Transferência internacional de dados entra em debate na ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) iniciou a tomada de subsídios para a elaboração do regulamento sobre transferência internacional de dados pessoais.
O objetivo é regulamentar os artigos 33 e 35 da LGPD, de forma que a proteção dos dados pessoais de titulares brasileiros não seja um impedimento à inserção do país na economia global, bem como a inovação e o desenvolvimento econômico não prejudiquem a proteção de um direito fundamental tão apreciado e em solidificação no território nacional.
As colaborações deverão ser enviadas por meio da plataforma Participa Mais Brasil, na opção Opine Aqui até o dia 17 de junho de 2022. Segundo a ANDP, os mecanismos de transferência internacional de dados tornaram-se instrumentos chave para o desenvolvimento da economia digital e, também, para a garantia da efetiva proteção dos dados pessoais ao cruzarem fronteiras.
A autoridade acredita que a tomada de subsídios contribuirá de forma relevante para a elaboração da regulamentação sobre transferências internacionais de dados pessoais, cuja minuta será objeto de consulta e audiência pública em breve. Veja os questionamentos feitos:
1) Quais os obstáculos atualmente para que as empresas transfiram dados do Brasil para outros países? E de outros países para o Brasil?
2) Qual a melhor maneira de promover convergência e interoperabilidade entre os instrumentos contratuais de transferências internacionais de dados com os de outras jurisdições? E como a ANPD pode atuar nesse sentido?
3) Quais os instrumentos mais efetivos e os mais utilizados para legitimar a transferência de dados pessoais internacionalmente por grandes e por pequenas empresas ou organizações?
4) Quais são os principais benefícios e impactos relacionados ao tema das transferências internacionais de dados pessoais e quais são as melhores alternativas para o seu endereçamento em cada um dos instrumentos contratuais de transferências de dados presentes na LGPD e na prática internacional?
5) Que critérios e/ou requisitos devem ser considerados na regulamentação de cada um dos seguintes mecanismos de transferência internacional de dados pessoais e por quê?
- cláusulas-padrão contratuais;
- cláusulas contratuais específicas; e
- normas corporativas globais.
6) Em que medida os elementos a serem considerados pela ANPD na avaliação do nível de proteção de dados de países ou organismos estrangeiros para fins de adequação (art. 34 da LGPD) devem ser também levados em conta no âmbito das regras para os instrumentos contratuais?
7) As cláusulas-padrão contratuais devem ser rígidas e com conteúdo pré-definido ou a sua regulamentação deve permitir uma determinada flexibilidade em relação ao texto das cláusulas, especificando os resultados desejados e permitindo alterações desde que não conflitem com o texto padrão disponibilizado? Anexo – Perguntas da Tomada de Subsídios (3370435) SEI 00261.000968/2021-06 / pg. 1
8) Qual seria o formato mais adequado para a ANPD disponibilizar modelos de cláusulas-padrão contratuais para transferências internacionais de dados? Há ferramentas que poderiam ser interessantes para tal? (por exemplo, árvore de decisões, formulários, checkboxes, etc)? Existem experiências sobre o tema que poderiam servir de exemplo para a ANPD?
9) É necessário ter regras diferenciadas a depender do tipo dos agentes de tratamento (módulos específicos para os casos de controladores ou operadores) como exportadores e importadores de dados nas transferências internacionais realizadas por cláusulas contratuais? Quais?
10) Há requisitos que precisam ser diferentes para Normas Corporativas Globais em relação aos usualmente exigidos para cláusulas-padrão contratuais? Quais?
11) Que critérios deveriam ser considerados na definição de grupo econômico ou empresarial que estaria habilitado para fins de aplicação das normas corporativas globais?
12) Quais informações mínimas (nível de detalhamento) sobre os dados pessoais devem ser exigidas para permitir a análise da conformidade pela ANPD das transferências internacionais de dados realizadas por instrumentos contratuais, que minimizem impactos negativos às atividades do grupo empresarial e preservem elevado grau de proteção ao titular de dados?
13) Quais os riscos e benefícios de se permitir transferências entre grupos econômicos distintos cujas normas corporativas globais tenham sido aprovadas pela ANPD?
14) Existem experiências sobre a verificação e aprovação de cláusulas contratuais específicas e de normas corporativas globais que poderiam servir de exemplo para a ANPD?
15) Quais são os direitos do titular no caso de alterações na configuração original da transferência? Em quais situações seria imprescindível a comunicação direta aos titulares ou algum tipo de intervenção destes?
16) Quais as melhores alternativas para a resolução de conflitos entre agentes de tratamento e entre estes e titulares de dados envolvendo instrumentos contratuais de transferências internacionais de dados? Acordos bilaterais, multilaterais ou a cooperação internacional entre autoridades de proteção de dados podem auxiliar na resolução de conflitos? Como?
17) Quais as melhores alternativas para promover a conformidade com a regulamentação (inclusive em relação ao importador) referente às transferências internacionais de dados?
18) Quais as melhores alternativas para resolver as questões práticas relacionadas à responsabilização dos atores que transferem dados internacionalmente, em especial nos casos em que ocorrem transferências ulteriores para outras jurisdições ou em que os dados, mesmo que na mesma jurisdição, são processados por outros agentes de tratamento distintos do importador?
19) Quais obrigações devem ser atribuídas ao importador e ao exportador em caso de acesso aos dados por determinação de autoridades públicas estrangeiras?
20) Quais os mecanismos mais adequados para fornecer aos titulares a informação clara e relevante sobre a eventual transferência de seus dados pessoais para fora do Brasil bem como para assegurar a efetiva proteção de direitos dos titulares nas transferências internacionais de dados pessoais? Como esses instrumentos devem ser implementados?
A ANPD informa que não é obrigatória a resposta a todos questionamentos na tomada de subsídios.