Transferências internacionais de dados na LGPD

A Lei Ger­al de Pro­teção de Dados — LGPD surgiu com o obje­ti­vo de pro­te­ger os dire­itos fun­da­men­tais de liber­dade e de pri­vaci­dade, bem como o livre desen­volvi­men­to da per­son­al­i­dade dos indi­ví­du­os através da pro­moção de uma cul­tura de pro­teção de dados pessoais.

Tra­ta-se de uma tendên­cia glob­al que, den­tre muitas van­ta­gens, per­mite que empre­sas brasileiras alcancem o mes­mo pata­mar de cor­po­rações inter­na­cionais que se ade­quaram ao reg­u­la­men­to europeu (GDPR) e que ago­ra podem encon­trar nas transações com­er­ci­ais com o Brasil o mes­mo grau de segu­rança prat­i­ca­do em out­ras partes do mundo.

Inúmeros pon­tos, con­tu­do, ain­da sus­ci­tam dúvi­das, como é o caso da trans­fer­ên­cia inter­na­cional de dados.

A trans­fer­ên­cia inter­na­cional de dados pes­soais é muito mais comum do que as empre­sas nor­mal­mente con­sid­er­am. Ela está pre­sente no dia a dia dos negó­cios, ao con­tratar fornece­dores e uti­lizar fer­ra­men­tas estrangeiras para diver­sas ativi­dades. Exem­p­los dis­so são uma série de serviços em nuvem como AWS, AZURE, Office 365, MailChimp e tan­tos outros.

Nesse sen­ti­do, o geren­ci­a­men­to e hospedagem de ban­cos de dados da empre­sa, emails, uti­liza­ção de apli­cações para video­con­fer­ên­cias, soft­wares de con­tabil­i­dade, den­tre out­ros, podem — na práti­ca — implicar em uma trans­fer­ên­cia inter­na­cional de dados.

Especi­fi­ca­mente, o tema é dis­ci­plina­do pelos arti­gos 33 a 36 da LGPD. A trans­fer­ên­cia inter­na­cional de dados pes­soais ape­nas é per­mi­ti­da nos casos pre­vis­tos no arti­go 33.

Boa parte dessas hipóte­ses, porém, ain­da depende de reg­u­la­men­tação pela Autori­dade Nacional de Pro­teção de Dados (ANPD). Além dos casos expres­sa­mente autor­iza­dos pela ANPD, caberá a ela definir:

● país­es ou organ­is­mos inter­na­cionais com nív­el de pro­teção de dados pes­soais ade­qua­do ao da LGPD, considerando:
○ as nor­mas gerais e seto­ri­ais da leg­is­lação em vigor;
○ a natureza dos dados;
○ a observân­cia dos princí­pios e dire­itos dos titulares;
○ a adoção de medi­das de segu­rança pre­vis­tas em regulamento;
○ a existên­cia de garan­tias judi­ci­ais e insti­tu­cionais para o respeito aos dire­itos de pro­teção de dados pes­soais; e
○ out­ras cir­cun­stân­cias especí­fi­cas rel­a­ti­vas à transferência;

● con­teú­do de cláusu­las-padrão contratuais;

● nor­mas cor­po­ra­ti­vas globais; e

● selos, cer­ti­fi­ca­dos e códi­gos de con­du­ta aplicáveis.

Não obstante, algu­mas regras do arti­go 33 devem ser obser­vadas des­de já, de modo que a lei autor­iza a trans­fer­ên­cia inter­na­cional de dados por empre­sas nos seguintes casos:

a. Quan­do o con­tro­lador ofer­ece e com­pro­va garan­tias de cumpri­men­to dos princí­pios, dos dire­itos do tit­u­lar e do regime de pro­teção de dados pre­vis­to na LGPD, na for­ma de cláusu­las con­trat­u­ais especí­fi­cas para deter­mi­na­da transferência;

b. Quan­do a trans­fer­ên­cia for necessária para a coop­er­ação jurídi­ca inter­na­cional entre órgãos públi­cos de inteligên­cia, de inves­ti­gação e de per­se­cução, de acor­do com os instru­men­tos de dire­ito internacional;

c. Quan­do a trans­fer­ên­cia for necessária para a pro­teção da vida ou da inco­lu­mi­dade físi­ca do tit­u­lar ou de ter­ceiro; ou

d. Quan­do o tit­u­lar tiv­er forneci­do o seu con­sen­ti­men­to especí­fi­co e em destaque para a trans­fer­ên­cia, com infor­mação prévia sobre o caráter inter­na­cional da oper­ação, dis­tin­guin­do clara­mente esta de out­ras finalidades.

Mas exis­tem out­ras for­mas das empre­sas con­tin­uarem fazen­do a trans­fer­ên­cia inter­na­cional sem infringir a Lei ou os Dire­itos dos Tit­u­lares, mes­mo enquan­to esper­amos pela ANPD.

Assim, con­sideran­do as regras pre­vis­tas na LGPD, é pos­sív­el a trans­fer­ên­cia inter­na­cional de dados pes­soais por empre­sas no âmbito das ativi­dades de trata­men­to, des­de que todos os con­tratos sejam ade­qua­dos às exigên­cias da lei, bem como haja observân­cia aos princí­pios, às bases legais cor­re­tas que fun­da­men­tam o trata­men­to e aos dire­itos dos tit­u­lares de dados.

Infe­liz­mente, a respos­ta para isso depende de uma con­sul­to­ria e revisão con­trat­u­al, não existin­do fór­mu­la mág­i­ca que pos­sa ser com­par­til­ha­da e que sir­va para todos.

Caso ten­ha algu­ma dúvi­da ou pre­cise de ori­en­tação espe­cial­iza­da sobre este ou out­ro tema lig­a­do à pro­teção de dados e dire­ito dig­i­tal, a nos­sa equipe está pronta para lhe aten­der. É só aces­sar o site.