A transferência internacional de dados poderá ocorrer quando o controlador oferecer

O artigo 5º da Lei Geral de Proteção de Dados define transferência internacional de dados como “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”, bem como possui um capítulo inteiro dedicado a trazer disposições sobre esse tema, dado a sua importância.

A LGPD traz ainda um rol taxativo de 9 (nove) hipóteses em que é permitida a transferência internacional de dados pessoais. Não obstante, destaca-se a primeira hipótese: é permitida a transferência internacional de dados “para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei”.

Trata-se da possibilidade de transferir dados internacionalmente sem que seja necessário ao controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos estabelecidos na LGPD. Ou seja, antes de sua empresa situada no Brasil assinar um contrato internacional, no qual possa ocorrer a transferência de dados pessoais, é recomendável confirmar se a legislação de proteção de dados do outro país oferece, no mínimo, o mesmo grau de proteção aos dados que a legislação brasileira. Do contrário, será necessário ao controlador estabelecer cláusulas contratuais específicas que regulem a proteção de dados no contexto da transferência, oferecendo as garantias e direitos previstos pela nossa legislação de proteção de dados, salvo se a transferência for baseada nos demais incisos do artigo 33 da Lei Geral de Proteção de Dados.

A LGPD já está em vigor, portanto, suas disposições já devem ser seguidas e, enquanto a Autoridade Nacional de Proteção de Dados não regulamenta este tema, uma ferramenta disponível online pode auxiliar na busca por mais informações sobre o grau de proteção de dados em diferentes países: o DLA Piper.

O site traz um apanhado acerca de todas as legislações de proteção de dados do mundo, permitindo que o usuário compare as legislações de dois países distintos. 

Apesar das informações contidas no site auxiliarem em uma pesquisa sobre o grau de proteção de dados em diferentes países do mundo, é recomendável o apoio jurídico especializado no assunto para que a melhor estratégia em governança de dados seja utilizada, reduzindo custos transacionais e riscos operacionais.

A Lei Ger­al de Pro­teção de Dados — LGPD surgiu com o obje­ti­vo de pro­te­ger os dire­itos fun­da­men­tais de liber­dade e de pri­vaci­dade, bem como o livre desen­volvi­men­to da per­son­al­i­dade dos indi­ví­du­os através da pro­moção de uma cul­tura de pro­teção de dados pessoais.

Tra­ta-se de uma tendên­cia glob­al que, den­tre muitas van­ta­gens, per­mite que empre­sas brasileiras alcancem o mes­mo pata­mar de cor­po­rações inter­na­cionais que se ade­quaram ao reg­u­la­men­to europeu (GDPR) e que ago­ra podem encon­trar nas transações com­er­ci­ais com o Brasil o mes­mo grau de segu­rança prat­i­ca­do em out­ras partes do mundo.

Inúmeros pon­tos, con­tu­do, ain­da sus­ci­tam dúvi­das, como é o caso da trans­fer­ên­cia inter­na­cional de dados.

A trans­fer­ên­cia inter­na­cional de dados pes­soais é muito mais comum do que as empre­sas nor­mal­mente con­sid­er­am. Ela está pre­sente no dia a dia dos negó­cios, ao con­tratar fornece­dores e uti­lizar fer­ra­men­tas estrangeiras para diver­sas ativi­dades. Exem­p­los dis­so são uma série de serviços em nuvem como AWS, AZURE, Office 365, MailChimp e tan­tos outros.

Nesse sen­ti­do, o geren­ci­a­men­to e hospedagem de ban­cos de dados da empre­sa, emails, uti­liza­ção de apli­cações para video­con­fer­ên­cias, soft­wares de con­tabil­i­dade, den­tre out­ros, podem — na práti­ca — implicar em uma trans­fer­ên­cia inter­na­cional de dados.

Especi­fi­ca­mente, o tema é dis­ci­plina­do pelos arti­gos 33 a 36 da LGPD. A trans­fer­ên­cia inter­na­cional de dados pes­soais ape­nas é per­mi­ti­da nos casos pre­vis­tos no arti­go 33.

