Especialistas defendem ajustes na minuta para transferência internacional de dados
A Autoridade Nacional de Proteção de Dados (ANPD) realizou nesta terça-feira, 12, uma audiência pública para debater a norma para transferência internacional de dados pessoais. O encontro online reuniu as contribuições de 27 especialistas, que sugeriram diversas alterações na minuta elaborada pela autarquia.
A proposta da ANPD, que está sob consulta pública desde 15 de agosto, define como os controladores de dados devem oferecer e comprovar garantias de cumprimento do regime de proteção de dados previsto na Lei Geral de Proteção de Dados (LGPD), na forma de cláusulas contratuais com empresas e organismos internacionais. O texto afeta diversas aplicações tecnológicas que envolvem o armazenamento em nuvem e uso de data centers fora do país.
Entre as críticas mais mencionadas no debate promovido ao longo desta terça está o prazo para adaptação do mercado. A proposta da autoridade é de exigir as novas regras a partir de 180 dias após a publicação. Para advogados e entidades representantes de empresas, a carência deveria ser de um a dois anos.
Outra sugestão entre as mais questionadas é que a informação ao titular de dados seja mais simplificada, e que as empresas não precisem detalhar informações relacionadas ao segredo comercial.
Representando a Fecomércio de São Paulo, o consultor Rony Vainzof ressaltou que a minuta da ANPD traz pontos bem recebidos pela entidade, como a possibilidade de reconhecimento de cláusulas-padrão contratuais equivalentes elaboradas por organismos internacionais e a ausência de quaisquer deveres de auditoria, análises de impacto ou assemelhados na relação entre agentes de tratamento que realizam transferência internacionais de dados, o que diminui o custo de transação às empresas brasileiras, na visão da federação. No entanto, sugere mudanças em outros trechos.
A ANPD propõe a possibilidade das empresas solicitarem à autoridade o reconhecimento mediante a chamada “decisão de adequação”, da equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais. Para a Fecomércio, entidades de classe também deveriam ter a mesma prerrogativa.
Outro ponto questionado é o que atribui ao controlador de dados verificar se a operação de tratamento está amparada em hipótese legal e em modalidade de transferência internacional válida. “Nesse ponto, é importante deixar mais claro que transferências internacionais de dados pessoais não necessitam de hipótese legal de tratamento específico, ou seja, aquelas hipóteses legais de tratamento previstas nos artigos 7º e 11º da LGPD [dados sensíveis], pois são disciplinadas de maneira excepcional pela lei. Ou seja, se for exigir referidas hipóteses legais, faria um regime mais restritivo do que o presente”, argumenta Vaizof.
Gabriel Passos, representante da Associação Nacional de Compliance (Anaco), manifestou preocupação com a adequação das regras quando o local de armazenamento do serviço contratado não é claro.
“Muitos empresários, controladores e operadores de dados hoje contratam um backup e esse armazenamento é feito no Brasil. Mas qual a segurança que a gente tem quando esses dados estão sendo armazenados de que o backup desse sistema não está sendo feito fora do Brasil? E isso acontece. Muitas vezes, o backup fica fora do Brasil e as empresas acabam tendo uma transferência internacional sem que saibam”, disse Passos.
O especialista sugere que a ANPD estipule regras de transparência dos fornecedores para resguardar os controladores de dados. O mesmo ponto também é preocupação por parte de empresários.
Consumidor
Do ponto de vista do titular de dados, o especialista Luís Faria chamou atenção para o dispositivo o qual determina que “a transferência internacional de dados deverá se limitar ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”, proposto pela ANPD.
“A alimentação da transferência, não pode se confundir com o ‘mínimo necessário’, porque nós vemos isso muito hoje nas políticas de privacidade de plataformas. O que é o mínimo necessário? Isso gera uma ambiguidade”, afirmou o especialista.
Faria também exemplificou dilemas que já enfrenta quanto ao armazenamento de dados da Prefeitura do Rio de Janeiro, que utiliza as plataformas do Google para apresentação de dados da Lei Geral de Acesso à Informação (LAI). “Eles usam contas privadas não assinadas e de uso gratuito, quando o Google orienta que o governo utilize um serviço exclusivo para governos. Então, quem tá fazendo a custódia desses dados?”, questiona.
O Laboratório de Políticas Públicas e Internet (Lapin), representado por Luíza Moraes, recomenda que a ANPD promova orientações especificamente para pequenos agentes de tratamento quanto à descrição da transferência internacional exigida pela norma e promover conscientização geral da sociedade.