Com a crescente digitalização e globalização dos negócios, a proteção dos dados pessoais tornou-se uma prioridade para empresas e indivíduos em todo o mundo ao passo em que muitas organizações se deparam com a necessidade de transferir dados para o exterior. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece as diretrizes para o tratamento e transferência de dados pessoais. Neste artigo, exploraremos o que é a transferência internacional de dados, quando é permitida de acordo com a LGPD e quais são as melhores práticas para garantir a conformidade com a legislação brasileira.
O que é Transferência Internacional de Dados
A transferência internacional de dados ocorre quando dados pessoais são enviados para países estrangeiros ou organismo internacional do qual o Brasil seja membro. Isso pode incluir a transmissão de dados para filiais, parceiros comerciais, fornecedores ou servidores localizados em território estrangeiro. É importante ressaltar que a LGPD se aplica a qualquer organização que colete, armazene ou processe dados pessoais de residentes brasileiros, independentemente de onde a organização esteja sediada.
Quando é Permitida a Transferência Internacional de Dados Segundo a LGPD
A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
A LGPD prevê, ainda, as situações em que a transferência internacional de dados é permitida:
- Para países ou organismos internacionais que ofereçam níveis adequados de proteção de dados, alinhados aos padrões da LGPD.
- Quando houver garantias oferecidas pelo controlador de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
- Quando a transferência necessária para cooperação jurídica internacional entre órgãos públicos ou para execução de política pública .
- Transferência essencial para proteger a vida ou a integridade física do titular ou terceiros.
- Mediante autorização da ANPD.
- Transferência baseada no consentimento específico e destacado do titular, com informação prévia sobre a natureza internacional da operação.
- Transferência necessária para cumprimento de obrigações legais ou regulatórias, para execução de contrato ou para exercício regular de direitos em processo.
Entender esses cenários é crucial para garantir a conformidade e segurança na manipulação internacional de dados pessoais.
Transferência para Países com Nível de Proteção Diferente do Brasil
Quando a transferência envolve países com níveis de proteção de dados diferentes do Brasil, a LGPD exige que a organização brasileira adote medidas adicionais para garantir a segurança dos dados transferidos. Isso pode incluir a celebração de contratos ou acordos que estabeleçam garantias de proteção adequadas através de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos
Cuidados na Celebração de Contratos e Parcerias com Organizações Estrangeiras
Ao celebrar contratos e parcerias com organizações estrangeiras, é essencial considerar aspectos de proteção de dados. Recomenda-se a inclusão de cláusulas específicas sobre a conformidade com a LGPD e a garantia de que a organização estrangeira adote medidas adequadas de segurança e privacidade dos dados.
Regulamento de Transferências Internacionais de Dados Pessoais
A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por regulamentar as transferências internacionais de dados pessoais. Ela disponibiliza um modelo disponível no Anexo II do Regulamento de cláusulas-padrão contratuais que pode ser adotado pelas organizações para garantir a conformidade com a LGPD ao transferir dados internacionalmente.
Cláusulas-Padrão Contratuais (Data Protection Agreements ou DPAs)
As cláusulas-padrão contratuais, também conhecidas como DPAs, são uma ferramenta fundamental para garantir a conformidade com a LGPD ao transferir dados internacionalmente. Essas cláusulas são modelos predefinidos que estabelecem as obrigações das partes envolvidas na transferência e a proteção dos dados pessoais e estão previstas no Anexo II do Regulamento acima mencionado.
Normas Corporativas Globais (Binding Corporate Rules ou BCRs)
Além das cláusulas-padrão contratuais, as organizações podem considerar a implementação de Normas Corporativas Globais (BCRs). Essas regras internas estabelecem diretrizes globais para o tratamento de dados pessoais, garantindo que as filiais em diferentes países atendam aos padrões de proteção de dados.
Cláusulas Contratuais Específicas
As cláusulas contratuais específicas são instrumentos contratuais personalizados que estabelecem compromissos claros entre o controlador dos dados (na origem) e o destinatário estrangeiro. Essas cláusulas visam garantir que o destinatário adote medidas adequadas de proteção de dados, alinhadas aos princípios e direitos previstos na LGPD. A verificação de tais cláusulas será realizada pela ANPD, nos termos do Regulamento específico.
Casos Práticos
Para ilustrar a importância dessas práticas, consideremos um caso prático: uma empresa brasileira que precisa transferir dados de seus clientes para os servidores de uma empresa localizada nos Estados Unidos. Nesse cenário, a empresa brasileira deve obter o consentimento dos clientes ou utilizar cláusulas-padrão contratuais para garantir a conformidade com a LGPD.
Outros exemplos de transferência internacional de dados são o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior e contratação de provedor de computação em serviço de nuvem.
Conclusão
A transferência internacional de dados é uma realidade para muitas organizações, mas a LGPD estabelece diretrizes rígidas para garantir a proteção dos dados pessoais dos cidadãos brasileiros. É crucial que as empresas estejam cientes das permissões e obrigações estabelecidas pela LGPD ao transferir dados para o exterior. Ao seguir as melhores práticas, como a utilização de cláusulas-padrão contratuais e o modelo da ANPD, as organizações podem cumprir suas obrigações legais e proteger os direitos dos titulares dos dados. Em um mundo cada vez mais conectado, a conformidade com a LGPD na transferência internacional de dados é essencial para manter a confiança dos clientes e evitar possíveis sanções legais.
Referências:
- Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
- Autoridade Nacional de Proteção de Dados (ANPD)
- Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais (ANPD)
- Autoridade Europeia de Proteção de Dados – Regulamento Geral de Proteção de Dados (GDPR)
- Guia de Proteção de Dados Pessoais Transferência Internacional (FGV).
