Conheça as SCCs: cláusulas contratuais para transferência internacional de dados na Europa

SCCs

Em 4 de junho de 2021, a Comissão Europeia publicou uma nova versão das “Standard Contractual Clauses for data transfers between EU and non-EU countries” (SCCs). Isto faz com que seja um bom momento para compreender o que são as SCCs, sua utilidade e principais características bem como acompanhar quais as novidades trazidas pela sua nova versão publicada. 

O que são as SCCs?

As SCCs são cláusulas-tipo (também chamadas de “contratos modelo”) pré-aprovadas pela Comissão Europeia com o objetivo de assegurar que a transferência internacional de dados pessoais entre uma entidade dentro da União Europeia e outra entidade fora da zona econômica tenha as garantias adequadas de que o tratamento de dados terá ao menos o mesmo nível de proteção previsto pela GDPR (General Data Protection Regulation) e que os direitos dos titulares de dados previstos nesta regulação serão respeitados

As SCCs são o método mais prático e simples de permitir a transferência internacional de dados sem precisar de autorizações específicas dadas pelas Autoridades de Proteção de Dados, sendo que uma pesquisa da International Association of Privacy Professionals (IAPP) identificou que 88% dos profissionais de privacidade dos EUA e da União Europeia utilizaram as SCCs no ano de 2019. 

SCCs - Standard Contractual Clauses
SCCs – Standard Contractual Clauses

GDPR: transferências de dados pessoais

Segundo a GPDR, transferências de dados pessoais de cidadãos europeus com entes privados de fora da União Europeia só poderão ser efetuadas caso:

  1. A Comissão Europeia tenha decidido e publicado que o país ou organização internacional em questão assegura um nível de proteção adequado;
  2. Com a autorização específica da Comissão Europeia;
  3. Caso a empresa de fora da União Europeia tenha Regras Vinculativas ou um Código de Conduta autorizados por Autoridade Nacional de Proteção de Dados Europeia;
  4. Caso as partes da transferência de dados tenham passado por procedimentos de certificação em matéria de proteção de dados conforme previsto no Art. 42 da GDPR e se comprometam a seguir a GDPR no tratamento em questão; ou
  5. Caso as partes assinem um contrato contendo as SCCs aprovadas pela Comissão Europeia.

Assim, é possível perceber que as SCCs são a ferramenta mais simples e prática para que as empresas e entidades possam ter suas transferências de dados pessoais com entidades dentro da União Europeia permitidas pela lei

Na GDPR, as SCCs estão previstas no Art. 46:

“Artigo 46: Transferências sujeitas a garantias adequadas

1. Não tendo sido tomada qualquer decisão nos termos do artigo 45, n. 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes. 

2. Podem ser previstas as garantias adequadas referidas no n. 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:

c) Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93, n. 2;”

No mesmo sentido, a LGPD afirma a validade das cláusulas-padrão contratuais para autorizar a transferência internacional de dados pessoais:

“Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: 

b) cláusulas-padrão contratuais;”

“Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.”

Dessa forma, é importante notar que as cláusulas-padrão contratuais deverão ser autorizadas pela Autoridade Nacional de Proteção de Dados para serem consideradas plenamente válidas. Considerando que a LGPD já está em vigor e que a ANPD ainda não publicou nenhum documento sobre a validade de cláusulas-padrão contratuais, e considerando que as definições da Autoridade sobre o tema estão previstas somente para 2022, conforme o Planejamento Estratégico 2021-2023 da ANPD, podemos constatar que as SCCs aprovadas pela Comissão Europeia são a ferramenta mais segura para garantir a legalidade da transferência internacional de dados

Sobre o Conteúdo das SCCs
Sobre o Conteúdo das SCCs

Sobre o Conteúdo das SCCs

Sabendo o que são as SCCs e quais os dispositivos legais que fazem delas as principais ferramentas para adequação de contratos que tratam da transferência internacional de dados pessoais, vamos agora conhecer qual o conteúdo dessas cláusulas e quais as obrigações das partes que decidem assinar um contrato contendo as SCCs. As informações a seguir já estão atualizadas conforme a nova versão do documento publicada em junho de 2021. 

Um primeiro ponto para se compreender é o de que os entes que estão se vinculando às SCCs em um contrato não podem alterar o conteúdo das cláusulas. É permitido (e em muitos casos recomendado) que o contrato especifique os parâmetros e mecanismos utilizados no caso concreto para cumprir as cláusulas padrão por meio de adendos, porém caso as SCCs sejam alteradas o contrato perde a sua função como autorização aprovada pelas Autoridades de Proteção de Dados.

