Paulo Vidigal, Sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados
Recentemente, avançando mais uma casa no processo de regulamentação da Lei Geral de Proteção de Dados (Lei Federal nº. 13.709/2018 ou "LGPD"), a Autoridade Nacional de Proteção de Dados - ANPD lançou à consulta pública minuta de Regulamento de Transferência Internacional de Dados e o modelo de cláusulas-padrão contratuais a serem aplicadas pelos agentes de tratamento sujeitos à LGPD.
Para além de muitos comentários que referidos documentos merecem nesta fase de consulta pública a fim de serem aprimorados, identificamos ao menos cinco pontos nas disposições das cláusulas-padrão que preocupam, em que pese encontrem raízes em experiências internacionais relevantes, fontes inspiradoras de nossa autoridade.
1. Obrigação de indicação do papel desempenhado por importador e exportador, se de controlador ou operador
A cláusula 1.1. do modelo criado pela ANPD impõe que as partes (importador e exportador), cada qual, se identifiquem como "controlador" ou "operador", por meio de tique em caixas de seleção. Essa tarefa, que aparenta ser fácil e inofensiva, na verdade é bastante complexa e impactante. Isso porque é sabido que os papéis de controlador e operador são fluídos e intercambiáveis. Na prática, o mais costumeiro é que a relação entre agentes envolva diversas atividades de tratamento, sendo perfeitamente normal que para algumas delas, por exemplo, uma parte desempenhe o papel de controlador e a outra operador e que, para outras, esses papeis se invertam ou mesmo se confundam.
Nesse contexto, a experiência prática tem revelado que a determinação estática desses papeis simplesmente não funciona. É por isso, justamente, que autoridades de proteção de dados (inclusive a ANPD) reiteradamente já se posicionaram no sentido de que essa definição (se controlador ou operador) se faz não por via formal (texto em contrato), mas mediante apuração das circunstâncias factuais do tratamento, avaliando-se a efetiva esfera e autonomia decisória dos agentes.
Diante disso, não nos parece adequado que se inaugure a cláusula-padrão com a obrigação de se definir quem seria controlador ou operador. Mantida a estratégia, descolada dos aprendizados trazidos pela prática, vislumbra-se adição de considerável ônus e fricção entre as partes no processo de incorporação das cláusulas-padrão.
2. Necessidade de descrição detalhada da transferência internacional
A cláusula 2.1. traz um quadro-resumo da transferência a ser preenchido pelas partes, de forma detalhada, com campos (i) finalidade da transferência; (ii) dados pessoais transferidos; (iii) categoria de titulares; (iv) hipótese legal aplicável; (v) período de armazenamento dos dados; (vi) informações sobre o contrato coligado; (vii) fonte dos dados; (viii) periodicidade das transferências; (ix) duração das transferências; (x) outras informações.
Acontece que, mais uma vez na prática, essa disposição se mostra exigente e dura de atender. Se tomarmos como exemplo casos de contratação de serviços de armazenamento em nuvem, que comumente pressupõem transferências internacionais, é possível notar o quão difícil seria preencher o quadro trazido de maneira estanque. Nesse contexto, como cravar, com absoluta certeza, quais dados serão transferidos ou quais as categorias de titulares aplicáveis, por exemplo? É natural que fluxos dessa natureza venham a ser continuamente modificados. Logo, não nos parece benéfico engessar tais aspectos em contrato, sob pena de condenar as partes a constantes alterações formais no documento para que este se mantenha fiel à realidade.
3. Necessidade de identificação de terceiro destinatário e finalidade de transferência posterior
Estando o importador autorizado a realizar transferência posterior dos dados pessoais recebidos do exportador, haveria a necessidade, por meio de quadro inserido na cláusula 3.1., de identificação do terceiro destinatário e finalidade da referida transferência. Esse ponto impõe desafio não trivial de se antecipar a ocorrência de referida atividade e qualificá-la de antemão. Ora, essa condição interfere na autonomia operacional das partes e engessa a operação de tratamento de maneira indesejada (pois impõe que as partes tenham de cravar, em momento inicial, quais serão todos os terceiros destinatários envolvidos e as respectivas finalidades relacionadas), tornando complexa a modificação dos contornos de operações em curso.
4. Dever de chamar à participação o terceiro controlador em caso de cláusula entre operadores
Para casos em que as cláusulas-padrão são manejadas entre dois operadores de dados, a versão aplicável da cláusula 4.1. impõe que se identifique o "terceiro controlador" que teria contratado o operador exportador dos dados, o qual terá, ao final, de assinar a cláusula-padrão, como forma de garantir que está de acordo com a transferência efetivada entre operadores.
Essa estratégia, ao nosso ver, conflita com aquela majoritariamente adotada pelo mercado, que tem se desviado da exigência de expressa autorização do controlador para que o operador transfira dados a terceiros e preferido permitir que este o faça, mediante a condição de transmissão e verificação contínua de cumprimento, por parte dos terceiros empregues, dos deveres assumidos perante o controlador.
Novamente, portanto, a opção adotada nas cláusulas-padrão representa ônus excessivo aos agentes de tratamento, pois convoca necessariamente a participação de terceiro ao âmbito de negociação contratual da qual sequer é parte.
5. Imposição de avaliação, pelas partes, de legislação do país destinatário
A cláusula 22.1. contém declaração das partes de que avaliaram a legislação do país destinatário dos dados e não identificaram leis ou práticas administrativas que impeçam o importador de cumprir as obrigações assumidas. Em termos práticos, a partir da aplicação das cláusulas-padrão brasileiras, as partes passariam a ter de produzir em massa inéditas análises de impacto de transferências internacionais, semelhantes ao famigerado Transfer Impact Assessment - TIA introduzido no contexto europeu após o caso Schrems II, o que, ao nosso sentir, acarretaria consideráveis e desproporcionais custos com serviços jurídicos às organizações reguladas e imporia entraves à operacionalização de transferências internacionais de dados essenciais para a execução de atividades de negócio.
Em conclusão, resta claro que o modelo de cláusulas-padrão lançado à consulta pública ainda tem um grande campo para melhoria, principalmente diante dos desafios práticos que algumas das disposições rascunhadas impõem. Assim, é preciso que aqueles que já colecionam experiência na árdua tarefa de negociar cláusulas de proteção de dados no dia a dia se engajem verdadeiramente com a consulta, contribuindo efetivamente com a construção do texto posto a debate, para que as cláusulas-padrão possam nascer como instrumento facilitador e sua degustação não venha a destoar do menu servido pelas organizações reguladas.
