Comércio Exterior: Privacidade Transfronteiriça

O comércio exterior, impulsionado pela globalização e pela digitalização, tem se expandido exponencialmente. No entanto, essa expansão traz consigo desafios complexos, especialmente no que tange à privacidade de dados. A transferência internacional de dados pessoais é uma realidade inegável nas operações comerciais internacionais, exigindo que as empresas se adequem a um arcabouço legal cada vez mais rigoroso para garantir a proteção das informações de seus clientes e parceiros.

A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018, em vigor desde 2020, estabelece regras claras para a transferência internacional de dados. A adequação a essas normas não é apenas uma obrigação legal, mas também um diferencial competitivo, demonstrando o compromisso da empresa com a segurança e a privacidade de seus clientes.

Este artigo se propõe a analisar os desafios e as oportunidades da privacidade transfronteiriça no contexto do comércio exterior, à luz da legislação brasileira, com foco especial na LGPD. Exploraremos os principais mecanismos de transferência internacional de dados previstos na lei, as implicações legais e as melhores práticas para garantir a conformidade e a segurança nas operações comerciais internacionais.

A LGPD e a Transferência Internacional de Dados

A LGPD, em seu Capítulo V, estabelece as regras para a transferência internacional de dados pessoais. O objetivo principal é garantir que o nível de proteção garantido pela lei brasileira seja mantido, independentemente do destino dos dados.

A lei prevê diversas hipóteses para a transferência internacional de dados, sendo as mais relevantes.

1. Transferência para Países com Nível de Proteção Adequado (Art. 33, I, LGPD)

A transferência é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por avaliar o nível de proteção, considerando diversos fatores, como a legislação aplicável, as garantias institucionais e as decisões de autoridades competentes.

Até o momento, a ANPD não emitiu uma lista oficial de países com nível adequado de proteção. A ausência de uma lista consolidada exige que as empresas realizem uma avaliação criteriosa do país de destino, analisando a legislação local e a existência de mecanismos de proteção semelhantes à LGPD.

2. Transferência mediante Garantias Apropriadas (Art. 33, II, LGPD)

Quando o país de destino não possui um nível de proteção adequado, a transferência pode ocorrer mediante garantias apropriadas. Essas garantias visam assegurar que os direitos dos titulares sejam respeitados, mesmo em jurisdições com legislação menos restritiva.

A LGPD prevê os seguintes mecanismos de garantia:

• Cláusulas Contratuais Específicas: O controlador (empresa que transfere os dados) pode estipular cláusulas contratuais específicas para uma determinada transferência, garantindo que o operador (empresa que recebe os dados) cumpra os princípios e direitos da LGPD. A ANPD deve aprovar essas cláusulas.
• Cláusulas-Padrão Contratuais: A ANPD pode aprovar cláusulas-padrão contratuais que podem ser utilizadas pelas empresas como garantia para a transferência internacional. A utilização de cláusulas-padrão simplifica o processo, pois dispensa a aprovação individual de cada contrato. A ANPD publicou a Resolução nº 4, de 24 de fevereiro de 2023, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelecendo parâmetros para a aplicação de sanções em caso de descumprimento da LGPD, o que reforça a importância de utilizar cláusulas-padrão aprovadas.
• Normas Corporativas Globais: Empresas multinacionais podem adotar normas corporativas globais (Binding Corporate Rules - BCRs) para regular a transferência de dados entre empresas do mesmo grupo econômico. As BCRs devem ser aprovadas pela ANPD e garantir um nível de proteção equivalente ao da LGPD.
• Selos, Certificados e Códigos de Conduta: A LGPD prevê a possibilidade de utilização de selos, certificados e códigos de conduta regularmente emitidos como garantias para a transferência internacional de dados.

3. Transferência com o Consentimento Específico (Art. 33, VIII, LGPD)

A transferência internacional de dados pode ocorrer com o consentimento específico e em destaque do titular dos dados, desde que ele seja informado previamente sobre o caráter internacional da operação. O consentimento deve ser livre, informado e inequívoco, e o titular deve ser claramente alertado sobre os riscos envolvidos na transferência para um país sem nível adequado de proteção.

4. Transferência para o Cumprimento de Obrigação Legal ou Regulatória (Art. 33, IX, LGPD)

A transferência internacional de dados é permitida quando for necessária para o cumprimento de obrigação legal ou regulatória pelo controlador. Essa hipótese é aplicável em situações onde a lei brasileira ou um tratado internacional exija a transferência de dados.

