Antes de ter sido editada a Lei Geral de Proteção de Dados e o Marco Civil da Internet, o Brasil não era um país considerado como referência para ações como a transferência internacional de dados pessoais.
Afinal, para realizar uma transferência internacional de dados pessoais confiável, existe uma série de pontos os quais as empresas devem seguir para assegurar a segurança dos dados pessoais.
O que é transferência internacional de dados pessoais?
A transferência internacional de dados pessoais foi citada pela primeira vez no Marco Civil da Internet, aprovado no ano de 2014.
Esta, por sua vez, é uma legislação que regula a forma como é feito o uso da Internet no Brasil.
E para isso, no entanto, essa lei dispõe e assegura uma série de:
- princípios;
- direitos;
- garantias; e
- deveres.
Todos estes, por sua vez, são pontos que dizem respeito ao internauta, porém, existe ainda uma série de orientações para a atuação do Estado em âmbitos digitais.
De toda maneira, é possível entender que a transferência de dados pessoais é uma ação que pode ser tomada por empresas de um mesmo segmento mas que se encontram em países diferentes.
Esse, por sua vez, é um tema que tem ganhado cada vez maior importância e relevância devido a Lei Geral de Proteção de Dados.
Afinal, por vezes os agentes responsáveis pelo tratamento dos dados pessoais, chamados de controladores e operadores, ficam localizados em outro país, mesmo que as informações tenham sido captadas dentro do Brasil.
Sendo assim, a empresa precisa então realizar essa movimentação para que a abordagem seja feita da maneira correta.
O que a LGPD fala sobre a transferência internacional de dados pessoais?
Como citado anteriormente, existe uma relação direta entre ambos os pontos uma vez que nessa legislação existe o ponto que diz respeito a tal ação.
Sendo assim, a forma a qual é possível encontrar a transferência internacional de dados na LGPD é justamente a de definir como deve ocorrer esse processo.
Ou seja, existe uma série de regras impostas pela LGPD que, de forma geral, analisam que deve ser levado em conta a proteção dos dados pessoais e a transparência quanto ao tratamento que os dados pessoais terão.
E o primeiro ponto o qual é crucial para que a movimentação de dados pessoais seja permitido, no entanto, é que os países destino tenham um nível de proteção igual ou superior aos previstos na lei brasileira.
Conforme escrito na legislação, existem nove condições que fazem possível ocorrer essa transferência, sendo elas:
- quando o país destino possui cuidados com a segurança de dados compatíveis à LGPD;
- caso essa ação seja o resultado de um acordo de cooperação entre dois ou mais países;
- caso a empresa que receber os dados comprove possuir as mesmas garantias de proteção por meio de cláusulas contratuais, normas corporativas globais ou certificados de conduta;
- em situações que é necessário para alguma colaboração jurídica internacional entre órgãos de inteligência ou investigação;
- quando essa transferência é necessária para proteger a vida, ou integridade da vida, do titular dos dados ou terceiros;
- se a ANPD, Autoridade Nacional de Proteção de Dados, autoriza a ação;
- sempre que for necessário para aplicar uma política pública ou atribuição jurídica de algum serviço público.
Além disso, existem ainda outras duas hipóteses, uma delas é quando o titular fornece o consentimento sobre tal ação. A outra, por sua vez, é quando a transferência é crucial para que obrigações legais sejam cumpridas.
A quais pontos é preciso se atentar nesse processo?
De forma geral, esse é um tópico que possui forte ligação com anterior. Afinal, os pontos nos quais as empresas devem atentar-se no processo de transferência internacional de dados pessoais são justamente as hipóteses citadas.
Existe aqui um fator de grande importância que é ter ciência de que tanto a lei como a transferência andam juntos.
Tendo em vista que existem normas impostas pela LGPD para ocorrer a movimentação, entendemos então a relação entre ambos.
No entanto, ainda de acordo com a legislação, o órgão responsável por regulamentar essa movimentação é a ANPD.
Isso significa que será responsabilidade da Autoridade Nacional de Proteção de Dados analisar quais países e empresas internacionais possuem nível adequado de proteção.
Além disso, fica a cargo deste órgão definir também o que deve estar presente nos seguintes documentos que as empresas devem possuir:
- cláusulas-padrão e contratuais específicas para transferência de dados pessoais;
- código de conduta da empresa; e
- selos e certificados de proteção de dados pessoais.
Todavia, todas essas ações têm como objetivo aumentar a transparência na transferência dos dados pessoais.
