Trata-se de uma tendência global que, dentre muitas vantagens, permite que empresas brasileiras alcancem o mesmo patamar de corporações internacionais que se adequaram ao regulamento europeu (GDPR) e que agora podem encontrar nas transações comerciais com o Brasil o mesmo grau de segurança praticado em outras partes do mundo.
Inúmeros pontos, contudo, ainda suscitam dúvidas, como é o caso da transferência internacional de dados.
A transferência internacional de dados pessoais é muito mais comum do que as empresas normalmente consideram. Ela está presente no dia a dia dos negócios, ao contratar fornecedores e utilizar ferramentas estrangeiras para diversas atividades. Exemplos disso são uma série de serviços em nuvem como AWS, AZURE, Office 365, MailChimp e tantos outros.
Nesse sentido, o gerenciamento e hospedagem de bancos de dados da empresa, emails, utilização de aplicações para videoconferências, softwares de contabilidade, dentre outros, podem – na prática – implicar em uma transferência internacional de dados.
Especificamente, o tema é disciplinado pelos artigos 33 a 36 da LGPD. A transferência internacional de dados pessoais apenas é permitida nos casos previstos no artigo 33.
Boa parte dessas hipóteses, porém, ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Além dos casos expressamente autorizados pela ANPD, caberá a ela definir:
● países ou organismos internacionais com nível de proteção de dados pessoais adequado ao da LGPD, considerando:
○ as normas gerais e setoriais da legislação em vigor;
○ a natureza dos dados;
○ a observância dos princípios e direitos dos titulares;
○ a adoção de medidas de segurança previstas em regulamento;
○ a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
○ outras circunstâncias específicas relativas à transferência;
● conteúdo de cláusulas-padrão contratuais;
● normas corporativas globais; e
● selos, certificados e códigos de conduta aplicáveis.
Não obstante, algumas regras do artigo 33 devem ser observadas desde já, de modo que a lei autoriza a transferência internacional de dados por empresas nos seguintes casos:
a. Quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, na forma de cláusulas contratuais específicas para determinada transferência;
b. Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
c. Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou
d. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
Mas existem outras formas das empresas continuarem fazendo a transferência internacional sem infringir a Lei ou os Direitos dos Titulares, mesmo enquanto esperamos pela ANPD.
Assim, considerando as regras previstas na LGPD, é possível a transferência internacional de dados pessoais por empresas no âmbito das atividades de tratamento, desde que todos os contratos sejam adequados às exigências da lei, bem como haja observância aos princípios, às bases legais corretas que fundamentam o tratamento e aos direitos dos titulares de dados.
Infelizmente, a resposta para isso depende de uma consultoria e revisão contratual, não existindo fórmula mágica que possa ser compartilhada e que sirva para todos.
Caso tenha alguma dúvida ou precise de orientação especializada sobre este ou outro tema ligado à proteção de dados e direito digital, a nossa equipe está pronta para lhe atender. É só acessar o site.