A transferência internacional de dados e a ANPD

A transferência internacional de dados e a ANPD

Segundo Nádia Cunha, a ANPD não poderia ter regulamentado a pré-aprovação para transferência internacional de dados, fora da finalidade para a qual eles foram coletados, sem o consentimento dos titulares.

Por Jorge Priori

Conversamos com Nádia Cunha, advogada e coordenadora da área de proteção de dados do escritório Jorge Advogados, sobre a Resolução CD/ANPD (Conselho Diretor/Autoridade Nacional de Proteção de Dados) 19, de 23 de agosto de 2024, que aprovou o Regulamento de transferência internacional de dados e o conteúdo das cláusulas-padrão contratuais que deveriam estabelecer garantias mínimas e condições válidas para a realização dessas transferências.

Do que trata o Regulamento feito pela Resolução CD/ANPD 19?

O Regulamento veio com o objetivo de estabelecer as regras para a transferência internacional de dados. A LGPD (Lei Geral de Proteção de Dados) já prevê, no seu Artigo 33, a possibilidade e as orientações iniciais para esse tipo de transferência, mas o Regulamento tinha como objetivo trazer regras de forma mais clara e específica sobre como devem ser feitas essas transferências. Na minha visão, ele não atingiu esse objetivo, pois acabou repetindo muitos aspectos já previstos na lei e trouxe conceitos que, futuramente, podem colidir com os conceitos de outros regulamentos que estão por vir.

O que é uma transferência internacional de dados?

O Regulamento conceitua a transferência como uma operação de tratamento por meio da qual uma empresa transfere, transmite ou compartilha dados desde o Brasil para um agente fora do país. Exemplo: uma empresa que não é brasileira, mas que atua no país e que faz tratamento de dados em servidores que estão localizados no exterior.

Este Regulamento é tanto para empresas cuja atividade principal é o tratamento de dados, como para empresas que não têm isso como atividade principal, mas que tratam muito dados através dos seus RHs (Recursos Humanos), parceiros ou colaboradores pessoas físicas, e que possuem uma controladora no exterior. Isso é muito comum em grupos empresariais, tanto que o próprio Regulamento traz esse conceito de grupo ou conglomerado de empresas. Como as controladoras estão no exterior, essas empresas, localizadas no Brasil, precisam transferir esses dados para o exterior por meio de relatórios ou de bases de dados para fins de direção, demonstração e prestação de contas.

Uma transferência internacional de dados pode virar comercialização de dados?

Nós temos que desmistificar um pouco a questão da comercialização de dados. A LGPD visa diminuir essa comercialização, mas ela não impede que haja comercialização. Nós temos a comercialização feita por grandes empresas, como Serasa e Boa Vista, em que alguém paga para ter um dado, mas existem empresas que comercializam de outras formas, como parcerias mediante um benefício que não seja receber, efetivamente, pelo compartilhamento dos dados.

Por exemplo, empresas que possuem muitos funcionários têm uma base de dados muito rica, inclusive com os dados financeiros desses funcionários. Essa empresa não vende essa base de dados, mas faz parcerias com bancos e empresas de benefícios para compartilhá-la, recebendo por essas parceiras. Em um termo mais amplo, a comercialização existe nesse tipo de caso. Ela não é proibida, mas é preciso que se siga os trâmites legais, o que leva à questão da transferência internacional.

Uma vez que essa transferência foi regulamentada, seja por meio de pagamento efetivo, seja por meio de concessões entre parceiros comerciais, abre-se um caminho para que quem faz esse tipo de tratamento consiga fazê-lo de uma forma mais adequada.

Quando uma empresa como a Meta (Facebook, Instagram e Whatsapp), X, Google (Youtube) e Microsoft (Linkedin) levam para fora os dados dos seus usuários localizados no Brasil para explorá-los e vender propaganda direcionada a esses usuários, isso tem algum respaldo da lei brasileira?

Aqui nós entramos em uma questão um pouco mais sensível, pois a LGPD e o próprio Regulamento reforçam que não se pode transferir dados para países que não tenham o mesmo nível de tratamento do Brasil. Isso nos faz entrar em uma grande questão, pois os Estados Unidos não possuem essa regulamentação. Lá, existem estados que são regulamentados, como, por exemplo, a Califórnia, mas o país como um todo não é, o que faz com que ele, em tese, não entre nessa lista.

Indo a ferro e fogo, se a ANPD quisesse barrar qualquer coisa nesse sentido, ela conseguiria, principalmente em relação à Meta, que havia sido suspensa no âmbito da sua política para tratamento de dados para treinamento da sua Inteligência Artificial.

Contudo, na semana em que o Regulamento foi publicado, nós tivemos a decisão de que a Meta poderia voltar a fazer esse tratamento, o que é um contrassenso, pois a ANPD deu essa permissão mesmo sabendo que isso é feito nos Estados Unidos. Indo além, nessa decisão a ANPD violou um dos princípios básicos da proteção de dados, que é a questão do consentimento do titular para o tratamento dos seus dados fora da finalidade para a qual eles foram coletados.

Isso porque a ANPD permitiu que já esteja, digamos assim, pré-aprovado o tratamento dos dados dos titulares, cabendo a eles informarem que não querem que os seus dados sejam utilizados para aquela finalidade específica. A Meta havia sido suspensa no âmbito da sua política para tratamento de dados para a sua Inteligência Artificial, pois esse não era o motivo pelo qual os usuários colocavam seus dados nas plataformas da empresa. Esses usuários teriam que autorizar,  claramente, a transferência e o tratamento dos seus dados pela Meta, mas a ANPD, em um total desrespeito, permitiu que a empresa já deixasse isso autorizado na sua política.

Nós estamos diante de uma situação muito perigosa, em desrespeito tanto ao Regulamento quanto à própria LGPD, já que um dos princípios básicos da proteção de dados foi quebrado, o que gerou uma insegurança jurídica muito grande.

O Regulamento trata das cláusulas contratuais que farão a regulação entre a plataforma que trata e transfere os dados e os detentores desses dados. O problema é que essas cláusulas serão impostas, e não discutidas, ou seja, se a pessoa quiser utilizar um determinado serviço, ela será obrigada a aceitá-las. Como você avalia essa situação?

Nós estamos diante de outra situação muito sensível, que são as políticas por adesão. Aqui cabe um pouco da crítica que fiz na resposta anterior. Para a finalidade do serviço, eu não tenho muito como fugir disso. Se eu quero utilizar um serviço, eu tenho que aceitar a forma como os meus dados serão tratados, pois essas são as condições, mas tudo o que foge a isso, eu entendo como uma violação da LGPD passível de denúncia junto à ANPD e de investigação por parte do órgão, como foi no caso da Meta, quando a ANPD ficou sabendo da política de privacidade e fez uma fiscalização.

O problema é que agora nós caímos na questão de não confiar na avaliação da própria ANPD. Se um titular de dados se sente lesionado por ter que aceitar a política como um todo, que não está de acordo com a LGPD, e faz uma denúncia, que seria o caminho para uma fiscalização e para que essa situação pudesse ser alterada, agora não há mais segurança para pedir socorro ao órgão fiscalizatório.

Como nós estamos, realmente, em um beco sem saída, isso me preocupa muito, pois o titular dos dados, muitas vezes o consumidor, vai ter que aceitar condições que fazem com que a situação fuja do que a lei fala, ou seja, que tem que haver um consentimento claro e inequívoco do titular, para cair nas mãos dessas grandes empresas que tratam os dados.

https://monitormercantil.com.br/a-transferencia-internacional-de-dados-e-a-anpd/