5. Outras Hipóteses (Art. 33, III a VII, LGPD)

A LGPD prevê outras hipóteses de transferência internacional de dados, como a necessidade para a execução de contrato (III), para a proteção da vida ou da incolumidade física do titular ou de terceiro (IV), quando o titular tiver fornecido seus dados de forma manifestamente pública (V) ou para a execução de política pública ou atribuição legal do serviço público (VI e VII).

Desafios e Riscos na Transferência Internacional de Dados

A transferência internacional de dados apresenta desafios e riscos que exigem atenção redobrada das empresas:

• Divergência Legislativa: A falta de harmonização das leis de proteção de dados em nível global dificulta a conformidade. Empresas que operam em diversos países precisam se adaptar a diferentes exigências legais, o que pode ser complexo e custoso.
• Ausência de Lista de Países Adequados: A falta de uma lista oficial de países com nível adequado de proteção pela ANPD gera incerteza jurídica e exige que as empresas realizem avaliações individuais de cada país de destino, o que pode ser um processo demorado e complexo.
• Riscos de Segurança: A transferência de dados para países com legislação fraca ou infraestrutura de segurança inadequada aumenta o risco de vazamentos e incidentes de segurança.
• Sanções e Penalidades: O descumprimento das regras de transferência internacional de dados previstas na LGPD pode resultar em sanções administrativas, como multas, suspensão da atividade de tratamento e até mesmo o bloqueio da transferência de dados.

Jurisprudência e Decisões Relevantes

A jurisprudência brasileira ainda está em processo de consolidação no que diz respeito à transferência internacional de dados. No entanto, algumas decisões do Superior Tribunal de Justiça (STJ) e do Supremo Tribunal Federal (STF) fornecem importantes indicativos sobre a interpretação da LGPD.

O STJ, em diversas decisões, tem reafirmado a importância da proteção de dados pessoais e a necessidade de cumprimento da LGPD. A Corte tem enfatizado que a transferência internacional de dados deve ser realizada com cautela e em observância aos princípios da lei.

O STF, por sua vez, reconheceu a proteção de dados pessoais como um direito fundamental (Emenda Constitucional nº 115/2022). Essa decisão reforça a importância da privacidade e exige que a transferência internacional de dados seja tratada com a máxima seriedade.

Dicas Práticas para Advogados

Para assessorar empresas em operações de comércio exterior que envolvam a transferência internacional de dados, o advogado deve:

1. Mapeamento de Dados: Auxiliar a empresa no mapeamento detalhado dos dados pessoais que serão transferidos, identificando a finalidade, a base legal e o país de destino.
2. Avaliação de Risco: Realizar uma avaliação de risco (Data Protection Impact Assessment - DPIA) para identificar e mitigar os riscos associados à transferência internacional de dados.
3. Análise do País de Destino: Avaliar o nível de proteção de dados do país de destino, verificando se há legislação adequada e se o país é considerado seguro pela ANPD ou por outras autoridades de proteção de dados relevantes (como a União Europeia).
4. Definição do Mecanismo de Transferência: Escolher o mecanismo de transferência mais adequado para cada caso, considerando as opções previstas na LGPD (cláusulas-padrão, BCRs, consentimento, etc.).
5. Elaboração de Contratos e Acordos: Redigir ou revisar contratos e acordos de transferência de dados, garantindo que as cláusulas estejam em conformidade com a LGPD e com as exigências da ANPD.
6. Políticas de Privacidade e Transparência: Auxiliar a empresa na elaboração de políticas de privacidade claras e transparentes, informando aos titulares sobre a transferência internacional de dados e os mecanismos de proteção adotados.
7. Monitoramento Contínuo: Acompanhar as atualizações da LGPD, as resoluções da ANPD e as decisões judiciais relevantes, garantindo que a empresa esteja sempre em conformidade com as normas vigentes.

Conclusão

A privacidade transfronteiriça é um desafio complexo, mas fundamental para o sucesso das operações de comércio exterior na era digital. A LGPD estabelece um marco legal rigoroso para a transferência internacional de dados, exigindo que as empresas adotem medidas adequadas para garantir a proteção das informações de seus clientes e parceiros.

A atuação de um advogado especializado é crucial para auxiliar as empresas na navegação por esse cenário complexo, garantindo a conformidade legal, mitigando riscos e construindo relações de confiança no mercado global. A adoção de boas práticas e a busca constante por atualização são essenciais para o sucesso e a segurança das operações comerciais internacionais.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.