Para quem trabalha com proteção de dados, vira e mexe surge a pergunta se o Brasil impõe que dados pessoais sejam armazenados localmente. Para tal, a resposta sempre foi um categórico “Não”, mas será mesmo?
Bem, é sabido que a Lei Geral de Proteção de Dados – LGPD admite que dados pessoais sejam objeto de transferências internacionais, desde que observadas algumas condições. Em síntese, são possíveis as transferências que tenham como destino país ou território de nível de proteção de dados considerado adequado ou estejam amparadas em instrumentos ou justificativas plausíveis previstas no art. 33, LGPD (cláusulas-padrão contratuais, normas corporativas globais etc.).
Assim, se a lei admite transferências, a resposta à pergunta inicial é mesmo “Não”, certo?
Acontece que, recentemente, a ANPD aprovou o Regulamento de Transferência Internacional de Dados (Resolução CD/ANPD n. 19/2024) e, nele, fez questão de frisar (art. 4º, III e art. 9º) que a “receita” para a validade de uma operação de transferência internacional contém dois ingredientes indispensáveis:
(1) Base Legal (art. 7º ou 11, LGPD) + (2) Mecanismo de Transferência (art. 33, LGPD)
Inspirou-se a ANPD no two-step test que aparece nas Guidelines on derogations of Article 49 under Regulation 2016/679 do European Data Protection Board (EDPB), orientando organizações a, antes de avaliarem os mecanismos de transferência disponíveis, assegurarem que as atividades de tratamento de dados pessoais estejam amparadas em bases legais previstas na legislação.
Parece um entendimento inofensivo à primeira vista, mas há algumas repercussões relevantes que dele decorrem.
É que, se entendermos que a Resolução pretendeu o isolamento da operação de tratamento “transferência internacional”, exigindo que o agente trace uma base legal específica para esse pedaço da atividade, corremos o risco de ver o cerco fechar para a saída de dados pessoais, principalmente aqueles de natureza sensível.
Vamos a um exemplo.
Suponhamos que um agente de tratamento precise armazenar dados sensíveis para o cumprimento de obrigações legais de natureza trabalhista. Digamos que, em vista de custo, conveniência e disponibilidade de recursos tecnológicos, esse agente opte por contratar para tanto um serviço de armazenamento em nuvem que conta com servidores no estrangeiro.
Nesse caso, ao mapearmos a atividade, quebrando as operações, possivelmente teríamos:
Operação 1: Armazenamento de dados sensíveis Finalidade: Cumprimento de obrigações trabalhistas Base legal: Cumprimento de obrigação legal (art. 11, II, 'a', LGPD)
Operação 2: Transferência internacional de dados sensíveis Finalidade: Tornar o cumprimento de obrigações trabalhistas operacionalmente viável e facilitado, possibilitando armazenamento de dados com custo reduzido e centralizado Base legal: (???)
Notemos que, sob essa lógica, ao avaliarmos a Operação 2, dificilmente poderíamos emprestar a base legal utilizada na Operação 1, já que, em se tratando de dados sensíveis, a lei admitiria, na hipótese, apenas o tratamento indispensável para fins de cumprimento de obrigação legal (art. 11, II, ‘a’). Teríamos, nesse cenário, de defender que a operação de transferência se afigura indispensável para o fim pretendido, o que seria bastante desafiador.
Fatalmente, nesse raciocínio, seríamos obrigados a voltar os olhos à base legal aberta do legítimo interesse, que melhor parece acomodar a finalidade descrita. Contudo, não poderíamos aplicá-la na hipótese, haja vista a natureza sensível dos dados envolvidos.
Chegaríamos, portanto, a um beco sem saída.
Diante disso, caberia, então, refletir:
Teria o texto da Resolução CD/ANPD n. 19 indiretamente criado obrigação de data localization para dados sensíveis? Ainda, poderia fazê-lo?
A meu ver, tendo em vista os fundamentos da LGPD (desenvolvimento econômico e tecnológico e a inovação – art. 2º, V) e as diretrizes da Resolução CD/ANPD n. 19 (promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico – art. 2º, III), é preciso reconhecer a existência de interpretação plausível diversa, que não engesse as atividades de tratamento de dados para além do razoável e, assim, não crie transversalmente obrigação não pretendida pelo legislador da LGPD.
Nessa linha de ideias, me parece que há na LGPD o uso da palavra “tratamento” ora para designar a operação em si, ora para se referir ao conjunto de operações como um todo. Não por acaso, a definição de tratamento “toda operação realizada com dados pessoais” acolhe ambas as possíveis significações.
Fato é que boa parte das obrigações legalmente previstas para o “tratamento” não se veem atreladas à granularidade das muitas operações que o compõem.
É evidente, por exemplo, que quando a lei disciplina o dever de transparência (art. 9º), garantindo ao titular acesso facilitado às informações sobre o tratamento, não pretende que o agente venha a especificar cada etapa do processamento componente das atividades, destrinchando coleta, armazenamento, compartilhamento etc., mas sim que o titular conheça, em linhas gerais, o quê e o porquê de o agente tratar seus dados.
Da mesma forma, ao cuidar dos requisitos para o consentimento válido e estabelecer que este deve se referir a finalidades determinadas, não está dizendo a lei, por óbvio, que o titular precisa autorizar cada das micro-operações realizadas, mas sim a finalidade-macro que justifica o agente inaugurar esse conjunto de operações. Novamente, portanto, a lei utiliza a noção de tratamento como o conjunto de atividades que viabilizam um fim.
Repare-se, ainda, que a LGPD por vezes utiliza a locução “operações de tratamento”, quando disciplina o ROPA (art. 37) e o RIPD (art. 38), por exemplo. Fosse a palavra “tratamento” suficiente, não haveria por que a lei ter preferido outra expressão nesses contextos.
Nessa esteira de pensamento, me parece bastante razoável concluir que o regime de proteção de dados, na verdade, exige que o agente encontre e observe uma finalidade (legítima, específica, explícita e informada) para cada dos conjuntos de operações de tratamento e não uma finalidade específica e destacada para cada micro-operação isoladamente considerada.
Nesse contexto, nada mais lógico do que a operação de transferência ser encarada como operação-meio, instrumental que é, para viabilizar a atividade-fim e seja, então, buscada base legal para sustentar a atividade-fim como um todo (e não isoladamente para a transferência). Que se admita, portanto, que, havendo uma base legal para o conjunto de operações, cada destas esteja também legalmente amparada, podendo o agente de tratamento, quando questionado em relação a quaisquer das operações (incluindo aquela de transferência internacional), apontar para a base legal “guarda-chuva” que alberga todas.
Só assim mostra-se sustentável a receita trazida pela ANPD na Resolução CD/ANPD n. 19, afastando a interpretação, bastante problemática, que tornaria quase impossível a transferência internacional de dados sensíveis. Só assim, felizmente, poderemos continuar a responder sonoro “Não” para a pergunta formulada inicialmente, pulverizando cenários indesejados de insegurança jurídica.
A quem interessar, em Prado Vidigal, elaboramos uma webpage que traz versões em português e inglês da Resolução CD/ANPD n. 19/2024, explicações gerais e uma introdução da nossa proposta para lidar com o desafio da adequação.
Confiram em: https://transferenciainternacional.pradovidigal.com.br/