Tomada de Subsídios sobre Transferência Internacional

Órgão: Autoridade Nacional de Proteção de Dados

Status: Encerrada

Abertura: 18/05/2022

Encerramento: 30/06/2022

Contribuições Recebidas: 64

Resumo

O item 9 da agenda regulatória bianual 2021-2022 da Autoridade Nacional de Proteção de Dados (ANPD), aprovada pela Portaria nº 11, de 27 de janeiro de 2021, trata da regulamentação da transferência internacional de dados pessoais, incluindo a avaliação de nível de proteção de dados de país estrangeiro ou de organismo internacional e a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, nos termos dos artigos 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).

O processo de regulamentação é norteado pelos fundamentos da disciplina da proteção de dados pessoais previstos no art. 2º da LGPD, bem como pelas diretrizes estabelecidas pela Portaria nº 16, de 8 de julho de 2021, que aprova o processo de regulamentação no âmbito da ANPD.

De acordo com o estabelecido no art. 14 da referida Portaria, a Análise de Impacto Regulatório (AIR) estabelece mecanismos de participação de especialistas e da sociedade por meio da tomada de subsídios, bem como coleta de dados e informações que a equipe de projeto considerar relevantes. A tomada de subsídios consiste, portanto, em importante instrumento regulatório que visa obter elementos, informações e dados relevantes para o processo de regulamentação a partir da escuta dos diferentes atores que, possivelmente, serão afetados pela publicação de ato normativo. Realizada ainda no curso da elaboração de proposta normativa, a AIR permite identificar e aprimorar os aspectos significativos à matéria em questão, delimitando os problemas a serem enfrentados e as possíveis alternativas regulatórias.

O Capítulo V da LGPD, que trata especificamente da Transferência Internacional de Dados, apresenta, em seu art. 33, as hipóteses legais que autorizam a transferência internacional de dados pessoais. Por sua vez, o art. 35 da LGPD dispõe que a ANPD definirá o conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, descritos no inciso II do caput do art. 33. Adicionalmente, o §1º do art. 35 estabelece que, para a verificação prevista no caput do art. 35, devem ser considerados os requisitos, condições e garantias mínimas para a observância dos direitos, garantias e princípios da LGPD quando da transferência de dados pessoais para outra jurisdição.

Os mecanismos de transferência internacional de dados tornaram-se instrumentos chave para o desenvolvimento da economia digital e, também, para a garantia da efetiva proteção dos dados pessoais ao cruzarem fronteiras. A implementação de várias regulações em proteção de dados ao redor do globo revela a preocupação geral com os fluxos transfronteiriços de dados. Contudo a grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos.

Nesse sentido, as cláusulas-padrão contratuais (CPC) têm sido o mecanismo de transferência internacional de dados mais utilizado mundialmente, funcionando inclusive como ferramenta de convergência entre diferentes sistemas. Isso porque esse mecanismo permite compatibilizar, via instrumento contratual, as regras de proteção de dados de diferentes jurisdições, em especial aquelas do país que exporta os dados pessoais. Ademais, as CPCs podem ser consideradas um instrumento de prateleira e de menor custo de implementação em comparação aos demais. Dessa forma, elas acabam sendo a opção para pequenas e médias empresas. 

Outras opções de mecanismos de transferência internacional de dados não conseguem atender a necessidade urgente de regularizar, de maneira ubíqua, os fluxos transfronteiriços. Por exemplo, as decisões de adequação possuem um processo relativamente moroso além de atenderem apenas às localizações geográficas analisadas na avaliação da adequação. Selos e certificados ainda não foram regulamentados pela Autoridade, dado que a definição dos padrões técnicos mínimos de segurança é tema bastante complexo e está sendo estudado pela ANPD para que sejam aplicados na regulamentação. Códigos de conduta regularmente emitidos, a seu turno, possuem um estreito espectro de utilização. Portanto, dada a urgência dos atores em verem regulamentado algum mecanismo que possibilite a transferência internacional de dados em consonância com a Lei, é natural que as cláusulas-padrão contratuais sejam o primeiro mecanismo a ser normatizado pela ANPD.

