Comissão Europeia publica novo padrão de cláusulas contratuais para transferência internacional de dados

Na última sexta feira (4) a Comissão Europeia publicou novo roll padrão de cláusulas contratuais para transferência internacional de dados pessoais.

Os textos se subdividem em dois grupos: um para uso entre controladores e processadores e outro para a transferência de dados pessoais para países terceiros. Os novos requisitos publicados refletem as mudanças ocorridas após a vigência do Regulamento Geral de Proteção de Dados (GDPR) em território europeu, bem como a nova interpretação proveniente do acórdão Schrems II do Tribunal de Justiça. Segundo a própria Comissão Europeia, as novas normativas tem como principal objetivo promover uma maior segurança jurídica às empresas europeias e ajudar, em particular, os órgãos fiscalizadores a garantir o cumprimento dos requisitos de transferência internacional segura de dados.

As novas cláusulas contratuais são fruto de pareceres anteriores da Comissão Europeia, do Supervisor Europeu de Proteção de Dados, bem como de diversas partes interessadas que participaram de uma ampla consulta pública promovida pelos Estados-Membros.

A vice-presidente de Valores e Transparência, Vera Jourová afirmou que “Na Europa, queremos permanecer abertos e permitir o fluxo de dados, desde que a proteção flua com eles. As cláusulas contratuais padrão modernizadas ajudarão a alcançar este objetivo: oferecem às empresas uma ferramenta útil para garantir o cumprimento das leis de proteção de dados, tanto para as suas atividades na UE como para as transferências internacionais. Esta é uma solução necessária no mundo digital interconectado, onde a transferência de dados leva um ou dois cliques ”.

Confira os principais pontos de mudança

• Atualização de acordo com o Regulamento Geral de Proteção de Dados (GDPR);

• Um único roll amplo de sugestões de cláusulas que abarcam diversos cenários possíveis, em detrimento de diversos conjuntos destacados uns dos outros;

• Maior flexibilidade para cadeias de processamento complexas, através de uma ‘abordagem modular’ e oferecimento da possibilidade de mais de duas partes se unirem e implementarem as cláusulas de forma conjunta;

• Caixa de ferramentas prática para cumprir o julgamento Schrems II; ou seja, uma visão geral das diferentes etapas que as empresas devem seguir para cumprir o julgamento Schrems II, bem como exemplos de possíveis “medidas complementares”, como criptografia, que as empresas podem tomar, caso julguem necessário.

Para controladores e processadores que atualmente utilizam de cláusulas e modelos contratuais anteriores às atualizações do GDPR, será fornecido um período de transição de 18 meses.

Brasil ainda não detém clausulas padrão para transferência de dados

Em paralelo à realidade europeia, a Autoridade Nacional de Proteção de Dados brasileira ainda não se manifestou acerca do tema. Passível de interpretações e esclarecimentos específicos do órgão fiscalizador, o roll europeu publicado esta semana pode ser considerado um forte indício do que pode estar por vir em âmbito nacional.

Dessa forma, em meio a realidade de milhões de empresas nacionais importando e exportando dados de forma indiscriminada, a implementação das cláusulas europeias torna-se uma boa prática – ainda que de forma temporária- bem vinda internamente.

Histórico europeu

Em julho de 2020, o Tribunal de Justiça Europeu confirmou a validade das Cláusulas Contratuais Padrão da UE para a transferência de dados pessoais para processadores de países terceiros, invalidando, dessa forma, o Privacy Shield utilizado até o momento entre UE e Estados Unidos. Nesse sentido, o Tribunal decidiu que a transferência de dados dados pessoais deve se desenvolver à luz do regime vigente do regulamento europeu de proteção de dados, o GDPR, se baseando, inclusive, no roll exemplificativo de cláusulas contratuais padrão da UE – agora atualizadas pela Comissão.

Voce pode acessar o roll integral de modelos de claúsulas contratuais para transferências internacionais de dados pessoais aqui.