SCCs e a Convergência entre LGPD e GDPR na Transferência de Dados
Para regularizar uma SCC (Standard Contractual Clause) sob a GDPR, é necessário seguir um processo rigoroso que assegure que ambas as partes (exportador e importador de dados) estejam em conformidade com as normas de proteção de dados da União Europeia. Estas cláusulas são fundamentalmente contratos que estipulam como os dados pessoais serão transferidos e protegidos quando saírem da UE.
No Brasil, embora a LGPD já tenha estabelecido diretrizes semelhantes às da GDPR, ainda estamos no início do desenvolvimento de regulamentações mais detalhadas e específicas. A ANPD (Autoridade Nacional de Proteção de Dados) decidiu adotar um esquema parecido com o das SCCs, provavelmente com as consultas públicas e análises para adequar tal mecanismo à realidade e às particularidades jurídicas brasileiras, vamos ter uma legislação mais forte e consistente.
Além disso, a GDPR é clara sobre a necessidade de manter salvaguardas adequadas, sendo as SCCs e BCRs ferramentas primordiais para essa finalidade. Manter estas salvaguardas é mais do que um requisito legal; é uma demonstração de compromisso com a privacidade e proteção dos dados dos titulares.
A LGPD, assim como a GDPR, reconhece a necessidade de regulamentar a transferência internacional de dados pessoais para assegurar os direitos dos titulares. Na minuta mencionada, percebe-se um paralelo com as normas da GDPR, particularmente em relação às BCRs (Binding Corporate Rules ou Normas Corporativas Vinculantes) e SCCs (Standard Contractual Clauses ou Cláusulas Contratuais Padrão).
As BCRs na GDPR são semelhantes às Normas Corporativas Globais (NCG) da LGPD, definindo políticas de proteção de dados em empresas multinacionais, garantindo que, independentemente de onde os dados sejam processados, respeitem os mesmos padrões de privacidade.
“Manter salvaguardas adequadas é mais que um requisito legal; é um compromisso com a privacidade e proteção dos titulares dos dados.” (Tamer Merhi)
Por outro lado, as SCCs da GDPR refletem as Cláusulas-Padrão Contratuais (CPC) da LGPD, que são usadas em acordos contratuais entre entidades que transferem dados pessoais para fora do território europeu ou brasileiro, respectivamente.
A inclusão de Cláusulas Específicas (CE) e do mecanismo da Decisão de Adequação na minuta da LGPD também ressoa com a abordagem da GDPR, que busca garantir que os países ou organismos internacionais para os quais os dados são transferidos tenham um nível de proteção adequado.
O Novo Acordo de Transferência de Dados entre EUA e UE
A transferência de dados pessoais da União Europeia para os Estados Unidos é regulada por um acordo de princípio celebrado entre o presidente dos Estados Unidos, Joe Biden, e a presidente da Comissão Europeia, Ursula Von der Leyen.
O acordo foi anunciado em março de 2022 e é fundamental para a economia digital. O regimento de transferência de dados foi interrompido por temores sobre programas de monitoramento americanos. O acordo de princípio foi decidido após meses de negociações e a invalidação, em julho de 2020, pela Justiça europeia, do acordo Privacy Shield. Com o fim do Privacy Shield, as empresas que operavam na Europa e repassavam ou hospedavam os dados nos Estados Unidos ficaram em um vazio jurídico. A nova legislação europeia simboliza o fim ao abuso de posição dominante dos gigantes digitais e vai acabar com as piores práticas do setor. As novas regras para suprimir abusos constatados nos últimos anos poderão entrar em vigor no início de 2023.
Conclusão
Em suma, tanto a LGPD quanto a GDPR, por meio de suas respectivas normas e cláusulas, visam garantir que a privacidade e a proteção dos dados pessoais sejam mantidas, independentemente de fronteiras, consolidando uma abordagem global para a proteção de dados no cenário internacional.