Ademais, há de se considerar que a escolha dos mecanismos que devem ser regulamentados e o momento mais oportuno para sua realização é uma decisão que possui aspectos de mérito, mas também elementos estratégicos. Se a disponibilização de instrumentos para as transferências internacionais é premente, escolher regulamentar de uma só vez todos os mecanismos previstos no art. 33 da LGPD implicaria uma maior demora em se expedir o regulamento. Por outro lado, é racional considerar em conjunto mecanismos que possuam critérios de análise essencialmente semelhantes, uma vez que essa abordagem otimiza os esforços da ANPD ao mesmo tempo em que organiza os regulamentos de acordo com uma mesma lógica.

Dessa forma, dado que há urgência em se regulamentar o tema, que iniciar pelas cláusulas-padrão contratuais é a opção que disponibiliza à sociedade o mecanismo de maior alcance, e que a regulamentação de cláusulas contratuais específicas e de normas corporativas globais segue requisitos fundamentalmente similares aos das CPCs, a ANPD optou por incluir nesse primeiro bloco de regulamentação esses três instrumentos, o que denominou de “instrumentos contratuais”.

Assim, é necessário que se discuta, neste momento, a regulamentação dos arts. 33 e 35 da lei, de forma que a proteção dos dados pessoais de titulares brasileiros não seja um impedimento à inserção do País na economia global, bem como a inovação e o desenvolvimento econômico não prejudiquem a proteção de um direito fundamental tão apreciado e em solidificação no território nacional. Da mesma forma, é relevante considerar possíveis modelos internacionais vigentes que poderão nortear a regulamentação a ser editada pela ANPD, bem como a possibilidade de se estabelecer regramento diferenciado a partir dos modelos existentes.

Nesse contexto, a ANPD considera oportuna e conveniente a realização de Tomada de Subsídios para o presente projeto de regulamentação com o objetivo de receber contribuições dos diferentes agentes econômicos, titulares de dados pessoais e dos demais afetados pelo problema regulatório relativo à transferência internacional de dados. 

Para facilitar a compreensão das perguntas, considere-se “exportador” o agente de tratamento localizado no Brasil que transferirá os dados pessoais para um importador localizado em outro país e “importador”, o agente de tratamento situado fora do território nacional que receberá esses dados do exportador.

Para tanto, as contribuições à tomada de subsídios devem ocorrer em forma de respostas às questões abaixo descritas exclusivamente por meio da Plataforma Participa + Brasil. A ANPD considera bem-vindas contribuições a quaisquer das perguntas abaixo, não sendo obrigatório a elaboração de respostas a todos os questionamentos abaixo elencados.

Caso deseje compartilhar relatórios, imagens ou outros anexos, favor enviar para o e-mail normatizacao@anpd.gov.br, durante o período em que esta Tomada de Subsídios estiver ativa. Por e-mail serão aceitos apenas anexos, com materiais complementares às respostas fornecidas. Não serão aceitas respostas às perguntas através do e-mail.


*ATENÇÃO* Cada usuário somente pode enviar contribuições uma única vez. Portanto, sugerimos que todas as respostas sejam submetidas ao mesmo tempo, pois a plataforma não permite mais de uma contribuição por usuário.

Consulte o Documento

 
Nota Técnica
Nota Técnica

Proposta de realização de Tomada de Subsídios para regulamentação de transferência internacional de dados pessoais, nos termos dos arts. 33 e 35 da LGPD da Lei nº 13.709, de 14 de agosto de 2018.

Baixar em PDF - Tamanho do arquivo: 202,44 KB

 
 
Aviso de Tomada de Subsídios
Aviso de Tomada de Subsídios

Baixar em PDF - Tamanho do arquivo: 64,30 KB

 

Registre sua Opinião

1) Quais os obstáculos atualmente para que as empresas transfiram dados do Brasil para outros países? E de outros países para o Brasil?

10000 caracteres

2) Qual a melhor maneira de promover convergência e interoperabilidade entre os instrumentos contratuais de transferências internacionais de dados com os de outras jurisdições? E como a ANPD pode atuar nesse sentido?

10000 caracteres

3) Quais os instrumentos mais efetivos e os mais utilizados para legitimar a transferência de dados pessoais internacionalmente por grandes e por pequenas empresas ou organizações?

10000 caracteres

4) Quais são os principais benefícios e impactos relacionados ao tema das transferências internacionais de dados pessoais e quais são as melhores alternativas para o seu endereçamento em cada um dos instrumentos contratuais de transferências de dados presentes na LGPD e na prática internacional?

