Na fábula, o carvalho gaba-se de sua robustez frente à aparente fragilidade do bambu, mas com a tempestade, o carvalho tomba e o bambu, mesmo se curvando, resiste. Esta dualidade parece estar na ordem do dia para a Autoridade Nacional de Proteção de Dados (ANPD).
No dia 30 de junho, fechou o prazo para submeter apontamentos sobre transferências internacionais de dados pessoais, o que permite a circulação das informações para além das fronteiras nacionais. A relevância dessa regulação se aplica para as mais diversas formas de tratamento em outros países, como armazenamento em um servidor na nuvem ou ainda para a realização de operações mais simples, como uma agência de viagem realizar uma reserva em um hotel em outro país. Ao que tudo indica, entre as diferentes controvérsias que a Autoridade deve enfrentar, “com urgência”, estão os denominados “instrumentos contratuais”, mais que tudo, as chamadas “cláusulas-padrão contratuais (CPCs)” que autorizam a “exportação” legal de dados pessoais para os países no geral.
A questão pode parecer mais ou menos simples. Deve existir obrigações para quem exporta e para quem importa e a ANPD deve deixar claro quais são esses parâmetros. No entanto, há uma pluralidade de modelos que podem ser seguidos. Uns mais rígidos, como o Europeu; outros mais flexíveis como o de Singapura; ou ainda híbridos como o da Nova Zelândia. As perguntas que não querem calar: qual caminho o Brasil deve seguir? Um mais ao estilo do “carvalho” ou do “bambu”? Ou uma mescla de ambos?
Os diferentes modelos trazem vantagens e desvantagens e a ANPD deverá fazer uma escolha. Mas vamos entender melhor essa questão.
O carvalho: a visão rígida
Tome-se como exemplo os imbróglios no fluxo de dados pessoais no contexto transatlântico-norte. Mesmo sendo grandes parceiros e aliados estrategicamente, como membros da Otan, da OCDE e do G7, a União Europeia e os EUA caminham neste momento para uma terceira tentativa de acordo para transferência internacional de dados, em menos de 20 anos.
O agora aspirante Trans-Atlantic Data Privacy Framework vem à tona em substituição ao anterior Privacy Shield. Este, por sua vez, procurou suprir o outrora Safe Harbor Agreement. Mas no que estes ditos “Escudo de Privacidade” e “Acordo de Porto Seguro” têm em comum? Ambos foram invalidados pela Corte de Justiça da União Europeia (CJUE), após não se mostrarem tão “protetivos” à sistemática transfronteiriça de dados pessoais, como poderia sugerir seus nomes, de modo que a “equivalência” de proteção que eles objetivavam ter, na prática, foi questionada pela Corte.
Sob os célebres casos Schrems I e Schrems II, o ativista austríaco Maximilian Schrems ajuizou as respectivas demandas que chegaram à CJUE, em que culminaram no entendimento de que faltaria legitimidade à manutenção dos sucessivos acordos. A principal motivação estaria na falta de comprovações que limitassem o acesso a dados pessoais transacionados por parte de ações governamentais estadunidenses, independentemente dos tratados internacionais, ou da existência de CPCs em contratos que visavam garantir a proteção de dados pessoais exportados da Europa para os EUA.
Para ser mais claro, o modelo europeu de transferências internacionais de dados pessoais — que serviu muito de inspiração para o Brasil, na LGPD — comporta CPCs bastante rígidas, que não podem ser ajustadas no processo negocial. Estão pré-estabelecidas pelas autoridades de proteção de dados pessoais e devem comportar as salvaguardas e garantias para que haja a proteção de dados pessoais nessas situações de fluxos internacionais de dados.
Os casos mencionados acima, particularmente o último (Schrems II), colocou em xeque esse modelo, indicando que não bastaria a implementação dessas cláusulas contratuais, mas que a pedra de toque da possibilidade de serem feitas exportações de dados seria a equivalência efetiva da proteção[1]. Como resultado, parte das autoridades de proteção de dados europeias passaram a restringir o uso de serviços norte-americanos que tinham como base inclusive o uso de CPCs. Foi o caso, exemplificativamente, da CNPD, em Portugal, que suspendeu o envio de dados para uma empresa de serviços na nuvem dos EUA, assim como a CNIL, na França, e a DSB, na Áustria, que indicaram que serviços de análise de dados dos EUA também não poderiam ser utilizados, como no caso da suspensão das atividades do Google Analytics. Isso também aumentou a pressão para um esforço de atualização das CPCs.
Os novos arranjos trouxeram de fato um pouco mais de dinamismo às diferentes modalidades de transferências internacionais de dados, levando em consideração as múltiplas formas de relações entre controladores e operadores[2]. Contudo, mostram-se somente como opções entre modelos de CPCs, mantendo ainda a rigidez do modelo. A implementação da visão europeia traz alguns custos atrelados em situações nas quais a realidade empresarial e negocial pode ser mais complexa do que a prevista nas opções pré-formatadas. Nota-se que pequenas e médias empresas parecem lidar sensivelmente mais com os custos, às vezes podendo ficar excluídas de fluxos transnacionais por não terem condições de se posicionarem em termos negociais às obrigações presentes nas cláusulas.
O bambu: a perspectiva flexível
O modelo europeu compete com outros que possuem uma abordagem diferente, voltada mais que tudo para a multiplicidade do ciclo de tratamento de dados. Esse é o caso de Singapura, por exemplo, em que há cláusulas “modelo” contratuais e cuja obrigação é manter um grupo essencial de princípios e padrões de proteção de dados.
A desvantagem da flexibilidade resta (i) na necessidade de uma maior maturidade do mercado para entender as implicações e implementar as obrigações que podem ser ajustadas de contrato para contrato e (ii) nos custos agregados no que tange à negociação dessas cláusulas. Se por um lado elas permitem um maior ajuste à realidade negocial, por outro, exigem maiores cuidados dos atores envolvidos.
O híbrido: o panorama misto
O caso do modelo adotado na Nova Zelândia parece mesclar ambos em um formato híbrido. Possui um “tronco” comum de CPCs rígidas que deve ser mantido, possuindo obrigações mínimas que devem ser seguidas. Adicionalmente, há a possibilidade de adaptar algumas das cláusulas para cobrir situações específicas de transferências internacionais em que as circunstâncias e os atores podem ser melhor definidos. Nesse sentido, a autoridade neozelandesa (OPC) oferece uma opção built to suit, em que após preencher um questionário com os aspectos particulares à realidade do agente de tratamento, oferece-se um modelo próprio, estruturado às necessidades particulares da transação[3].
O dilema da ANPD
A autoridade brasileira, então, tem em frente um dilema: assegurar mais estabilidade e clareza ab initio com CPCs mais rígidas, potencialmente estando mais de acordo a uma realidade em que a cultura de proteção de dados está em formação; ou buscar maior flexibilidade com modelos mais abertos de cláusulas em que exista um maior espaço para ajuste das obrigações dos diferentes atores aos modelos de negócio e suas posições nos ciclos transnacionais de tratamento de dados.
A pergunta está lançada: carvalho, bambu ou uma forma híbrida? Como deve a ANPD regular as cláusulas padrão de proteção de dados?
Fonte: JOTA. Leia matéria completa.
