direitos de privacidade e autodeterminação informativa no tráfico público-privado de dados pessoais.
Por fim, a construção de padrões de “lei aplicável mais favorável” à proteção de dados pessoais também evita a discriminação de agentes no fluxo transfronteiriço de dados e operações associadas ao comércio internacional de bens, capitais, serviços e tecnologias. Na atualidade essas operações se intensificam com a interface da proteção de dados pessoais. Essa é a razão pela qual a LGPD, para evitar a discriminação de agentes econômicos, prevê duplamente o recurso às decisões de adequação (que dependem de processos burocráticos e diplomáticos mais lentos em diferentes sistemas jurídicos domésticos) e a adoção válida e legítima de salvaguardas adicionais mediante instrumentos específicos, como as cláusulas-padrão contratuais.
Disponível em: https://www.jota.info/opiniao-e-analise/artigos/transferencia-internacional-de-dados-e-lei-aplicavel-mais-favoravel-14082022