10000 caracteres

5) Que critérios e/ou requisitos devem ser considerados na regulamentação de cada um dos seguintes mecanismos de transferência internacional de dados pessoais e por quê?

a.     cláusulas-padrão contratuais;

b.     cláusulas contratuais específicas; e

c.     normas corporativas globais.

10000 caracteres

6) Em que medida os elementos a serem considerados pela ANPD na avaliação do nível de proteção de dados de países ou organismos estrangeiros para fins de adequação (art. 34 da LGPD) devem ser também levados em conta no âmbito das regras para os instrumentos contratuais?

10000 caracteres

7) As cláusulas-padrão contratuais devem ser rígidas e com conteúdo pré-definido ou a sua regulamentação deve permitir uma determinada flexibilidade em relação ao texto das cláusulas, especificando os resultados desejados e permitindo alterações desde que não conflitem com o texto padrão disponibilizado?

10000 caracteres

8) Qual seria o formato mais adequado para a ANPD disponibilizar modelos de cláusulas-padrão contratuais para transferências internacionais de dados?  Há ferramentas que poderiam ser interessantes para tal? (por exemplo, árvore de decisões, formulários, checkboxes, etc)? Existem experiências sobre o tema que poderiam servir de exemplo para a ANPD?

10000 caracteres

9) É necessário ter regras diferenciadas a depender do tipo dos agentes de tratamento (módulos específicos para os casos de controladores ou operadores) como exportadores e importadores de dados nas transferências internacionais realizadas por cláusulas contratuais? Quais?

10000 caracteres

10) Há requisitos que precisam ser diferentes para Normas Corporativas Globais em relação aos usualmente exigidos para cláusulas-padrão contratuais? Quais?

10000 caracteres

11) Que critérios deveriam ser considerados na definição de grupo econômico ou empresarial que estaria habilitado para fins de aplicação das normas corporativas globais?

10000 caracteres

12) Quais informações mínimas (nível de detalhamento) sobre os dados pessoais devem ser exigidas para permitir a análise da conformidade pela ANPD das transferências internacionais de dados realizadas por instrumentos contratuais, que minimizem impactos negativos às atividades do grupo empresarial e preservem elevado grau de proteção ao titular de dados?

10000 caracteres

13) Quais os riscos e benefícios de se permitir transferências entre grupos econômicos distintos cujas normas corporativas globais tenham sido aprovadas pela ANPD?

10000 caracteres

14) Existem experiências sobre a verificação e aprovação de cláusulas contratuais específicas e de normas corporativas globais que poderiam servir de exemplo para a ANPD?

10000 caracteres

15) Quais são os direitos do titular no caso de alterações na configuração original da transferência? Em quais situações seria imprescindível a comunicação direta aos titulares ou  algum tipo de intervenção destes?

10000 caracteres

16) Quais as melhores alternativas para a resolução de conflitos entre agentes de tratamento e entre estes e titulares de dados envolvendo instrumentos contratuais de transferências internacionais de dados? Acordos bilaterais, multilaterais ou a cooperação internacional entre autoridades de proteção de dados podem auxiliar na resolução de conflitos? Como?

10000 caracteres

17) Quais as melhores alternativas para promover a conformidade com a regulamentação (inclusive em relação ao importador) referente às transferências internacionais de dados?

10000 caracteres

18) Quais as melhores alternativas para resolver as questões práticas relacionadas à responsabilização dos atores que transferem dados internacionalmente, em especial nos casos em que ocorrem transferências ulteriores para outras jurisdições ou em que os dados, mesmo que na mesma jurisdição, são processados por outros agentes de tratamento distintos do importador?

10000 caracteres

19) Quais obrigações devem ser atribuídas ao importador e ao exportador em caso de acesso aos dados por determinação de autoridades públicas estrangeiras?

10000 caracteres

20) Quais os mecanismos mais adequados para fornecer aos titulares a informação clara e relevante sobre a eventual transferência de seus dados pessoais para fora do Brasil bem como para assegurar a efetiva proteção de direitos dos titulares nas transferências internacionais de dados pessoais? Como esses instrumentos devem ser implementados?

10000 caracteres

Envio de opiniões não permitido. Opine aqui encontra-se encerrado.