Entenda: Transferência Internacional de Dados

A transferência internacional de dados tornou-se uma realidade inegável na era da economia digital. A globalização da informação, impulsionada pela computação em nuvem e pela interconexão de sistemas, exige que dados pessoais atravessem fronteiras com frequência. No entanto, essa circulação não ocorre em um vácuo jurídico. A proteção de dados pessoais, erigida à categoria de direito fundamental no Brasil, impõe limites e regras rigorosas para que essa transferência ocorra de forma segura e lícita.

Este artigo destina-se a analisar o arcabouço jurídico que rege a transferência internacional de dados no Brasil, com foco na Lei Geral de Proteção de Dados Pessoais (LGPD) e em suas atualizações mais recentes, buscando oferecer um panorama completo e prático para advogados que atuam na área de Direito Digital.

O Cenário Normativo: A LGPD e a Transferência Internacional

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), em seu Capítulo V (Dos Dados Pessoais em Transferência Internacional), estabelece as regras e os mecanismos que legitimam a transferência de dados pessoais para fora do território nacional. A premissa central é que a proteção conferida pela lei brasileira deve acompanhar o dado, independentemente do seu destino.

A transferência internacional é definida pela LGPD como "transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro" (Art. 5º, XV). O Art. 33 da lei enumera as hipóteses em que essa transferência é permitida, criando um sistema de "portas de entrada" para a legalidade da operação.

As Hipóteses Legais de Transferência (Art. 33, LGPD)

A LGPD estabelece um rol taxativo de situações que autorizam a transferência internacional de dados:

1. Países ou Organismos Internacionais com Nível Adequado de Proteção: A transferência é permitida para países ou organismos internacionais que proporcionem um nível de proteção de dados adequado ao previsto na LGPD. Essa adequação é avaliada pela Autoridade Nacional de Proteção de Dados (ANPD), considerando fatores como a legislação do país de destino, a existência de autoridade de controle independente e o cumprimento de acordos internacionais.
2. Garantias de Cumprimento dos Princípios e Direitos: O controlador pode transferir dados se oferecer garantias de que os princípios, direitos e o regime de proteção da LGPD serão cumpridos no país de destino. Essas garantias podem ser formalizadas por meio de.

• Cláusulas Contratuais Específicas: Contratos que estabeleçam obrigações e responsabilidades claras para as partes envolvidas na transferência.
• Cláusulas-Padrão Contratuais: Modelos de cláusulas pré-aprovados pela ANPD.
• Normas Corporativas Globais (Binding Corporate Rules - BCRs): Regras internas adotadas por empresas multinacionais para garantir a proteção de dados em todas as suas filiais, sujeitas à aprovação da ANPD.
• Selos, Certificados e Códigos de Conduta: Mecanismos de certificação que comprovem o cumprimento das normas de proteção de dados.

3. Consentimento Específico e em Destaque: A transferência pode ocorrer se o titular dos dados fornecer consentimento específico e em destaque, com informações prévias sobre o caráter internacional da operação e a distinção clara desta com outras finalidades.
4. Cumprimento de Obrigação Legal ou Regulatória: A transferência é permitida quando necessária para o cumprimento de obrigação legal ou regulatória pelo controlador.
5. Execução de Políticas Públicas: A transferência é autorizada quando necessária para a execução de políticas públicas ou atribuição legal do serviço público.
6. Proteção da Vida ou Incolumidade Física: A transferência é permitida quando essencial para a proteção da vida ou da incolumidade física do titular ou de terceiro.
7. Tutela da Saúde: A transferência é permitida para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
8. Cooperação Jurídica Internacional: A transferência é permitida para o cumprimento de acordo de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução.
9. Execução de Contrato ou Procedimentos Preliminares: A transferência é permitida quando necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
10. Exercício Regular de Direitos: A transferência é permitida para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

A Regulamentação da ANPD e o Futuro da Transferência Internacional

A ANPD desempenha um papel fundamental na regulamentação da transferência internacional de dados. Cabe a ela avaliar o nível de adequação de países e organismos internacionais, aprovar cláusulas-padrão contratuais, normas corporativas globais e outros mecanismos de garantia.

Em 2024, a ANPD publicou a Resolução CD/ANPD nº 15/2024, que estabelece o Regulamento de Transferência Internacional de Dados. Essa resolução detalha os procedimentos para a aprovação de cláusulas-padrão contratuais e normas corporativas globais, conferindo maior segurança jurídica e previsibilidade às empresas que operam internacionalmente.

