Estrutura das Cláusulas-Padrão Contratuais (CPCs)
/ Críticas à Estrutura das CPCs
- No arranjo de cláusulas apresentado pela ANPD nota-se uma preocupação em regulamentar uma estrutura de natureza mais rígida para manter a segurança jurídica e permitir a ativação do fluxo transfronteiriço de dados. Porém, entendemos que as CPCs introduzem um arranjo contratual que se alinha mais com as relações jurídicas e comerciais realizadas entre controladores e operadores.
- Essa abordagem resulta na instituição de um regime jurídico excessivamente rígido e limitador da autonomia empresarial, especialmente em situações de controladoria conjunta ou quando ambas as partes atuam como controladoras independentes. Essa rigidez se mostra ainda mais evidente em arranjos mais complexos, em que uma mesma entidade pode atuar como operadora e controladora, a depender do tratamento específico.
- É preciso considerar que, hoje, as cadeias de tratamento de dados pessoais envolvem diversas finalidades para diferentes contextos. Sob essa ótica, identificamos que as redações, por exemplo, da Cláusula 3 sobre transferências posteriores e da Cláusula 10 sobre limitação de finalidade podem apresentar desafios significativos na prática.
- Além disso, e de suma importância, a exigência de que o controlador autorize e assine individualmente cada transferência de dados entre operadores, nos termos das Cláusulas 4.1 e 4.2, Opção B, criará ônus adicional e barreiras relevantes em negociações comerciais, inclusive desincentivando a subcontratação de serviços comuns como os de hospedagem de dados. Uma companhia B2B, por exemplo, que tenha 10 fornecedores de hospedagem, e apenas 100 clientes, precisaria, a partir da entrada em vigor da norma, buscar a assinatura dos seus clientes em mais de 1.000 minutas contratuais das quais eles sequer fazem parte, gerando uma complexidade desnecessária e onerando excessivamente o processo.
- Por fim, a ANPD estabeleceu um prazo de 15 dias para o exercício de todos os direitos do titular. Embora seja de competência da ANPD a regulamentação dos prazos para exercício dos direitos, entendemos que esta resolução, específica sobre transferências internacionais, não é o instrumento adequado para tanto.
/ Proposta de Alteração
- Expansão da estrutura atual das CPCs: Sugerimos à ANPD a expansão da estrutura atual das CPCs para contemplar uma maior pluralidade de opções ou diferentes módulos – assim como faz o GDPR – a depender do papel de cada agente de tratamento de dados pessoais que faz parte do arranjo contratual (p.ex., controlador-controlador, controlador-operador, operador-operador e operador-suboperador). Embora a proposta de Cláusulas-Padrão Contratuais privilegie a rigidez e simplicidade, estruturando-se em torno de uma única estrutura, em prol da segurança jurídica, o modelo apresentado carrega consigo diversos problemas, incluindo a inadequação de diversas cláusulas ao considerar-se os diferentes tipos de relações jurídicas que se estabelecem entre diferentes agentes de tratamento no arranjo contratual. Referências: Comission Implementing Decision (EU) 2021/914.
- Ampliação do prazo de incorporação das CPCs: Sugerimos a ampliação do prazo de incorporação das CPCs de 180 dias para 1 ano (parágrafo único do art. 2º do Anexo I da minuta de Resolução), com fundamento em um entendimento pragmático das complexidades envolvidas na adequação dos contratos conforme as regulamentações de transferência internacional de dados.
Importância da Regulação Baseada em Risco
- No que se refere à legislação do país destinatário dos dados, observamos que as CPCs impõem ao exportador o dever de analisar se não existem leis ou práticas administrativas que impeçam o importador de cumprir com as obrigações das CPCs, seguindo o formato que ficou estabelecido na União Europeia, após os casos Schrems I e II, onde existe a obrigação de elaborar transfer impact assessments (TIA).
