No meio jurídico, o tema da transferência internacional de dados esquentou ainda mais nas últimas semanas em razão da divulgação de tomada de subsídios pela Autoridade Nacional de Proteção de Dados (ANPD), que, com isso, iniciou seu processo de regulamentação de um dos tópicos mais desafiadores da Lei Geral de Proteção de Dados (LGPD). Muito desse desafio decorre do fato de que o desenvolvimento econômico e a promoção da inovação dependem da circulação de dados, inclusive, por meio de transferências internacionais. Nesse sentido, a LGPD, inspirada no modelo europeu - onde vigora o Regulamento Geral de Proteção de Dados (RGPD ou GDPR) - permite a transferência internacional de dados, mas estabelece condições para tanto, as quais são objeto de regulamentação pela ANPD.
Nesse momento de aquecimento do debate regulatório, é compreender o que é uma transferência internacional, afinal, a partir do conceito adotado, serão definidos os limites da aplicação do regime especial previsto na Lei e na futura regulamentação da autoridade. Para essa missão, a definição trazida de forma expressa LGPD pouco nos ajuda, já que o artigo 5º, XV, define "transferência internacional" como "transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro". Nota-se, nesse ponto, que o conceito é marcado por certa redundância ao repetir - e não definir - o termo "transferência".
No entanto, a pista para desbravar tal conceito parece estar no inciso XVI do mesmo artigo, o qual traz expressamente a transferência internacional de dados como uma das modalidades de "uso compartilhado de dados", restando claro que somente há transferência internacional de dados nas hipóteses em que dois (ou mais) agentes de tratamento compartilham dados pessoais. Além disso, nos outros cinco trechos da LGPD em que o termo "transferência" é citado, é feita alusão ao envio de dados de uma entidade a outra.
Já no cenário europeu, que foi base para edificação das regras para transferência internacional de dados previstas na LGPD, em novembro de 2021, o European Data Protection Board (EDPB) divulgou diretrizes (Guidelines n. 05/2021) por meio das quais deixou clara a inaplicabilidade das regras do regime jurídico especial para transferência internacional de dados às situações em que o "controlador em um país terceiro coleta dados diretamente de um titular de dados na UE". Inclusive, vale destacar exemplo bastante elucidativo que o EDPB traz nas citadas diretrizes[1]:
Maria, que mora na Itália, insere seus dados pessoais preenchendo um formulário em um site de comércio de roupas online para concluir seu pedido e receber o vestido que comprou online em sua residência em Roma. O site de roupas online é operado por uma empresa estabelecida em Cingapura, sem presença na UE. Nesse caso, a titular dos dados (Maria) passa seus dados pessoais para a empresa de Cingapura, mas isso não constitui uma transferência de dados pessoais, já que os dados não são transmitidos por um exportador (controlador ou operador), pois são transmitidos diretamente e por sua própria iniciativa pelo próprio titular dos dados.
Diante disso, até pelo teor das questões levantadas pela ANPD em sua tomada de subsídios (acompanhadas de respectiva nota técnica), parece claro que, quando um indivíduo fornece seus dados para usufruir de serviço ofertado por empresa localizada fora do país, este titular não pode ser considerado como "parte exportadora". Caso contrário, teríamos um cenário absurdo no qual titulares teriam de celebrar com empresas instrumentos de transferência internacional (como as cláusulas-padrão contratuais) para realizar operações comuns do dia a dia.
Ademais, é importante, desde logo, também distinguir trânsito de transferência internacional de dados. Isso significa que se para viabilizar a comunicação entre agentes localizados 100% no território brasileiro, em razão da arquitetura tecnológica existente, dados pessoais transitam momentaneamente por um servidor localizado em país terceiro, mas ao final acabam sendo armazenados apenas no território nacional, tal atividade, por si só, não deveria ser considerada uma transferência internacional de dados àquele país terceiro.
Valendo-nos dos entendimentos da autoridade britânica de proteção de dados, a Information Commissioner's Office (ICO), temos, ainda, que o mero envio de dados pessoais por um controlador a seu próprio empregado localizado no exterior tampouco deveria configurar transferência internacional de dados para fins da legislação de proteção de dados, pois, nesse caso, a parte receptora não deve é empresa, organização ou indivíduo distinto da parte que está enviando os dados[2].
Diante de tais fundamentos, considerando ainda a falta de clareza inerente à definição de "transferência internacional" trazida pela LGPD, parece-nos importante que a ANPD, no atual processo de regulamentação do tema, independentemente das diversas contribuições e subsídios que receberá da sociedade, siga partindo de premissas condizentes com os entendimentos já consagrados internacionalmente, sobretudo no contexto europeu.
Por fim, não custa lembrar que, querendo o Brasil vir a ser reconhecido futuramente como país de nível adequado para receber dados da União Europeia, a margem para inovações quanto ao tema ora abordado é limitada, pois, nos termos do artigo 45, 2, do GDPR, a Comissão Europeia, ao decidir sobre a adequação do nosso país, considerará, especificamente, as regras para a transferência internacional que aqui são aplicadas. Estamos diante de situação em que, nitidamente, menos é mais.
*Luis Fernando Prado é sócio do escritório Prado Vidigal Advogados, profissional de privacidade certificado pela International Association of Privacy Professionals (CIPP/E), mestre (LLM) em Direito Digital e Sociedade da Informação pela Universidade de Barcelona e especialista em Propriedade Intelectual e Novos Negócios pela FGV Direito SP
*Carolina Giovanini é advogada no escritório Prado Vidigal Advogados, profissional de privacidade certificada pela International Association of Privacy Professionals (CIPP/E) e mestranda em Direito e Inovação pela Universidade Federal de Juiz de Fora (UFJF)
[1] Tradução livre. Versão original: "Example 1: Controller in a third country collects data directly from a data subject in the EU Maria, living in Italy, inserts her personal data by filling a form on an online clothing website in order to complete her order and receive the dress she bought online at her residence in Rome. The online clothing website is operated by a company established in Singapore with no presence in the EU. In this case, the data subject (Maria) passes her personal data to the Singaporean company, but this does not constitute a transfer of personal data since the data are not passed by an exporter (controller or processor), since they are passed directly and on her own initiative by the data subject herself. Thus, Chapter V does not apply to this case. Nevertheless, the Singaporean company will need to check whether its processing operations are subject to the GDPR pursuant to Article 3(2)". EUROPEAN DATA PROTECTION BOARD. Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR. Adotada em 18 de novembro de 2021, p. 5. Disponível em: https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf. Último acesso em: 31.05.2022.
[2] INFORMATION COMMISSIONER'S OFFICE. International transfers after the UK exit from the EU Implementation Period. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers-after-uk-exit/. Último acesso em 31.05.2022.
