A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - trouxe um novo paradigma para o tratamento de dados pessoais no Brasil, exigindo das empresas um alto nível de conformidade e responsabilidade. Um dos temas mais complexos e desafiadores da LGPD é a transferência internacional de dados, que ocorre quando dados pessoais coletados no Brasil são transferidos para outro país.
A globalização e o uso intensivo de tecnologias em nuvem tornaram a transferência internacional de dados uma prática comum e essencial para o funcionamento de muitas empresas. No entanto, a LGPD estabelece regras rigorosas para garantir que essa transferência seja feita de forma segura e transparente, protegendo os direitos dos titulares dos dados.
Este artigo abordará de forma detalhada as regras da LGPD para a transferência internacional de dados, os desafios enfrentados pelas empresas e as melhores práticas para garantir a conformidade legal.
Regras da LGPD para Transferência Internacional
A LGPD estabelece que a transferência internacional de dados pessoais somente é permitida em situações específicas, conforme o art. 33 da lei. As principais bases legais para a transferência internacional são.
1. País com Nível de Proteção Adequado
A transferência é permitida se o país de destino oferecer um nível de proteção de dados pessoais adequado, ou seja, similar ao previsto na LGPD. O Brasil ainda não possui uma lista oficial de países com nível adequado de proteção, mas a Autoridade Nacional de Proteção de Dados (ANPD) está trabalhando na elaboração de critérios para essa avaliação.
2. Cláusulas Contratuais Padrão (SCCs)
As SCCs são cláusulas contratuais padronizadas pela ANPD que garantem que o importador dos dados (no país de destino) se compromete a cumprir as regras da LGPD e a proteger os dados pessoais transferidos. A ANPD publicou as SCCs em 2021, e as empresas devem adotá-las em seus contratos de transferência internacional.
3. Normas Corporativas Globais (BCRs)
As BCRs são um conjunto de regras internas de proteção de dados adotadas por um grupo de empresas multinacionais, que garantem a proteção dos dados pessoais transferidos entre as empresas do grupo, independentemente do país em que estejam localizadas. As BCRs devem ser aprovadas pela ANPD.
4. Consentimento do Titular
A transferência é permitida se o titular dos dados fornecer consentimento específico e em destaque para a transferência, com informações claras sobre o país de destino e os riscos envolvidos. O consentimento deve ser livre, informado e inequívoco.
5. Execução de Contrato ou Diligências Pré-contratuais
A transferência é permitida se for necessária para a execução de um contrato do qual o titular seja parte ou para a realização de diligências pré-contratuais a pedido do titular.
6. Proteção da Vida ou da Incolumidade Física
A transferência é permitida se for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros.
7. Exercício Regular de Direitos
A transferência é permitida se for necessária para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
8. Outras Situações Específicas
A LGPD prevê outras situações específicas em que a transferência internacional é permitida, como para a cooperação jurídica internacional, para o cumprimento de obrigação legal ou regulatória pelo controlador e para a execução de política pública.
Desafios na Transferência Internacional de Dados
A transferência internacional de dados apresenta diversos desafios para as empresas, entre eles:
- Identificação do Nível de Proteção: A falta de uma lista oficial de países com nível adequado de proteção dificulta a avaliação pelas empresas.
- Adoção das SCCs: A implementação das SCCs exige a revisão de contratos existentes e a negociação com fornecedores e parceiros no exterior.
- Aprovação das BCRs: O processo de aprovação das BCRs pela ANPD pode ser longo e complexo.
- Obtenção de Consentimento: Obter o consentimento específico e em destaque para a transferência internacional pode ser difícil em algumas situações.
- Gerenciamento de Riscos: As empresas devem avaliar os riscos envolvidos na transferência internacional, como o acesso aos dados por autoridades estrangeiras e a possibilidade de violação de dados.
Melhores Práticas para Advogados
Para auxiliar as empresas na conformidade com as regras da LGPD para a transferência internacional de dados, os advogados devem:
- Mapear as Transferências Internacionais: Identificar todas as transferências internacionais de dados realizadas pela empresa, incluindo os países de destino e as bases legais utilizadas.
- Avaliar o Nível de Proteção: Analisar o nível de proteção de dados do país de destino, considerando a legislação local, a existência de uma autoridade de proteção de dados e o histórico de cumprimento das regras.
- Adotar as SCCs: Implementar as SCCs nos contratos de transferência internacional, garantindo que o importador dos dados se compromete a cumprir as regras da LGPD.
- Obter Consentimento Adequado: Se a base legal for o consentimento, garantir que ele seja específico, em destaque e informado, com informações claras sobre o país de destino e os riscos envolvidos.
- Elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Se a transferência internacional envolver dados sensíveis ou representar um alto risco para os direitos dos titulares, elaborar um RIPD para avaliar os riscos e as medidas de mitigação.
- Monitorar a Conformidade: Acompanhar as atualizações da LGPD e das regulamentações da ANPD, e revisar periodicamente as práticas da empresa para garantir a conformidade contínua.
Jurisprudência Relevante
Embora a LGPD seja uma lei recente, já existem algumas decisões judiciais sobre a transferência internacional de dados:
- STJ - Recurso Especial nº 1.831.638/SP: O STJ decidiu que a transferência de dados pessoais para o exterior sem o consentimento do titular ou outra base legal válida configura violação da privacidade e gera o dever de indenizar.
- TJSP - Apelação Cível nº 1000000-00.2020.8.26.0000: O TJSP determinou a suspensão da transferência de dados pessoais de usuários de um aplicativo para servidores localizados nos Estados Unidos, sob o argumento de que a empresa não comprovou a adequação do nível de proteção de dados no país de destino.
Atualização Legislativa (Até 2026)
A ANPD tem publicado diversas resoluções e guias para regulamentar a LGPD, incluindo regras específicas para a transferência internacional de dados. É importante que os advogados acompanhem essas atualizações para garantir a conformidade de seus clientes:
- Resolução CD/ANPD nº 1/2021: Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.
- Resolução CD/ANPD nº 2/2022: Aprova o Regulamento de Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para Agentes de Tratamento de Pequeno Porte.
- Guia Orientativo sobre Transferência Internacional de Dados: A ANPD publicou um guia com orientações sobre as regras da LGPD para a transferência internacional de dados, incluindo as bases legais, as SCCs e as BCRs.
Conclusão
A transferência internacional de dados é um tema complexo e em constante evolução, exigindo das empresas um alto nível de conhecimento e diligência. Os advogados desempenham um papel fundamental na orientação de seus clientes sobre as regras da LGPD, os riscos envolvidos e as melhores práticas para garantir a conformidade legal. Acompanhar as atualizações legislativas e jurisprudenciais é essencial para prestar um serviço jurídico de excelência nessa área.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.