A resolução também aborda a questão da avaliação do nível de adequação de países terceiros, estabelecendo critérios mais objetivos e transparentes para a análise da ANPD. A expectativa é que, nos próximos anos, a ANPD publique uma lista de países considerados adequados, facilitando a transferência de dados para esses destinos.

Jurisprudência e a Proteção de Dados Além das Fronteiras

A jurisprudência brasileira sobre transferência internacional de dados ainda está em fase de consolidação, mas já existem decisões importantes que delineiam os contornos da proteção de dados em um contexto global.

O Supremo Tribunal Federal (STF), em diversas decisões, tem reafirmado a importância da proteção de dados como direito fundamental, reconhecendo a necessidade de salvaguardas rigorosas para a transferência internacional. No julgamento da ADI 6387, que questionava a constitucionalidade do compartilhamento de dados de telecomunicações com o IBGE durante a pandemia de COVID-19, o STF enfatizou a necessidade de observar os princípios da finalidade, adequação e necessidade, além de garantir a segurança da informação.

O Superior Tribunal de Justiça (STJ) também tem se manifestado sobre o tema, destacando a responsabilidade solidária das empresas envolvidas na transferência internacional de dados. Em decisões recentes, o STJ tem responsabilizado empresas estrangeiras por danos causados a titulares de dados no Brasil, mesmo quando a infração ocorre fora do território nacional, desde que os dados tenham sido coletados no Brasil ou a empresa ofereça serviços no mercado brasileiro.

Os Tribunais de Justiça (TJs) estaduais também têm julgado casos envolvendo a transferência internacional de dados, aplicando os princípios e as regras da LGPD para garantir a proteção dos titulares. Em decisões recentes, os TJs têm exigido a comprovação de que as empresas estrangeiras adotam medidas de segurança adequadas e cumprem as exigências da legislação brasileira.

Dicas Práticas para Advogados

Para advogados que atuam na área de Direito Digital, a transferência internacional de dados exige atenção redobrada e conhecimento aprofundado da legislação e da regulamentação. Algumas dicas práticas incluem:

• Mapeamento de Dados: Realize um mapeamento detalhado de todos os fluxos de dados da empresa, identificando os dados que são transferidos internacionalmente, os países de destino e as finalidades da transferência.
• Avaliação de Risco: Avalie os riscos associados à transferência internacional, considerando o nível de proteção do país de destino, a sensibilidade dos dados e as medidas de segurança adotadas pelas empresas envolvidas.
• Escolha do Mecanismo Adequado: Selecione o mecanismo legal mais adequado para legitimar a transferência internacional, considerando as opções previstas no Art. 33 da LGPD.
• Elaboração de Contratos Claros: Elabore contratos claros e abrangentes com as empresas estrangeiras, estabelecendo obrigações e responsabilidades específicas para a proteção de dados, incluindo a adoção de medidas de segurança e a obrigação de notificar incidentes de segurança.
• Adoção de Cláusulas-Padrão: Utilize as cláusulas-padrão contratuais aprovadas pela ANPD, sempre que possível, para garantir a conformidade com a legislação brasileira.
• Acompanhamento da Regulamentação: Mantenha-se atualizado sobre as resoluções e orientações da ANPD, bem como sobre a jurisprudência dos tribunais brasileiros, para garantir que as práticas da empresa estejam em conformidade com a legislação vigente.

Conclusão

A transferência internacional de dados é uma realidade complexa e desafiadora, mas essencial para o desenvolvimento da economia digital. A LGPD, ao estabelecer regras claras e mecanismos de garantia, busca conciliar a livre circulação de informações com a proteção dos direitos fundamentais dos titulares de dados.

O papel da ANPD na regulamentação e fiscalização dessas transferências é crucial para garantir a efetividade da lei. A jurisprudência, por sua vez, continuará a desempenhar um papel fundamental na interpretação e aplicação das normas, moldando o cenário da proteção de dados no Brasil.

Para os advogados, a compreensão profunda desse arcabouço normativo é indispensável para orientar seus clientes e garantir que as operações internacionais de transferência de dados ocorram de forma segura, lícita e em conformidade com as exigências da LGPD. A constante atualização e o acompanhamento das evoluções legais e jurisprudenciais são fundamentais para o sucesso na atuação profissional nesta área em constante transformação.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.