As garantias adequadas para a transferência internacional são de extrema relevância para a garantia do livre fluxo de informações e do bem-estar do comércio em âmbito global. A discussão sobre os parâmetros e hipóteses de transferência de dados entre países, ou grupos de países, envolve aspectos técnicos, econômicos, jurídicos, de circulação de dados da internet, de modelos globais de negócio, a respeito das leis aplicáveis aos dados armazenados ou em circulação.
A grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos. Devido à necessidade de harmonização entre legislações de diferentes países, as operações além das fronteiras nacionais de um país implicam maiores riscos aos direitos e liberdades dos titulares1.
De acordo com a Portaria nº 11 de 27 de janeiro de 2021, que tornou pública a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022, os artigos 33, 34 e 35 da LGPD começassem a ser regulamentados no segundo semestre de 20222.
Nessa direção, a ANPD seguiu com os procedimentos necessários ao andamento às exigências da regulação do fluxo internacional de dados na Lei Geral de Proteção de Dados (LGPD)3 e publicou, em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19, que aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu’do das cla’usulas-padra~o contratuais (CPCs)
Diante da necessária busca de que o Brasil esteja dentro dos padrões internacionais relacionados às melhores práticas de proteção aos dados pessoais, ressalta-se a importância da matéria. A seguir objetiva-se uma breve análise sobre: 1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações; 2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais; 3.
- Lei Geral de Proteção de Dados e o fluxo internacional de informações
A partir da lei 13.7094, de 14 de agosto de 2018, conhecida como LGPD, o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais. A proteção de dados pessoais, anteriormente tratada de maneira esparsa no ordenamento jurídico nacional, estruturou-se em uma legislação específica5. A LGPD inaugurou um sistema que está focado na prevenção e na criação de uma cultura de proteção de dados pessoais6.
A legislação brasileira dialoga7 com outros diplomas legais vigentes, garantindo a ampla tutela aos titulares de dados8. Apresenta diferentes hipóteses para operações transfronteiriças, tratando do tema, especificamente, no Capítulo V, intitulado “Da Transferência Internacional de Dados”, respectivamente, nos artigos 33 a 36.
A LGPD traz a previsão da transferência internacional de dados pessoais abordando os aspectos relacionados às regras aplicáveis ao fluxo para países e organismos internacionais. Ao total, são apresentadas nove hipóteses em que se permite o fluxo internacional de dados, sendo este considerado como um rol taxativo.
Importa destacar que não há hierarquia entre entre os mecanismos de transfere^ncia, sendo que o método escolhido dependerá da finalidade e do contexto para o tratamento dos dados pessoais9. Em rol taxativo, o artigo 33 define as hipóteses em que a transferência internacional é permitida10.
Alternativamente, o fluxo de informações pessoais para fora do território nacional só é permitido caso, i) os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD; ii) o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD; iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; v) a autoridade nacional autorizar a transferência; vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional; vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; viii) o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo, claramente, esta e outras finalidades; e ix) é necessária para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD.
O artigo 34 está relacionado aos tópicos que devem ser levados em conta quando da definição de nível de proteção adequado de país estrangeiro ou organismo internacional11. O dispositivo 35 trata sobre a definição das CPCs e verificação de outras salvaguardas12, enquanto o artigo 36 apresenta observância aos princípios gerais de proteção e dos direitos do titular13.
- A diferença entre transferência internacional de dados e o trânsito de dados pessoais
Segundo Robert Bond, “‘transferência” não é o mesmo que “trânsito” de informações14. Os dados pessoais podem passar pelo país B no caminho do país A para o país C, sem, no entanto, nenhuma operação de processamento substancial ocorrer neste caminho, já que a transferência é para o país C15.
Por exemplo, no caso de uma empresa sediada na Alemanha enviar dados para uma empresa baseada nos Estados Unidos da América (EUA), mas, durante a transferência, os dados passarem pelo território uruguaio, sem, de fato, acontecer qualquer tratamento das informações no país. Casos como este servem de modelos para diferenciar “tranferência” e “trânsito”, porque, na situação supramencionada, a operação internacional é realizada apenas entre a empresa alemã e a empresa norte-americana, sendo que os dados apenas transitaram no Uruguai16.
