Os mecanismos de transferência internacional de dados desempenham um papel central ao assegurar o fluxo de dados eficiente entre diferentes países. Dentre as possibilidades que legitimam esse intercâmbio de dados, está o reconhecimento de países estrangeiros como aptos a receber os dados pessoais, o que é conhecido como “decisões de adequação” (adequacy decisions). Geralmente, esse reconhecimento é realizado pela Autoridade Nacional de cada jurisdição, como uma forma de facilitar o fluxo de informações de seu país com outros considerados seguros.

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou a consulta pública para discussão social acerca do regulamento de transferências internacionais de dados pessoais e do modelo de cláusulas-padrão contratuais que o Brasil adotará^[1]. Dentre as possibilidades previstas na minuta de norma estão as decisões de adequação. Esse passo é significativo não apenas para permitir que controladores de dados no Brasil realizem transferências internacionais, mas para que o Brasil seja reconhecido como receptor confiável de informações pessoais vindas de outras jurisdições por meio deste fluxo facilitado.

Na proposta da ANPD, a reciprocidade é um fator chave, e deve orientar a avaliação brasileira das demais jurisdições em termos de proteção de dados pessoais. Esse elemento torna ainda mais clara a importância da regulação não apenas para o fluxo de saída de dados do Brasil, mas também para o de entrada:

Art. 12 § único “A ANPD priorizará a avaliação do nível de proteção de dados de países estrangeiros ou organismos internacionais que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países.”

Conforme as próprias palavras da diretora da ANPD, Nairane Rabelo, a inclusão do mecanismo da decisão de adequação na proposta de regulação do orgão é crucial para o avanço da integração entre o Brasil e a União Europeia.^[2]

Procedimento da Decisão de Adequação Europeia

Expoente no campo da proteção de dados, a União Europeia estabelece em seu procedimento de adequacy decisions alguns requisitos^[3] a serem avaliados:

1. Estado de Direito e Respeito pelos Direitos Humanos: avalia a existência formal e implementação do estado de direito, bem como de garantias e liberdades fundamentais e direitos humanos;
2. Legislação de Proteção de Dados: avalia leis gerais e setoriais relativas à proteção de dados pessoais, condutas profissionais e medidas de segurança, bem como aquelas que possam influenciar essas garantias e as ações de autoridades públicas, como aquelas ligadas à segurança pública, defesa e segurança nacional, direito penal, etc.
3. Regras para a continuidade de transferência de dados: avalia os critérios que a jurisdição aplica para determinar a possibilidade de envio de dados para um terceiro local.
4. Direito dos Titulares: avalia a existência e efetividade dos direitos dos titulares de dados na jurisdição.
5. Autoridade Independente: verifica a existência de uma autoridade supervisora independente em atividade e que possa fazer cumprir as regras de proteção de dados.
6. Compromissos Internacionais: avalia os compromissos internacionais assumidos em relação à proteção de dados.

Após essa avaliação multifatorial, a decisão pode ou não reconhecer o país terceiro como adequado para receber dados pessoais, havendo a possibilidade de que o reconhecimento seja limitado a partes do território ou a um setor específico. O reconhecimento é também sujeito a uma revisão periódica, que pode confirmar ou retirar o status de “país seguro” conforme a evolução do tema no local. São atualmente consideradas jurisdições seguras: Andorra, Argentina, Canadá (somente organizações comerciais), Coreia do Sul, Guernsey, Ilha de Man, Ilhas Faroe, Israel, Japão, Jersey, Nova Zelândia, Reino Unido, Suíça e Uruguai.

Ainda que a relevância e peso de cada elemento precise ser analisada pela União Europeia, uma avaliação dos critérios de decisão de adequação do GDPR indica que há fatores que poderiam justificar o reconhecimento do Brasil como jurisdição segura para o recebimento de dados pessoais vindos da UE, pendente a determinação das regras de transferência internacional ora em discussão.

1. Estado de Direito e Direitos Humanos: Reconhecimento pela Constituição Federal, alta ratificação de tratados internacionais de direitos humanos (e.g. Pacto de San José da Costa Rica) e forte engajamento com a Universal Periodic Review (UPR).
2. Legislação de Proteção de Dados: Lei Geral de Proteção de Dados.
3. Transferência Internacional: consulta em andamento.
4. Direito dos Titulares: “destaca-se que, em 2022, a CGF recebeu 1.045 requerimentos, entre denúncias e petições de titulares. Desses, apenas 1 denúncia aguarda o devido encerramento”. Relatório do ciclo de monitoramento, exercício 2022.
5. Autoridade Independente: Art. 55-A. Fica criada a Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal. (Redação dada pela Lei nº 14.460, de 2022). Lei Geral de Proteção de Dados.
6. Compromissos Internacionais: Ratificação da Convenção 108.

Rabelo frisa que, no passado, a falta de independência da ANPD impedia o reconhecimento do Brasil como local seguro para o recebimento de dados pessoais, mas essa etapa foi superada ainda em 2022 com a transformação da ANPD em autarquia. A diretora destaca, ainda, que “caso já tenhamos o regulamento brasileiro dispondo sobre o assunto, decisões de reconhecimento em outros países e organismos internacionais podem ser mais aceleradas”.

É importante notar que a ausência de reconhecimento de uma jurisdição como “segura” não impede a transferência internacional de dados, uma vez que outras alternativas, como as cláusulas-padrão contratuais, podem ser utilizadas para garantir esse fluxo. Contudo, a decisão de adequação simplifica as trocas de dados com controladores estrangeiros na medida em que reduzem as etapas negociais que precisam ser discutidas entre as partes, o que tende a intensificar as relações transnacionais.

Por isso, a consulta a respeito do Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais, mais do que reger a forma pela qual dados pessoais serão enviados para outros países é um passo crucial na consolidação internacional do Brasil como local seguro para recebimento de dados pessoais de outras jurisdições.

^[1] Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais.

^[2] Voto nº 16/2023/DIR/NR/ANPD, Processo Nº 00261.000968/2021-06, SEI nº 4395717.

^[3] Art. 45. GDPR Transfers on the basis of an adequacy decision.

Originalmente publicado em JOTA.