A Comissão Europeia afirma que os controladores e operadores de dados tem a liberdade de incluir as SCCs em contratos contendo outras cláusulas desde que estas não contradigam, direta ou indiretamente, as SCCs ou prejudiquem os direitos e liberdades fundamentais dos titulares de dados. 

Outra questão relevante, e que veio a ser um dos principais motivos para a atualização das SCCs, é manter em mente que a assinatura do contrato só vincula as partes nele presentes, não sendo as cláusulas aplicáveis, por exemplo, para proteger os dados pessoais transferidos caso a autoridade do país de alguma das partes exija ou requeira legalmente o acesso a estes dados. 

Vamos então ao conteúdo específico das SCCs:

SCCs: Obrigações das partes 

  • Limitação das finalidades:
    • As partes só devem tratar os dados para as finalidades específicas declaradas para a transferência de dados ou quando a) obtiverem o consentimento específico dos titulares; b) necessário no contexto de processos judiciais; ou c) necessário para proteger os interesses vitais do titular de dados ou de outra pessoa natural. 
  • Transparência:
    • As partes devem tornar disponíveis aos titulares de dados informações sobre suas identidades e modos de contato, quais os tipos de dados tratados, publicizar o direito dos titulares a obterem uma cópia das SCCs que regem o contrato, bem como informações sobre possíveis transferências dos dados a terceiros.
  • Qualidade e minimização dos dados:
    • As partes têm a obrigação de garantir a veracidade dos dados pessoais tratados e tentar mantê-los atualizados. Além disso as partes devem garantir que os dados compartilhados são somente aqueles adequados, relevantes e necessários para cumprir as finalidades da transferência de dados. 
  • Limitação de armazenamento:
    • As partes não devem reter os dados pessoais por períodos mais longos que o necessário para que se cumpram as finalidades da transferência de dados, devendo excluir ou anonimizar os dados e backups ao fim do tratamento. 
  • Segurança do Tratamento:
    • As partes se comprometem a implementar as medidas técnicas e organizacionais necessárias para garantir a segurança dos dados pessoais transferidos, bem como sua confidencialidade. 
  • Dados Sensíveis:
    • Quando a transferência internacional de dados incluir dados sensíveis, o receptor destes dados deve implementar restrições e/ou medidas adicionais para proteger e adaptar a transferência e o tratamento destes dados ao nível de risco que eles apresentam. 
  • Transferência dos dados a terceiros:
    • O receptor dos dados não deve transferir ou compartilhar estes com terceiros que não tenham assinado contrato contendo as SCCs ou outra forma de autorização dada pela GDPR. 
  • Documentação e Compliance:
    • As partes devem manter registros que permitam comprovar seus esforços para o cumprimento das cláusulas previstas no contrato, bem como registros apropriados das atividades de tratamento de dados sob sua responsabilidade, como mapeamentos de dados.
  • Direitos dos Titulares: 

O receptor dos dados se compromete a:

  • Garantir que responderá os pedidos de exercício de direito dos titulares de dados sem atrasos indevidos e no máximo em até um mês após recebimento da requisição;
  • Tomar as medidas necessárias para garantir o cumprimento rápido e eficiente dos direitos dos titulares de dados;
  • Providenciar aos titulares que requisitarem a confirmação do tratamento de dados e uma cópia do anexo contratual contendo o escopo da transferência de dados, bem como a informação sobre possíveis compartilhamentos destes dados e sobre a possibilidade de o titular apresentar reclamações às Autoridades de Proteção de Dados;
  • Garantir o direito dos titulares de corrigir dados errados ou desatualizados;
  • Garantir o direito dos titulares pela exclusão de dados desnecessários, cujo tratamento descumpra alguma das cláusulas da SCCs ou cujo tratamento já tenha sido finalizado;
  • Terminar qualquer tratamento dos dados compartilhados para fins de marketing caso o titular assim exija;
  • Não utilizar dos dados transferidos para efetuar a automação de tomada de decisão que possa produzir efeitos legais ou similares que afetem o titular de dados;
  • Informar e explicar suas justificativas para negar o exercício de qualquer direito apresentado nessas cláusulas caso considere o pedido do titular injustificado.

Ao assinar as SCCs, cada parte se torna responsável pelos danos que venha a causar às demais partes por quaisquer quebras das cláusulas, bem como se tornam sujeitas às reclamações dos titulares de dados e possíveis consequências legais das reclamações destes titulares às Autoridades de Proteção de Dados. 

O que muda com as novas SCCs aprovadas?

As SCCs aprovadas em junho de 2021 representam a primeira atualização das cláusulas desde a entrada em vigor da GDPR, e chegam meses depois da publicação do julgamento da Corte de Justiça Europeia “Schrems II”, no qual a corte invalidou o acordo para transferência de dados pessoais entre entes privados na União Europeia e nos Estados Unidos. 