Diante do fluxo internacional de dados, considera-se como “exportador” o agente de tratamento que transferirá os dados pessoais para um “importador”, localizado em outro país. Considera-se como “importador” o agente de tratamento situado fora do território nacional, que receberá esses dados do “exportador”. No exemplo acima, o “importador” seria a empresa norte-americana e o “exportador”, a empresa alemã.
- Resolução CD/ANPD nº 19, de 23 de agosto de 2024
Publicada em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19 aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. As novas normas sobre o fluxo transfronteiriço de informações pessoais entram em vigor na data de sua publicação, sendo assim, necessário que os agentes de tratamento se adequem às exigências sobre os procedimentos e regras aplicáveis a tais operações.
Em relação às cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD, existe o prazo de até 12 (doze) meses, contados da data de publicação da Resolução, para a adequação por parte dos agentes de tratamento.
A Resolução destaca os requisitos necessários para as operações que envolvam decisões de adequação, cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais e normas corporativas globais. Além disso, ressalta que é possível a realização de transferência internacional de dados com base nos mecanismos previstos no art. 33 da LGPD que não dependam de regulamentação, desde que atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.
Destaca que a transferência internacional de dados pessoais deve ser realizada em conformidade com o disposto na LGPD e na Resolução, observadas as seguintes diretriz garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência.
Reitera a necessária a implementação de medidas efetivas de transparência, assegurando o fornecimento de informações claras, precisas e facilmente acessíveis aos titulares. Além disso, a adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.
Defende que o fluxo internacional de informações deve estar limitado ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Toda a operação somente será realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em uma das hipóteses legais previstas no art. 7º ou no art. 11 da LGPD ou em um dos seguintes mecanismos válidos de realização da transferência internacional.
A aplicação da legislação nacional à transferência internacional de dados independe do meio utilizado para sua realização, do país de sede dos agentes de tratamento ou do país onde estejam localizados os dados.
Estabelece que a LGPD é aplicável aos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no território nacional. A LGPD não se aplica aos dados pessoais provenientes do exterior somente quando ocorrer: a) trânsito de dados pessoais, sem a ocorrência de comunicação ou uso compartilhado de dados com agente de tratamento situado em território nacional; b) retorno dos dados pessoais, objeto de tratamento no território nacional, exclusivamente ao país ou organismo internacional de proveniência, desde que:o país ou organismo internacional de proveniência proporcione grau de proteção de dados pessoais adequado, reconhecido por decisão da ANPD; c) a legislação do país ou as normas aplicáveis ao organismo internacional de proveniência se apliquem à operação realizada; d) a situação específica e excepcional de não aplicação da LGPD.
Cabe ao controlador verificar se a operação de tratamento: a) caracteriza transferência internacional de dados; b) submete-se à legislação nacional de proteção de dados pessoais; c) está amparada em hipótese legal e em mecanismo de transferência internacional válidos.
A transferência internacional de dados será caracterizada quando o exportador transferir dados pessoais para o importador. A coleta internacional de dados não caracteriza transferência internacional de dados e observará as disposições da LGPD, quando verificada uma das hipóteses indicadas no art. 3º da LGPD.
Quaisquer operações que envolvam aspecto transnacional devem respeitar os princípios de proteção de dados e salvaguardar os direitos dos titulares. A lei preve^ um conjunto de normas destinadas a garantir a higidez das operações de transferência internacional , estabelecendo que os países interessados neste tipo de transação devem oferecer garantias em mesmo grau que aquele oferecido pela LGPD.
O controlador ou o operador que deixem de adotar as medidas de segurança cabíveis respondem pelos danos decorrentes de violação da segurança dos dados. A LGPD imputa responsabilidade aos agentes de tratamento a definição sobre medidas técnicas, administrativas e de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais, ou ilícitas, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito .
As CPCs aprovadas pela ANPD garantem que exportadores e importadores de dados apliquem as mesmas medidas técnicas e organizacionais, em termos de proteção de dados no Brasil. Dessa forma, garantindo a proteção dos direitos e liberdades dos titulares dos dados.