- No Brasil, essa análise poderia acarretar sérios prejuízos às empresas em geral, principalmente considerando os custos financeiros e logísticos decorrentes dessa obrigação – além do custo da insegurança jurídica que a subjetividade de tais análises carrega consigo.
- Uma alternativa mais razoável e compatível com o espírito da LGPD, portanto, seria uma modulação baseada em riscos, na qual o importador e exportador assumem obrigações mais ou menos rígidas a depender do nível de risco geral da transferência internacional, valendo-se de critérios já existentes na lei para essa análise.
Cláusulas Contratuais Específicas
- O artigo 20 da minuta, ao introduzir esse mecanismo, apresenta uma lacuna ao referir-se apenas ao controlador. Seria mais apropriado que a redação fosse mais técnica e abrangente, incorporando também o exportador, uma vez que, em determinados casos específicos, a figura do operador pode ser incluída nesse contexto.
- Além disso, a minuta do Regulamento enquadra as cláusulas específicas como um mecanismo residual, embora a LGPD não tenha estabelecido qualquer hierarquia entre os mecanismos de transferência internacional listados no art. 33.
- Ainda, a minuta restringe a utilização deste mecanismo apenas a circunstâncias excepcionais de fato e de direito, devidamente comprovadas pelo controlador. Contudo, entendemos que a utilização, ou não, de cláusulas contratuais específicas deveria ser uma faculdade do exportador, sendo certo que a mera necessidade de se obter autorização da Autoridade já seria um ônus a ser suportado por tal decisão.
Outras contribuições
Transferência Posterior: Sugerimos a inclusão no art. 3º com a definição de “transferência posterior”. Também propomos transpor a definição de “transferência posterior” da Cláusula 6.1 para o artigo 3º da minuta.
Coleta Internacional: Sugerimos ampliar o escopo da definição de “coleta internacional” para considerar situações iniciadas pelo próprio titular.
Grupo ou Conglomerado de Empresas: Propomos a alteração para aprimorar a definição de “grupo ou conglomerado de empresas” em linha com definições de outros normativos existentes na legislação brasileira (exemplos: 4º, §1º, da Resolução Cade nº 33/2022; e art. 275, §1º, da Instrução Normativa RFB nº 2.110/2022).
Decisão de Adequação: Propomos alteração no art. 11 para manter apenas os incisos I, III e V, a fim de manter apenas um escopo geral de análise concentrado nos aspectos fundamentais.
Tipo de Ato Normativo: Propomos alterações para que decisões sejam proferidas por “Ata de Deliberação” em vez de “Resolução”, alinhando ao Regimento Interno da ANPD.
Exclusão de Dispositivos: Sugerimos a exclusão do parágrafo 1º do art. 20, destacando a compatibilidade com a LGPD e a flexibilidade legal. Além disso, propomos a exclusão dos parágrafos 2º do art. 21 e parágrafo único do art. 31, visando preservar a confidencialidade e prevenir conflitos.
Alteração e Adequação de Dispositivos: Sugerimos substituir “controlador” por “exportador” no art. 20 para melhor adequação e aplicação prática.
Exclusão de Cláusulas: Propomos a exclusão da Cláusula 14.3, considerando sua redundância e ineficácia, assim como a exclusão da Cláusula 22, por ser considerada excessiva e burocrática.
Alteração e Adequação de Cláusulas:
- Propomos alteração na Cláusula 15.2 para alinhar o prazo de atendimento às solicitações de titulares ao estabelecido na LGPD ou em regulamentação específica sobre o tema.
- Sugerimos a remoção de campos imprecisos na descrição da transferência internacional na Cláusula 2.1.
- Sugerimos uma adequação nas definições de controlador/operador utilizadas ao longo das CPCs, conforme definição na Cláusula 6.
- Sugerimos supressão da necessidade de participação direta do “Terceiro Controlador” na Cláusula 4.1, 4.2, 4.3, 4.4 e 4.5 (Opção B).
