Cibersegurança: Transferência Internacional de Dados

A Complexa Teia da Transferência Internacional de Dados na Era da Cibersegurança

A era digital, caracterizada pela interconectividade global, impulsionou a necessidade de transações e fluxos de dados transfronteiriços. No entanto, essa realidade traz consigo desafios complexos no campo da cibersegurança, especialmente no que tange à transferência internacional de dados pessoais. A proteção desses dados, muitas vezes sensíveis e confidenciais, exige um arcabouço legal robusto e mecanismos eficazes para garantir sua segurança em trânsito e no destino.

Este artigo explora as nuances da transferência internacional de dados sob a ótica da Lei Geral de Proteção de Dados (LGPD) e da cibersegurança, abordando os desafios, as exigências legais e as melhores práticas para garantir a proteção das informações.

A LGPD e a Transferência Internacional de Dados

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, estabelece regras claras para a transferência internacional de dados pessoais, visando garantir que o nível de proteção exigido no Brasil seja mantido no país de destino. O artigo 33 da LGPD determina que a transferência internacional só é permitida em situações específicas, tais como:

• Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado: O Brasil ainda não possui uma lista oficial de países com grau de proteção adequado, o que torna essa opção menos viável no momento.
• Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD: Essa é a principal via para a transferência internacional, exigindo a implementação de mecanismos como cláusulas contratuais padrão, normas corporativas globais, selos, certificados e códigos de conduta.
• Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional: Essa exceção se aplica a casos específicos de investigação e segurança nacional.
• Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro: Essa exceção visa garantir a segurança em situações de risco iminente.
• Quando a Autoridade Nacional de Proteção de Dados (ANPD) autorizar a transferência: A ANPD pode autorizar a transferência em casos excepcionais, mediante análise do caso concreto.
• Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional: Essa exceção se aplica a acordos específicos entre países.
• Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei: Essa exceção se aplica a órgãos públicos na execução de suas funções.
• Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades: O consentimento deve ser livre, informado e inequívoco, e o titular deve ser claramente informado sobre a transferência internacional.
• Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei: Essas hipóteses se referem ao cumprimento de obrigação legal ou regulatória, execução de contrato ou exercício regular de direitos em processo judicial, administrativo ou arbitral.

Desafios da Cibersegurança na Transferência Internacional

A transferência internacional de dados amplifica os riscos de cibersegurança, exigindo medidas adicionais para proteger as informações em trânsito e no destino. Entre os principais desafios, destacam-se:

• Intercepção de dados em trânsito: A transmissão de dados por redes públicas e internacionais aumenta o risco de intercepção por atores maliciosos. É fundamental utilizar protocolos de criptografia robustos, como o TLS (Transport Layer Security), para proteger as informações durante a transmissão.
• Vulnerabilidades no país de destino: O país de destino pode ter leis de proteção de dados menos rigorosas ou apresentar maior risco de ataques cibernéticos. É crucial avaliar o nível de segurança do país de destino e implementar medidas adicionais de proteção, se necessário.
• Acesso não autorizado: A transferência de dados para terceiros, como provedores de serviços em nuvem, exige a implementação de controles de acesso rigorosos para garantir que apenas pessoas autorizadas tenham acesso às informações.
• Falta de transparência: A complexidade das cadeias de transferência de dados pode dificultar a rastreabilidade e a transparência das operações. É fundamental ter visibilidade sobre o fluxo de dados e garantir que os titulares sejam informados sobre as transferências internacionais.

Jurisprudência e a Atuação do Judiciário

A jurisprudência brasileira sobre a transferência internacional de dados ainda está em desenvolvimento, mas já existem decisões relevantes que demonstram a preocupação do Judiciário com a proteção das informações. O Superior Tribunal de Justiça (STJ), em casos envolvendo o Marco Civil da Internet (Lei nº 12.965/2014), já se manifestou sobre a necessidade de provedores de internet estrangeiros cumprirem as leis brasileiras quando prestam serviços no país, o que inclui a proteção de dados.

No âmbito da LGPD, a atuação da Autoridade Nacional de Proteção de Dados (ANPD) é fundamental para orientar e fiscalizar a transferência internacional de dados. A ANPD tem a responsabilidade de editar normas e diretrizes sobre o tema, além de avaliar o grau de proteção de dados de outros países e organismos internacionais.

Dicas Práticas para Advogados

Para auxiliar empresas e organizações na adequação à LGPD e na garantia da cibersegurança na transferência internacional de dados, advogados devem adotar as seguintes práticas:

• Mapeamento de dados: Identificar todos os fluxos de dados internacionais, incluindo os países de destino e os parceiros envolvidos.
• Análise de risco: Avaliar os riscos de cibersegurança e de conformidade com a LGPD em cada transferência internacional.
• Implementação de garantias: Adotar mecanismos legais para garantir a proteção dos dados, como cláusulas contratuais padrão ou normas corporativas globais.
• Revisão de contratos: Revisar contratos com fornecedores e parceiros internacionais para incluir cláusulas de proteção de dados e cibersegurança.
• Treinamento e conscientização: Promover treinamentos para colaboradores sobre a importância da proteção de dados e as regras para a transferência internacional.
• Monitoramento contínuo: Acompanhar as atualizações da LGPD e as diretrizes da ANPD, além de monitorar as práticas de cibersegurança dos parceiros internacionais.

Conclusão

A transferência internacional de dados é uma realidade inegável no mundo digital, mas exige cuidados redobrados com a cibersegurança e o cumprimento da LGPD. Advogados desempenham um papel fundamental na orientação de empresas e organizações para garantir que essas transferências ocorram de forma segura e em conformidade com a lei, protegendo os direitos dos titulares e mitigando os riscos de incidentes de segurança. A adoção de medidas proativas, como mapeamento de dados, análise de risco e implementação de garantias legais, é essencial para o sucesso das operações internacionais na era da informação.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.