ANPD intensifica regulamentação de proteção de dados

Transferências internacionais de dados

A Autoridade Nacional de Proteção de Dados (ANPD), em 15 de agosto de 2023, abriu uma consulta pública para receber contribuições sobre a minuta do Regulamento de Transferências Internacionais e do modelo de Cláusulas-Padrão Contratuais. As contribuições à consulta pública podem ser submetidas à ANPD até 14 de setembro de 2023.

A ANPD já havia aberto consulta pública sobre as transferências internacionais em maio de 2022, quando publicou uma lista de perguntas para guiar as contribuições que iriam subsidiar a elaboração do regulamento.

Para a presente consulta, a ANPD disponibilizou a minuta do regulamento, que irá estabelecer não apenas as principais regras para a transferência internacional de dados sob a legislação brasileira, mas também as cláusulas-padrão contratuais a serem adotadas nos contratos entre exportador e importador dos dados e requisitos a serem observados em outras situações envolvendo transferências internacionais de dados.

A proposta aborda os seguintes aspectos-chave:

• Definições de termos específicos aplicáveis às transferências de dados, como exportador, importador, transferência, coleta internacional de dados e grupo ou conglomerado de empresas;
• Diretrizes e requisitos gerais para as transferências internacionais de dados, incluindo as obrigações aplicáveis a controladores e operadores;
• Definição e limitação das situações nas quais a transferência de dados ocorrerá. A proposta define, explicitamente, que a coleta internacional de dados não constitui transferência internacional de dados;
• Relação entre as bases legais previstas nos artigos 7° e 11 da Lei Geral de Proteção de Dados (LGPD) e os mecanismos de transferências internacionais;
• Critérios a serem considerados pela ANPD nas decisões de adequação relacionadas a outros países, bem como os procedimentos para a publicação da decisão de adequação.

A proposta também dispõe sobre a regulação dos mecanismos contratuais que podem ser adotados como salvaguardas adicionais para as transferências internacionais, incluindo:

• Cláusulas-padrão contratuais: a ANPD fornece modelos de cláusulas-padrão contratuais no Anexo II da proposta. Além disso, a minuta:
  • Define que essas cláusulas devem ser integralmente adotadas para serem válidas, sem alterações no seu texto;
  • Estabelece a obrigação de disponibilização do instrumento contratual aos titulares de dados, mediante solicitação;
  • Dispõe sobre os meios de implementação das referidas cláusulas (a título de exemplo, como parte de um contrato específico para reger a transferência internacional de dados) e de disponibilização (por exemplo, na página na internet do agente de tratamento).
• Cláusulas-padrão contratuais equivalentes: segundo a minuta, a ANPD pode aprovar a adoção de cláusulas equivalentes àquelas do Anexo II, por meio de procedimento específico. O procedimento pode ser instaurado de ofício ou a requerimento dos interessados;
• Cláusulas contratuais específicas: o controlador pode solicitar a aprovação de cláusulas à ANPD para transferências que não possam ser realizadas com base nas cláusulas-padrão contratuais, em razão da singularidade da transferência e de circunstâncias excepcionais comprovadas pelo controlador;
• Normas corporativas globais: a ANPD pode aprovar as regras para a transferência internacional entre organizações do mesmo grupo econômico. A proposta também menciona o conteúdo mínimo das normas corporativas globais. O procedimento para a aprovação das cláusulas contratuais específicas e para as normas corporativas globais seria similar.

Legítimo interesse

Na sequência da abertura da consulta pública sobre transferências internacionais de dados, a ANPD abriu uma segunda consulta, em 16 de agosto de 2023, dessa vez em relação ao estudo preliminar sobre a base legal do legítimo interesse. As contribuições para essa consulta podem ser submetidas à ANPD até 15 de setembro de 2023.

A base legal do legítimo interesse autoriza o tratamento de dados pessoais (não sensíveis) quando a atividade for necessária para atender a interesses legítimos do controlador ou de terceiros, desde que tais interesses e finalidades não violem os direitos e liberdades fundamentais dos titulares dos dados.

Diante de sua natureza subjetiva, o uso dessa base legal pelos agentes de tratamento costuma gerar dúvidas e incertezas. Diante disso, o estudo visa a detalhar e esclarecer importantes aspectos relacionados ao legítimo interesse do controlador e de terceiros. O documento apresenta exemplos práticos de aplicação da base legal e introduz um modelo de teste de balanceamento (correspondente ao legitimate interest assessment – LIA), para que os agentes de tratamento para avaliem a adequação e os riscos relacionados à base legal em face das suas atividades de tratamento.

Com as contribuições recebidas pela ANPD, o estudo preliminar irá subsidiar futuras orientações sobre a hipótese legal em questão. A ideia é que as orientações estejam em harmonia com a expertise técnica da autoridade e a experiência prática dos agentes de tratamento sobre o tema, fornecendo, a estes últimos, maior segurança jurídica no tratamento de dados segundo seus interesses legítimos.

A tradução não oficial da proposta, que foi elaborada pelo Mattos Filho e inclui o Anexo II da minuta (cláusulas-padrão contratuais) está disponível neste link.

Para mais informações sobre as atividades da ANPD e outros aspectos da proteção de dados, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.