As novas cláusulas contratuais padrão europeias: reflexos para o Brasil

0
55

No que diz respeito aos seus aspectos transfronteiriços, leis de proteção de dados pessoais têm um papel duplo: garantir o fluxo livre de dados entre nações soberanas e, ao mesmo tempo, preservar os direitos e liberdades fundamentais dos indivíduos, em particular, em relação aos seus direitos associados à privacidade e à proteção de dados.

O caso Schrems II discute essencialmente os pesos que devem ser dados a cada um desses elementos na balança da liberdade de exportação e importação de dados pessoais, a qual é essencial para o funcionamento da economia moderna.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en

Importância do fluxo transfronteiriço de dados

Fluxos de dados transnacionais crescentes são decorrência direta do incremento regular do comércio e cooperação internacionais ocorrido nas últimas décadas, somado à explosão da internet e das interações e transações digitais no comércio e nos negócios.

Da small à big tech, da mais tradicional à mais moderna companhia, praticamente não há organização, pública ou privada, que não dependa da exportação ou importação de dados.  Seja para o comércio em si, ou para questões meramente administrativas, como por exemplo a gestão de recursos humanos em empresas multinacionais, não há como evitar o fluxo internacional de dados de natureza pessoal.

Tanto é assim, que o tema tem feito parte das agendas internacionais e, não por outro motivo, que Schrems II causou alguma medida de desconforto nas relações bilaterais entre UE e EUA.

Se você é responsável pela proteção de dados pessoais na sua organização, terá que lidar com o tema, seja da perspectiva de importador, seja da perspectiva de exportador.

Em 04 de junho de 2021 a European Comission emite novas cláusulas contratuais padrão (SCC) para regular transferências de dados de controladores ou operadores na UE para controladores ou operadores estabelecidos fora da UE e não sujeitos ao GDPR. As novas SCCs são projetadas para operar em uma base multilateral, permitindo que um único conjunto de SCCs cubra as transferências de dados pessoais entre várias partes (permitindo que toda a cadeia de processamento de dados seja coberta).

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

Em 18 de junho de 2021, o European Data Protection Board adota a versão 2.0 de recomendações emitidas em novembro de 2020 como consequência do Schrems II. As recomendações têm intuito de auxiliar entidades na realização de transferências internacionais de dados e preveem "medidas que suplementam ferramentas para a transferência (internacional de dados) que garantam adequação aos níveis de proteção conferidos pela UE."

https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

As novas cláusulas contratuais padrão

A última mudança das SCCs ocorreu em 2010. O advento do GDPR e o Schrems II levaram à sua nova edição praticamente em conjunto com as recomendações do EDPB.

As novas SCCs se mostraram um conjunto mais amplo de obrigações. Além disso, são multilaterais, permitindo que um único conjunto de SCCs cubra as transferências de dados pessoais entre várias partes. Essa novidade permite que toda a cadeia de processamento de dados seja coberta.

De forma interessante, as novas SCCs foram divididos em um formato modular, o que permite transferências de:

  • controlador para controlador (Módulo 1);
  • controlador para processador (Módulo 2);
  • processador para subprocessador (Módulo 3); e
  • processador para controlador (Módulo 4).

Isso fornece maior flexibilidade para os fluxos complexos de tratamento de dados e preenche as lacunas conhecidas na transferência de dados.

O caso SCHREMS II

Não foi somente a partir de 16 de julho de 2020, data do julgamento C-311/18 da Corte de Justiça da União Europeia, o Schrems II, que a União Europeia começou a se debater com o tema de como equilibrar soberania europeia e fluxos transfronteiriços de dados. As maiores preocupações sempre se referiram a dados de cidadãos europeus que rumam "across the pond", com destino aos EUA.  Discussões a respeito do tema precedem mesmo as inquietações com a coleta de metadados pela NSA à época da guerra contra o terrorrismo, apesar de terem se intensificado nesse período.

O caso Schrems II, em si, teve origem em uma reclamação ajuizada perante a autoridade de proteção de dados irlandesa pelo ativista austríaco Maximilian Schrems, pleiteando a proibição de transferência de seus dados pessoais do Facebook Ireland para o Facebook Inc., nos Estados Unidos. Schrems argumentava que os dados pessoais, tanto quando em trânsito, quanto aqueles armazenados nos Estados Unidos, poderiam ser acessados ??por agências de inteligência americanas, o que constituiria violação ao GDPR e, mais amplamente, à legislação da União Europeia.

Schrems II questionou, tanto a validade do EU-US Privacy Shield, framework que autorizava a transferência de dados pessoais de indivíduos de UE para os EUA, quanto a adequação das Standard Contractual Clauses ou Cláusulas Contratuais Padrão (SCC). No primeiro caso, por entender que o Privacy Shield não garante o mesmo nível de proteção estabelecido pelo GDPR para os dados pessoais enviados aos Estados Unidos, uma vez que não viabiliza o efetivo exercício dos direitos dos titulares e nem limita os poderes de vigilância conferidos pela legislação americana ao governo. No segundo, pelas SCC dependerem de o controlador averiguar, na prática, o cumprimento das obrigações impostas, devendo este suspender a transferência ou rescindir o contrato caso as obrigações não sejam ou não possam ser cumpridas.

