Norma da ANPD dá previsibilidade à remessa de dados ao exterior
O Regulamento de Transferência Internacional de Dados editado pela ANPD, e que diz como as empresas devem se adequar ao envio de informações pessoais ao exterior, dominou as discussões entre os advogados especializados em direito digital na sexta-feira, 23, e ainda é alvo de análises e interpretações. O TS ouviu alguns deles para compreender melhor quais os pontos considerados mais importantes no texto.
Marcus Valverde, managing partner do Marcus Valverde Sociedade de Advogados (MVSA), considera a publicação um marco para a proteção de dados no Brasil. A seu ver, a ANPD acertou ao prever a possibilidade de aprovação de cláusulas específicas em contratos que apenas as cláusulas padrão não sejam suficientes.
“Essa opção visa assegurar que as atividades empresariais não sejam inviabilizadas pelas exigências contratuais, ao mesmo tempo em que garante que os dados pessoais continuem protegidos. Além disso, a Resolução prevê a possibilidade de aprovação de normas corporativas globais, aplicáveis a transferências de dados entre empresas de um mesmo grupo, o que traz maior agilidade e alinhamento com as operações internacionais das empresas”, diz.
Gabriel Cosme de Azevedo, sócio na área de Direito Digital do escritório Bento Muniz Advocacia, ressalta que o texto implica obrigações para o setor privado, de qualquer porte, e também a órgãos públicos. E aponta para a mão dupla do fluxo dos dados.
“Todos os controladores estarão sujeitos a regulamentação sempre que se caracterizar a transferência internacional de dados de indivíduos localizados no Brasil, ou no caso de dados provenientes do exterior que forem tratados no Brasil“, comenta.
A seu ver, a grande novidade é o tratamento dado a cláusulas específicas e de normas corporativas. “Os controladores poderão solicitar à ANPD a aprovação dessas cláusulas. Mas trata-se de uma possibilidade, não necessariamente uma obrigação”, interpreta.
Ellen Carolina Silva, Sócia do Luchesi Advogados, lembra que a ANPD ainda vai divulgar uma relação de jurisdições com legislação compatível com a regra publicada na sexta, 23. E que tal lista vai dizer como as multinacionais deverão se comportar em relação às normas corporativas globais.
“Multinacional com transferência internacional de dados de funcionários à matriz só terá de pedir aprovação das normas corporativas de tratamento de dados se o país de destino não tiver proteção adequada aos dados pessoais. Se for para a Europa, que provavelmente estará na lista de regiões ou países com legislação adequada, aí não precisará. Mas se o país não estiver na lista, aí sim, a empresa vai ter que submeter as normas corporativas globais para tratamento de dados pessoais, tanto de funcionários, como qualquer outro tipo”.
Prazo
O texto da ANPD entra em vigor em um ano. Para Gabriel Azevedo, empresas que já estavam adequadas à LGPD terão facilidade para se adaptar. As outras, precisam correr.
“Controladores que já possuem medidas de governança e de compliance em vigor vão precisa apenas de uma adequação ao novo cenário. Agentes que não possuem tais mecanismos ou que necessitarem solicitar à ANPD a aprovação de cláusulas contratuais específicas, a depender da abrangência do tratamento, da necessidade de locomoção de pessoal e de adequação a outras normas internacionais, é recomendável que ajam com a máxima antecedência possível”, observa.
Ellen Carolina Silva também diz que as empresas, de qualquer tamanho, que remetem dados ao exterior precisam correr para se adequar caso não tenham ainda nenhum processo instalado para gestão dos dados pessoais.
Oportunidades
Para Luiza Sato, sócia na área de Cybersecurity & Data Privacy de TozziniFreire Advogados, a nova regra da ANPD insere o Brasil entre aqueles com um fluxo de dados seguro e protegido, resultando em um ambiente de negócios mais estável e previsível.
“Normas claras e consistentes ajudam as empresas a operar de forma mais eficiente e a assegurar conformidade com as leis de proteção de dados. Uma regulação eficaz aumenta as chances de o Brasil obter uma decisão de adequação da União Europeia, facilitando a transferência segura de dados pessoais entre o Brasil e os países da UE”, comenta.
A especialista finaliza: “Em um cenário globalizado, onde informações transitam facilmente entre países, garantir que essas transferências respeitem padrões rigorosos de proteção de dados é essencial para evitar o uso inadequado de informações pessoais e mitigar o risco de exposição a jurisdições com normas menos rigorosas”.