Por essas razões, as novas SCCs atingem um nível de proteção que era já esperado e demandado pelos especialistas de privacidade e proteção de dados desde a aprovação da GDPR. 

As novas SCCs mantêm o formato “modular” já existente desde sua primeira versão de 2001, na qual as partes podem escolher qual o módulo de cláusulas é aplicável para seu contrato em particular, mas adicionam um novo módulo ao seu modelo. Os 4 módulos presentes na versão atual são úteis para:

  • Transferências Controlador – Controlador (módulo 1)
  • Transferências Controlador – Operador (módulo 2)
  • Transferências Operador – Operador (módulo 3)
  • Transferências Operador – Controlador (módulo 4)

Para entender mais sobre quem são os controladores de dados, operadores de dados e encarregado de proteção de dados, leia este artigo de nossa Série LGPD na Prática

Ao adicionar um novo módulo e outros artigos específicos as novas cláusulas-tipo facilitam a sua aplicação, por exemplo, entre duas partes que não estejam na União Europeia mas cujos titulares de dados envolvidos sejam protegidos pela GDPR. Isto possibilita que as novas SCCs sejam aplicadas entre entes em dois países fora da UE, aumentando o escopo geográfico de sua aplicação. 

Por fim, uma nova e complexa atualização das SCCs surgiu para responder ao já mencionado caso “Schrems II”, em que a Corte de Justiça Europeia julgou afirmou que, uma vez que as SCCs então válidas continham cláusulas que permitiam a suspensão da transferência dos dados pessoais caso o receptor destes não fosse capaz de tratá-los de acordo com o GDPR e a legislação europeia, esta base legal se demonstra adequada aos níveis mínimos de segurança e de proteção aos direitos dos cidadãos europeus para ser considerada válida. 

De qualquer forma, a decisão afirmou que a legislação doméstica norte-americana sobre o acesso à dados pessoais pelas autoridades impõe limitações ao direito fundamental à proteção de dados dos cidadãos europeus, uma vez que os requisitos legais que justificam o acesso aos dados nos EUA não seguem, por exemplo, o princípio da proporcionalidade, de modo que o acesso das autoridades aos dados pessoais não é limitado aos acessos estritamente necessários. 

Essas constatações levaram as novas SCCs a adotarem uma nova seção inteira (Section III) em que constam cláusulas sobre “Legislação e práticas locais que afetam a aplicação das cláusulas-tipo” e sobre as obrigações do receptor dos dados no caso destes serem acessados por autoridades públicas de seus respectivos países.

Estas cláusulas exigem que as partes considerem o risco de uma autoridade pública de um país fora da União Europeia acessar os dados transferidos, de modo que as partes se comprometem de que “não têm razões para crer” que a legislação de seus países causará obstáculos para a aplicação de todas as cláusulas e direitos previstos pelas SCCs. 

Assim, as novas cláusulas exigem que o receptor dos dados notifique as demais partes do contrato no caso de qualquer requisição de acesso ou de acesso direto aos dados por uma autoridade governamental (a não ser que proibidos de comunicar a ocorrência). 

O receptor de dados se compromete a protestar a proibição de comunicação dos acessos, a buscar apelar às decisões que permitem este acesso, e a ceder o mínimo de informações necessárias para cumprir com as requisições judiciais. Além disso, são incentivados a implementarem técnicas que impeçam este tipo de acesso indevido, como por exemplo por meio de criptografia dos dados que podem ser interceptados por agentes governamentais. 

A nova versão das SCCs (em inglês) está disponível aqui

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “Conheça as SCCs – Standard Contractual Clauses: cláusulas contratuais pré-definidas pela UE que permitem a transferência internacional de dados pessoais foi escrito Por Rodrigo Glasmeyer e revisado por MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Rodrigo Glasmeyer
Rodrigo Glasmeyer
Graduando em Direito na Universidade Federal do Paraná, membro do Programa de Educação Tutorial Direito (PET-Direito) e do Grupo de Estudos de Direito Autoral e Industrial (GEDAI) da UFPR. É estagiário do BL Consultoria Digital na área de Proteção de Dados.
Rodrigo Glasmeyer
Rodrigo Glasmeyer
Graduando em Direito na Universidade Federal do Paraná, membro do Programa de Educação Tutorial Direito (PET-Direito) e do Grupo de Estudos de Direito Autoral e Industrial (GEDAI) da UFPR. É estagiário do BL Consultoria Digital na área de Proteção de Dados.

Posts Relacionados