O item 9 da agenda regulatória bianual 2021-2022 da Autoridade Nacional de Proteção de Dados (ANPD), aprovada pela Portaria nº 11, de 27 de janeiro de 2021, trata da regulamentação da transferência internacional de dados pessoais, incluindo a avaliação de nível de proteção de dados de país estrangeiro ou de organismo internacional e a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, nos termos dos artigos 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).

O processo de regulamentação é norteado pelos fundamentos da disciplina da proteção de dados pessoais previstos no art. 2º da LGPD, bem como pelas diretrizes estabelecidas pela Portaria nº 16, de 8 de julho de 2021, que aprova o processo de regulamentação no âmbito da ANPD.

De acordo com o estabelecido no art. 14 da referida Portaria, a Análise de Impacto Regulatório (AIR) estabelece mecanismos de participação de especialistas e da sociedade por meio da tomada de subsídios, bem como coleta de dados e informações que a equipe de projeto considerar relevantes. A tomada de subsídios consiste, portanto, em importante instrumento regulatório que visa obter elementos, informações e dados relevantes para o processo de regulamentação a partir da escuta dos diferentes atores que, possivelmente, serão afetados pela publicação de ato normativo. Realizada ainda no curso da elaboração de proposta normativa, a AIR permite identificar e aprimorar os aspectos significativos à matéria em questão, delimitando os problemas a serem enfrentados e as possíveis alternativas regulatórias.

O Capítulo V da LGPD, que trata especificamente da Transferência Internacional de Dados, apresenta, em seu art. 33, as hipóteses legais que autorizam a transferência internacional de dados pessoais. Por sua vez, o art. 35 da LGPD dispõe que a ANPD definirá o conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, descritos no inciso II do caput do art. 33. Adicionalmente, o §1º do art. 35 estabelece que, para a verificação prevista no caput do art. 35, devem ser considerados os requisitos, condições e garantias mínimas para a observância dos direitos, garantias e princípios da LGPD quando da transferência de dados pessoais para outra jurisdição.

Os mecanismos de transferência internacional de dados tornaram-se instrumentos chave para o desenvolvimento da economia digital e, também, para a garantia da efetiva proteção dos dados pessoais ao cruzarem fronteiras. A implementação de várias regulações em proteção de dados ao redor do globo revela a preocupação geral com os fluxos transfronteiriços de dados. Contudo a grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos.

Nesse sentido, as cláusulas-padrão contratuais (CPC) têm sido o mecanismo de transferência internacional de dados mais utilizado mundialmente, funcionando inclusive como ferramenta de convergência entre diferentes sistemas. Isso porque esse mecanismo permite compatibilizar, via instrumento contratual, as regras de proteção de dados de diferentes jurisdições, em especial aquelas do país que exporta os dados pessoais. Ademais, as CPCs podem ser consideradas um instrumento de prateleira e de menor custo de implementação em comparação aos demais. Dessa forma, elas acabam sendo a opção para pequenas e médias empresas. 

Outras opções de mecanismos de transferência internacional de dados não conseguem atender a necessidade urgente de regularizar, de maneira ubíqua, os fluxos transfronteiriços. Por exemplo, as decisões de adequação possuem um processo relativamente moroso além de atenderem apenas às localizações geográficas analisadas na avaliação da adequação. Selos e certificados ainda não foram regulamentados pela Autoridade, dado que a definição dos padrões técnicos mínimos de segurança é tema bastante complexo e está sendo estudado pela ANPD para que sejam aplicados na regulamentação. Códigos de conduta regularmente emitidos, a seu turno, possuem um estreito espectro de utilização. Portanto, dada a urgência dos atores em verem regulamentado algum mecanismo que possibilite a transferência internacional de dados em consonância com a Lei, é natural que as cláusulas-padrão contratuais sejam o primeiro mecanismo a ser normatizado pela ANPD.

Ademais, há de se considerar que a escolha dos mecanismos que devem ser regulamentados e o momento mais oportuno para sua realização é uma decisão que possui aspectos de mérito, mas também elementos estratégicos. Se a disponibilização de instrumentos para as transferências internacionais é premente, escolher regulamentar de uma só vez todos os mecanismos previstos no art. 33 da LGPD implicaria uma maior demora em se expedir o regulamento. Por outro lado, é racional considerar em conjunto mecanismos que possuam critérios de análise essencialmente semelhantes, uma vez que essa abordagem otimiza os esforços da ANPD ao mesmo tempo em que organiza os regulamentos de acordo com uma mesma lógica.

Dessa forma, dado que há urgência em se regulamentar o tema, que iniciar pelas cláusulas-padrão contratuais é a opção que disponibiliza à sociedade o mecanismo de maior alcance, e que a regulamentação de cláusulas contratuais específicas e de normas corporativas globais segue requisitos fundamentalmente similares aos das CPCs, a ANPD optou por incluir nesse primeiro bloco de regulamentação esses três instrumentos, o que denominou de “instrumentos contratuais”.

Assim, é necessário que se discuta, neste momento, a regulamentação dos arts. 33 e 35 da lei, de forma que a proteção dos dados pessoais de titulares brasileiros não seja um impedimento à inserção do País na economia global, bem como a inovação e o desenvolvimento econômico não prejudiquem a proteção de um direito fundamental tão apreciado e em solidificação no território nacional. Da mesma forma, é relevante considerar possíveis modelos internacionais vigentes que poderão nortear a regulamentação a ser editada pela ANPD, bem como a possibilidade de se estabelecer regramento diferenciado a partir dos modelos existentes.

Nesse contexto, a ANPD considera oportuna e conveniente a realização de Tomada de Subsídios para o presente projeto de regulamentação com o objetivo de receber contribuições dos diferentes agentes econômicos, titulares de dados pessoais e dos demais afetados pelo problema regulatório relativo à transferência internacional de dados. 

Para facilitar a compreensão das perguntas, considere-se “exportador” o agente de tratamento localizado no Brasil que transferirá os dados pessoais para um importador localizado em outro país e “importador”, o agente de tratamento situado fora do território nacional que receberá esses dados do exportador.

Para tanto, as contribuições à tomada de subsídios devem ocorrer em forma de respostas às questões abaixo descritas exclusivamente por meio da Plataforma Participa + Brasil. A ANPD considera bem-vindas contribuições a quaisquer das perguntas abaixo, não sendo obrigatório a elaboração de respostas a todos os questionamentos abaixo elencados.

Caso deseje compartilhar relatórios, imagens ou outros anexos, favor enviar para o e-mail normatizacao@anpd.gov.br, durante o período em que esta Tomada de Subsídios estiver ativa. Por e-mail serão aceitos apenas anexos, com materiais complementares às respostas fornecidas. Não serão aceitas respostas às perguntas através do e-mail.

*ATENÇÃO* Cada usuário somente pode enviar contribuições uma única vez. Portanto, sugerimos que todas as respostas sejam submetidas ao mesmo tempo, pois a plataforma não permite mais de uma contribuição por usuário.