Boa parte dessas hipóte­ses, porém, ain­da depende de reg­u­la­men­tação pela Autori­dade Nacional de Pro­teção de Dados (ANPD). Além dos casos expres­sa­mente autor­iza­dos pela ANPD, caberá a ela definir:

● país­es ou organ­is­mos inter­na­cionais com nív­el de pro­teção de dados pes­soais ade­qua­do ao da LGPD, considerando:
○ as nor­mas gerais e seto­ri­ais da leg­is­lação em vigor;
○ a natureza dos dados;
○ a observân­cia dos princí­pios e dire­itos dos titulares;
○ a adoção de medi­das de segu­rança pre­vis­tas em regulamento;
○ a existên­cia de garan­tias judi­ci­ais e insti­tu­cionais para o respeito aos dire­itos de pro­teção de dados pes­soais; e
○ out­ras cir­cun­stân­cias especí­fi­cas rel­a­ti­vas à transferência;

● con­teú­do de cláusu­las-padrão contratuais;

● nor­mas cor­po­ra­ti­vas globais; e

● selos, cer­ti­fi­ca­dos e códi­gos de con­du­ta aplicáveis.

Não obstante, algu­mas regras do arti­go 33 devem ser obser­vadas des­de já, de modo que a lei autor­iza a trans­fer­ên­cia inter­na­cional de dados por empre­sas nos seguintes casos:

a. Quan­do o con­tro­lador ofer­ece e com­pro­va garan­tias de cumpri­men­to dos princí­pios, dos dire­itos do tit­u­lar e do regime de pro­teção de dados pre­vis­to na LGPD, na for­ma de cláusu­las con­trat­u­ais especí­fi­cas para deter­mi­na­da transferência;

b. Quan­do a trans­fer­ên­cia for necessária para a coop­er­ação jurídi­ca inter­na­cional entre órgãos públi­cos de inteligên­cia, de inves­ti­gação e de per­se­cução, de acor­do com os instru­men­tos de dire­ito internacional;

c. Quan­do a trans­fer­ên­cia for necessária para a pro­teção da vida ou da inco­lu­mi­dade físi­ca do tit­u­lar ou de ter­ceiro; ou

d. Quan­do o tit­u­lar tiv­er forneci­do o seu con­sen­ti­men­to especí­fi­co e em destaque para a trans­fer­ên­cia, com infor­mação prévia sobre o caráter inter­na­cional da oper­ação, dis­tin­guin­do clara­mente esta de out­ras finalidades.

Mas exis­tem out­ras for­mas das empre­sas con­tin­uarem fazen­do a trans­fer­ên­cia inter­na­cional sem infringir a Lei ou os Dire­itos dos Tit­u­lares, mes­mo enquan­to esper­amos pela ANPD.

Assim, con­sideran­do as regras pre­vis­tas na LGPD, é pos­sív­el a trans­fer­ên­cia inter­na­cional de dados pes­soais por empre­sas no âmbito das ativi­dades de trata­men­to, des­de que todos os con­tratos sejam ade­qua­dos às exigên­cias da lei, bem como haja observân­cia aos princí­pios, às bases legais cor­re­tas que fun­da­men­tam o trata­men­to e aos dire­itos dos tit­u­lares de dados.

Infe­liz­mente, a respos­ta para isso depende de uma con­sul­to­ria e revisão con­trat­u­al, não existin­do fór­mu­la mág­i­ca que pos­sa ser com­par­til­ha­da e que sir­va para todos.

Caso ten­ha algu­ma dúvi­da ou pre­cise de ori­en­tação espe­cial­iza­da sobre este ou out­ro tema lig­a­do à pro­teção de dados e dire­ito dig­i­tal, a nos­sa equipe está pronta para lhe aten­der. É só aces­sar o site.

Em que circunstâncias a transferência internacional de dados poderá ocorrer?

Em qual caso a transferência internacional de dados é permitida LGPD?

O que considera transferência internacional de dados?

Quando estamos perante um caso de transferência de dados?