Quase quatro anos após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), finalmente o governo vai acabar com uma zona cinzenta da nova legislação. Segundo o RR apurou, a Autoridade Nacional de Proteção de Dados (ANPD) deverá publicar no início do segundo semestre a regulamentação sobre a transferência internacional de dados pessoais. Em contato com o RR, a própria ANPD confirmou a informação, com exclusividade.

Não é de hoje que a autarquia, vinculada ao Ministério da Justiça, tem sido cobrada em relação ao assunto. A normatização é uma preocupação, sobretudo, de empresas estrangeiras presentes no país que hospedam e tratam no exterior dados pessoais colhidos no Brasil. Em seu artigo 33, a LGPD dispõe sobre a transferência internacional de dados. No entanto, a menção praticamente se resume às situações em que essa comunicação é permitida.

E, ainda assim, é extremamente vaga. Por exemplo: a legislação autoriza a transferência “quando o país ou organismo internacional de destino oferece um nível de proteção de dados pessoais adequado ao previsto na LGPD”. Porém, a LGPD não explicita o que é um “nível adequado” e nem quais são os mecanismos de adequação que permitam à ANPD reconhecer os países que têm ou não uma estrutura robusta de proteção às informações.

Plataformas de streaming, sites de e-commerce e bancos digitais – ou seja, serviços usados por dezenas de milhões de brasileiros – estão entre os grandes hard users globais das transferências internacionais de dados.

O tema está na ordem do dia. No mês passado, a Meta, dona do Facebook, Instagram e WhatsApp, recebeu uma multa recorde de 1,2 bilhões de euros do Comissário de Proteção de Dados da Irlanda, o principal órgão regulador da privacidade da União Europeia. A punição se deu pela transferência irregular de dados de usuários do Facebook da Europa para os Estados Unidos. Desde o ano passado, a própria ANPD negocia um acordo com a União Europeia para a adequação de normas. Hoje, com o gap regulatório ainda existente no Brasil, as empresas não têm qualquer balizador das circunstâncias em que estão autorizadas a remeter informações obtidas no país para o exterior.

Ou seja: no limite, é como se todas estivessem operando fora da lei, simplesmente porque não há lei para cumprir. Segundo a própria ANPD, “deve-se considerar que as transferências internacionais de dados pessoais continuam ocorrendo sem que haja regulamentação, devendo ser observada a LGPD, no que couber e no que for possível.”

As discussões se arrastam desde o ano passado. Em outubro, o diretor-presidente da ANPD, Waldemar Gonçalves, chegou a anunciar que a regulamentação sairia até o fim de 2023, mas o prazo ficou pelo caminho. Ao RR, a autarquia justificou o atraso dizendo que “o procedimento regulatório de qualquer órgão regulador é complexo e, por isso, leva tempo para sua conclusão. Assim como ocorreu com todas as normas já expedidas pela ANPD, o regulamento de Transferência Internacional de Dados passou por um profundo estudo sobre as reais necessidades da norma, e sobre as problemáticas e desafios”.