Seus reflexos

Em tese, a ideia, reiterada e confirmada pela corte em Schrems II, é que os controles e princípios de proteção de dados conferidos pelo GDPR devem "viajar" com os dados para onde quer que esses se destinem. Na prática, e com consequências também para o Brasil, já que não contamos com decisão de adequação da UE, Schrems II obrigou a tomada de uma série de providências de ajuste: (i) por autoridades europeias, incluindo, autoridades de proteção de dados de países europeus; (ii) por autoridades dos países importadores; e (iii) por exportadores e importadores de dados em seus processos de transferência internacional de dados.  As providências de maior destaque são as que ocorreram ainda no mês passado:

Como resultado direto de Schrems II, as SCCs exigem que as partes avaliem, por meio de uma Avaliação de Impacto de Transferência, se as leis do país em que os dados estão sendo importados irão comprometer a proteção de dados oferecida pelas SCCs e determinem se medidas suplementares, além daquelas previstas nas SCCs, devem ser postas em prática para garantir que os dados serão protegidos de acordo com o padrão GDPR necessário.

As recomendações do EDPB trazem luz às medidas suplementares e à avaliação de impacto de transferência.  Segundo a EDPB, o exportador deve, se necessário em colaboração com o importador, avaliar se existe empecilho na legislação ou na prática do país terceiro que possa afetar a eficiência das garantias presentes no GDPR.

Prossegue o EDPB por indicar que, "as medidas contratuais e organizacionais por si só não irão impedir o acesso aos dados pessoais por parte das autoridades públicas do país terceiro. Haverá efetivamente situações em que apenas medidas técnicas podem impedir ou tornar ineficaz o acesso das autoridades públicas de países terceiros aos dados pessoais, nomeadamente para fins de vigilância. Em tais situações, determinadas medidas contratuais ou organizacionais podem complementar as medidas técnicas e reforçar o nível geral de proteção de dados, por exemplo, mediante a criação de obstáculos às tentativas de acesso (e.g. criptografia) aos dados por parte das autoridades públicas de um modo não conforme com as normas da EU."

Ainda como um reflexo de Schrems II, se destaca a possibilidade de o titular dos dados transferidos exigir o cumprimento das SCC enquanto terceiro interessado. A essa possibilidade fica também associada a exigência que sejam previstas obrigações consistentes de transparência ao importador (quando controlador) e a necessidade de apresentação de um ponto de contato único, apto a receber e dar respostas às solicitações desses titulares.

Outro ponto relevante, é que no novo regime não há mais um único modelo fixo, mas uma necessidade de definições mais dinâmicas de obrigações, suscetíveis a especificações de acordo com o cenário da transferência e com espaço para decisões do exportador. Para o importador, isso significa que as medidas de adequação necessárias para atenção às obrigações estabelecidas por uma SCC não são padrões totalmente fixos, podendo variar.

As novas SCC podem ser incorporadas aos contratos a partir de 27 de junho de 2021. As antigas SCC serão revogadas, o que significa que não poderão ser utilizadas em novos acordos, com efeitos a partir de 27 de setembro de 2021. Portanto, entre 27 de junho de 2021 e 27 de setembro de 2021, as empresas podem optar por usar as novas SCC ou as antigas. Os contratos que contenham as antigas SCC deverão ser adequados até 27 de dezembro de 2022.

Recomendações

Como se vê, a adequação às novas SCC europeias e às recomendações do EDPB não ficarão restritas aos exportadores. Se sua organização importa dados pessoais da UE para o Brasil ou é um operador de dados que presta serviços a um controlador de dados na UE, por exemplo, é bastante provável que: (i) seja instado pelo exportador a auxiliá-lo com suas Análises de Impacto de Transferência e eventuais medidas suplementares; ou (ii) comece a ver as novas SCC incluídas em contratos. Nesse contexto, recomendamos que:

  • prepare-se para auxiliar nas avaliações de impacto de transferências de dados dos exportadores. Neste caso, tanto o entendimento se o Brasil pode ser considerado uma "legislação problemática" em algum ponto, quanto estar preparado para auxiliar em medidas suplementares, são pontos e atenção fundamentais;
  • familiarize-se com os novos termos das SCC antes que os prazos se aproximem e considere se seus termos afetam os processos operacionais de seu negócio.  Como há flexibilidade na escolha de termos, o aceite automático do que venha a ser apresentado, não é o ideal;
  •  entenda suas obrigações no que respeita aos direitos de reparação e transparência dos titulares, especificamente no que se relaciona a dados pessoais transfronteiriços; e
  • mapeie os dados pessoais que recebe (por exemplo, controlador para controlador, processador para controlador, etc.) para entender como as SCCs se aplicarão ao seu negócio e quais SCC poderá assinar.

Gustavo Artese, advogado da Artese Advogados.

DATA PROTECTION FORUM

A TI INSIDE realiza nas manhãs dos dias 25 e 26 de agosto, a 4a edição da Data Protection Forum. Mais informações e inscrições no site https://dataprotectionforum.com.br/ ou pelo telefone/whatsapp 11-3138-4619 ou info@tiinside.com.br

Deixe seu comentário