Estes, por sua vez, terão uma força maior assim que a ANPD for criada e estiver totalmente composta.
Vale pontuar ainda que não existe uma distinção de os dados pessoais estão sendo captados no Brasil ou em outro lugar.
De tal forma, o importante é que exista essa relação entre as legislações e medidas de proteção dos dados pessoais.
E a finalidade de tal preocupação que as empresas devem possuir vai além de evitar sanções por parte da Autoridade Nacional como também manter a integridade dos dados pessoais.
Como acontece essa transferência em outros países?
Analisando como é feito esse processo de transferências em outros países, devemos ter como base principalmente o GDPR, ou Regulamento Geral sobre a Proteção de Dados.
Afinal, essa é a legislação que embasou a criação da LGPD e, além disso, é também a lei que regulamenta o tratamento de dados na União Europeia como um todo.
Sendo assim, através do GDPR é possível analisar que a transferência apenas é permitida se existir uma Lei de proteção de dados e privacidade no país de destino.
Ou seja, a situação é muito parecida com a exigida pela lei brasileira.
Entretanto, a Comissão da UE não emitiu algum tipo de decisão de adequação para o Brasil.
Apesar disso, toda filial brasileira que possui matriz na Europa pode transferir dados pessoais para entre os países apenas com alguns cuidados específicos.
Dentre esses cuidados encontramos a adoção de cláusulas contratuais padronizadas pela Comissão da UE ou então se for necessário por ser de interesse público.
De toda forma, a transferência pode apenas ser feita dentro de um mesmo grupo econômico.
Outra condição aqui, no entanto, é a de seguir todas as regras corporativas, desde que estas atendam ao GDPR.
Além disso, existe um outro fator crucial para que essa movimentação ocorra, que é justamente a aprovação da Autoridade Nacional de Proteção de Dados.
Por outro lado, as empresas que estão fora da Europa, mas que trabalham com dados pessoais europeus, devem possuir um representante dentro da UE.
De tal forma, é possível entender então que a maneira em que essa ação é feita, independentemente dos países envolvidos, são parecidas.
E não é para menos tendo em vista que, através das legislações de proteção de dados pessoais dos países, a intenção é assegurar a segurança dos titulares.
Por isso devem ser aplicados esses cuidados por parte tanto da empresa que está enviando os dados como da instituição responsável pelo tratamento destes.
De qual forma deve ser realizada a transferência internacional de dados pessoais?
A primeiro momento, é necessário ter em mente que esse procedimento apenas se torna necessário se o argumento que o embasa estiver de acordo com alguma das nove condições que citamos anteriormente.
Afinal, as circunstâncias são impostas pela LGPD e fundamentam a necessidade da movimentação, ditando então quando isso pode ocorrer e quando não.
No entanto, um outro ponto que precisa ser levado em consideração é que apenas empresas de um mesmo grupo podem realizar esta operação.
Em outras palavras, podemos entender que instituições financeiras podem movimentar dados pessoais entre si mesmo quando estão em países diferentes.
Agora, por outro lado, uma das formas mais adotadas pelas empresas são as chamadas normas corporativas globais.
Estas, por sua vez, fazem parte de um projeto apresentado que fala sobre alterações propostas sobre a LGPD.
Entretanto, estas normas possuem papel direto dentro das empresas.
Podemos entendê-las como uma série de regulamentos aplicados para empresas de um mesmo segmento em países distintos, como citado.
De tal forma, o intuito destas normas é possibilitar a transferência de dados de maneira completamente segura para o titular.
Ou seja, elas servem como uma garantia de que não haverá qualquer tipo de violação de dados pessoais do cliente de determinada empresa.
Vale pontuar que esta lei atua em conformidade com a LGPD e com a ANPD, consequentemente, e é um dos pontos mais procurados quando falamos sobre a transferência.
E, por isso, é necessário que as empresas em solo brasileiro estejam adequadas de acordo com esta legislação.
Agora, quanto a forma a qual deve ser feita essa movimentação, normalmente as empresas possuem um servidor ou banco de dados específico para isso.
Geralmente o fornecedor da tecnologia de transferência se encontra na nuvem, e apenas as empresas envolvidas no processo possuem acesso à ele.
Por fim, precisamos ter em mente que a transferência internacional de dados pessoais é um ponto que vem adquirindo maior importância e deve ser feito corretamente a fim de que a empresa esteja adequada à LGPD.