Em todos os casos de fluxo internacional de dados, deve-se realizar avaliação de todas as circunstâncias da transferência e deve-se considerar a adoção de medidas adicionais para garantir proteção suficiente aos titulares.
As cláusulas-modelo elaboradas pela autoridade brasileira, contém as obrigações das partes envolvidas na transferência e os direitos dos titulares dos dados a serem transferidos. Caso o controlador adote as CPCs sugeridas pela autoridade, vincular-se-á a todos os requisitos e as obrigações estipuladas no documento, podendo realizar a transferência dos dados pessoais sem a necessidade de anuência da ANPD ou dos respectivos titulares.
CONSIDERAÇÕES FINAIS
A Resolução CD/ANPD nº 19 integra os esforços para que o Brasil conte com um sistema robusto de definição, aprovação e fiscalização do fluxo transnacional de dados pessoais, garantindo a efetividade internacional do sistema de proteção brasileiro.
Ao regulamentar o tema da transferência internacional de dados, a ANPD se posicionou no cenário internacional, defendendo o sistema de proteção de dados brasileiro. O estabelecimento de regras e procedimentos direcionados à garantia dos direitos dos titulares é fundamental para a eficácia da LGPD.
A disponibilização de cláusulas-tipo auxilia os agentes de tratamento diante do cumprimento de seus deveres e justa proteção de direitos dos titulares, ainda que existam diferentes níveis legislações de proteção de dados ao redor do mundo.
__________
1 FUNDAÇÃO GETULIO VARGAS (FGV). Guia de Proteção De Dados Pessoais: Transferência Internacional. São Paulo: FGV. 2020, p. 15. Disponível aqui. Acesso em: 10 fev. 2022.
2 BRASIL. Portaria nº 11, de 27 de janeiro de 2021. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2021. Disponível aqui. Acesso em: 25 jan. 2022.
3 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Proposta de realização de Tomada de Subsídios para regulamentação de transferência internacional de dados pessoais, nos termos dos arts. 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018. Brasília. 2021. Disponível aqui. Acesso em: 12 jun. 2022.
4 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022
5 DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Prefácio. Rio de Janeiro: Forense, 2021.
6 MENDES, Laura Schertel Ferreira. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, n. 39, jul./dez. 2018, p. 186.
7 MARQUES, Claudia Lima. Diálogo das Fontes: do conflito à coordenação de normas no direito brasileiro. São Paulo: Revista dos Tribunais. 2012, p. 23.
8 Carta de apoio à sanção da Lei de Proteção de Dados do Presidente do Brasilcon, Diógenes Carvalho, e da Ex-Presidente do Brasilcon, Cláudia Lima Marques, RDC 119, p. 517-520.
9 LEONARDI, Marcel. Transfere^ncia Internacional de Dados Pessoais. In: DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021, p. 303.
10 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022.
Art. 33. “A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; V – quando a autoridade nacional autorizar a transferência; VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.”
11 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 34 da Lei Geral de Proteção de Dados. Art. 34. “O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II – a natureza dos dados;
III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV – a adoção de medidas de segurança previstas em regulamento;
V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI – outras circunstâncias específicas relativas à transferência.”.
12 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 35 da Lei Geral de Proteção de Dados.
Art. 35.
“A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.
- 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
- 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
- 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
- 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.
- 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.
13 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 36 da Lei Geral de Proteção de Dados.
Art. 36.
As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.”.
14 BOND, Robert. International Transfers of Personal Data – an update. Business Law International. v. 5, n. 3, 2014, p. 424. De acordo com o autor, “‘transfer’ is not the same as ‘transit’. Personal data may pass through country B on the way from country A to country C, but if no substantive processing operation takes place en route, the transfer is to country C.”.
15 BOND, Robert. International Transfers of Personal Data – an update. Business Law International. v. 5, n. 3, 2014, p. 424.
16 INFORMATION COMMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). London: Information Commissioner’s Office (ICO). 2021, p. 228. Disponível aqui. Acesso em: 3 jul. 2022.
Fonte: Migalhas
Deixe um comentário