Bruno Junqueira Meirelles Marcolini (*)
Em um mundo cada vez mais globalizado, em que a troca de dados entre países é constante e necessária para o funcionamento de diversas atividades econômicas e tecnológicas, a Lei Geral de Proteção de dados (LGPD) impõe regras rigorosas para assegurar que os direitos dos titulares de dados sejam respeitados, mesmo quando essas informações atravessam fronteiras.
Sobre esse assunto, no dia 23/08/2024 a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD n. 19/2024 (“Resolução”), que estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados.
Preliminarmente, vale lembrar que a transferência internacional ocorre quando o agente, de dentro ou fora do Brasil, transmite, compartilha ou disponibiliza acesso a dados pessoais para fora do território nacional. O agente transmissor é chamado de exportador, enquanto o agente que recebe os dados é chamado de importador.
Pois bem, a transferência internacional de dados pessoais só pode ocorrer quando estiver amparada por uma base legal prevista na LGPD e por um dos seguintes mecanismos: países com proteção adequada, cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas e, finalmente, garantias de proteção e necessidades específicas.
Entre os mecanismos descritos acima, o instrumento das cláusulas-padrão contratuais já era conhecido em contextos legislativos internacionais (especialmente na Europa, sob a vigência do Regulamento Geral de Proteção de Dados). No contexto brasileiro, também é possível prever uma ampla utilização desse instrumento nos contratos.
O texto das cláusulas-padrão contratuais encontra-se no mesmo Regulamento, no Anexo II, que prevê um conjunto de 24 cláusulas formuladas pela ANPD, a serem incorporadas em contratos que envolvam a transferência internacional de dados, para assegurar que os agentes exportadores e importadores de dados pessoais mantenham um nível adequado de proteção, equivalente ao exigido pela legislação brasileira. As empresas têm o prazo de 12 meses, a partir da publicação, para ajustar seus contratos.
Ora, a utilização das cláusulas-padrão traz uma série de impactos aos contratos dos agentes. Dentre tais impactos principais, destacamos:
Alterações aos termos do contrato: além de o texto das cláusulas-padrão não poder ser alterado, a Resolução determina também que o texto original do contrato não deve contradizer o disposto nas cláusulas-padrão. Dessa forma, o agente deverá revisar e, se necessário, alterar o disposto nos contratos para garantir a conformidade da transferência internacional.
Distribuição de responsabilidades: as cláusulas definem claramente as responsabilidades das partes envolvidas no tratamento e proteção dos dados pessoais, atribuindo deveres específicos tanto para controladores quanto para operadores. Tais responsabilidades se dividem entre comprovação de adoção de medidas eficazes, deveres de transparência, atendimento aos direitos dos titulares, comunicação de incidentes de segurança, ressarcimento de danos e adequação a diversas modalidades de tratamento.
Transparência: O controlador deve fornecer ao titular, se solicitado, a íntegra das cláusulas contratuais utilizadas, observados os segredos comercial e industrial, bem como publicar no seu site, em uma página específica ou integradas à Política de Privacidade, informações claras e acessíveis sobre a transferência internacional de dados.
Risco de penalidades: o descumprimento das cláusulas-padrão pode acarretar penalidades severas, inclusive multas, além de prejudicar a reputação das empresas envolvidas.
Definição de foro e jurisdição: qualquer discordância aos termos das cláusulas-padrão deverá ser resolvida perante os tribunais competentes no Brasil.
Por conta de tais impactos, a renegociação de contratos entre agentes será necessária em muitos casos para incluir as cláusulas-padrão. Mais precisamente, as cláusulas-padrão da ANPD para transferências internacionais de dados pessoais impõem uma nova camada de complexidade aos contratos empresariais, exigindo revisões detalhadas, adaptações nas cláusulas e uma maior formalidade nas relações comerciais. No entanto, ao padronizar práticas e garantir a segurança jurídica, essas cláusulas contribuem para a criação de um ambiente mais seguro e confiável para a circulação de dados além das fronteiras nacionais, essencial em um mundo cada vez mais interconectado.
(*) Bacharel em Direito com certificação “Data Protection Officer” da FGV RIO. É advogado na Andersen Ballão Advocacia.