Autor: Alan Campos Elias Thomaz
A transferência de dados pessoais internacional é um componente crucial para negócios e comunicações globais. A Transferência Internacional de Dados (“IDT“, na sigla em inglês) refere-se ao movimento de dados pessoais de um país para outro ou para uma organização internacional.
A Lei Geral de Proteção de Dados (Lei nº 13.719 – “LGPD”) do Brasil oferece um arcabouço jurídico abrangente para regular essas transferências, garantindo a proteção dos direitos dos cidadãos brasileiros e de outras pessoas localizadas no Brasil.
Embora os mecanismos de IDT do Brasil compartilhem semelhanças com os da Regulamentação Geral de Proteção de Dados da União Europeia (“GDPR”), existem algumas diferenças importantes. Sob a lei brasileira, as transferências internacionais de dados são permitidas em várias situações, incluindo quando o país receptor oferece um nível adequado de proteção, ao utilizar cláusulas contratuais padrão (“SCCs”) definidas pela Autoridade Nacional de Proteção de Dados (“ANPD”), cláusulas contratuais específicas, normas corporativas globais, certificações e outros mecanismos. Esses mecanismos são discutidos mais detalhadamente neste artigo.
Em 23 de agosto de 2024, a ANPD emitiu a Resolução nº 19/2024, que regulamenta certos mecanismos que permitem transferências internacionais no Brasil, incluindo decisões que reconhecem a adequação da proteção em determinados países, SCCs, cláusulas contratuais específicas e normas corporativas globais. Outros mecanismos não foram incluídos nesta Resolução nº 19/2024.
Definição de Transferência Internacional de Dados
A transferência internacional de dados envolve o envio de dados pessoais de um país para outro ou para uma organização internacional fora do Brasil. Este processo inclui um “exportador de dados” que envia os dados do Brasil e um “importador de dados” que os recebe em qualquer outro país. Duas situações comuns em que a IDT ocorre são:
- Uma empresa brasileira (exportadora) contrata uma empresa estrangeira (importadora) para processar dados pessoais fora do Brasil.
- Uma empresa brasileira contrata um prestador de serviços local, que, por sua vez, terceiriza para uma empresa estrangeira (importadora).
Em ambas as situações, ocorre uma IDT, e um mecanismo válido deve estar em vigor para garantir a conformidade. É importante distinguir entre transferência internacional de dados e coleta internacional de dados. A IDT envolve duas entidades (exportador e importador), enquanto a coleta internacional de dados ocorre quando dados são coletados de indivíduos no Brasil por uma entidade estrangeira. Nesse caso, as regras de IDT não se aplicam, embora a LGPD ainda se aplique à entidade estrangeira que coleta os dados.
Mecanismos para Transferências Internacionais de Dados – Regulados pela ANPD
O artigo 33 da LGPD lista circunstâncias específicas nas quais as IDTs são permitidas, e estas são detalhadas na Resolução nº 19/2024:
- Nível Adequado de Proteção: A ANPD tem a autoridade para determinar se determinados países ou organizações oferecem um nível de proteção de dados que se alinha aos padrões legais brasileiros. Se uma decisão de adequação for emitida, ela permite a transferência de dados para esses países ou organizações sem necessidade de outros mecanismos de transferência.
Essa avaliação pode ser iniciada pela Diretoria da ANPD ou solicitada por uma entidade pública. O processo de revisão examina o arcabouço jurídico do país, medidas de segurança e garantias institucionais. Após parecer jurídico da Advocacia-Geral da União, a Diretoria da ANPD toma a decisão final. Essas decisões de adequação são publicadas e podem ser reavaliadas ou revogadas se as circunstâncias no país ou organização mudarem. Até a publicação deste artigo, nenhuma decisão de adequação foi emitida pela ANPD.
A ANPD manterá uma lista pública de países e organizações considerados como tendo um nível adequado de proteção para transferências de dados.
- Cláusulas Contratuais Padrão (SCCs): São cláusulas pré-aprovadas emitidas pela ANPD, projetadas para garantir que os dados pessoais permaneçam protegidos ao serem transferidos para países com diferentes leis de proteção de dados. Essas cláusulas devem ser adotadas sem modificação, conforme descrito no Anexo II da Resolução nº 19/2024, e as organizações têm até agosto de 2025 para implementá-las.
- Reconhecimento de SCCs Equivalentes: A ANPD pode reconhecer SCCs de outros países como fornecendo o mesmo nível de proteção que as SCCs brasileiras. Para obter esse reconhecimento, a ANPD avalia como as SCCs estrangeiras se alinham com a legislação brasileira e a LGPD. Após análise e aprovação pela Diretoria da ANPD, essas cláusulas estrangeiras podem ser usadas para transferências de dados, desde que sejam seguidas as condições da decisão da Diretoria. Até a publicação deste artigo, nenhuma SCC estrangeira foi reconhecida como equivalente.
- Cláusulas Contratuais Específicas: Nos casos em que as SCCs não são práticas, as organizações podem usar cláusulas contratuais específicas, desde que ofereçam o mesmo nível de proteção que as SCCs. Essas cláusulas devem ser adaptadas à transferência de dados específica e exigem aprovação prévia da ANPD, que avaliará sua conformidade com a LGPD. Nenhuma cláusula contratual específica foi aprovada até agora.
- Normas Corporativas Globais: Empresas dentro do mesmo grupo corporativo podem adotar normas corporativas globais ou vinculantes para empresas do mesmo grupo econômico, que são políticas internas que garantem que todos os membros do grupo, independentemente de sua localização, cumpram os padrões de proteção de dados brasileiros. Essas regras requerem aprovação da ANPD e devem incluir descrições detalhadas das transferências de dados, dos países envolvidos e das medidas de segurança em vigor. Essas regras são especialmente úteis para empresas multinacionais que buscam consistência em suas práticas de privacidade de dados. Nenhuma regra corporativa vinculativa foi aprovada até a data deste artigo.
Mecanismos para Transferências Internacionais de Dados – NÃO Regulados pela ANPD
A Resolução nº 19/2024 não regulamentou todos os mecanismos de IDT descritos na LGPD. Os seguintes mecanismos permanecem não regulamentados:
- Selos, Certificados e Códigos de Conduta
- Acordos de Cooperação Internacional
- Autorização Específica da ANPD
- Implementação de Políticas Públicas
- Consentimento do Titular dos Dados
- Obrigações Legais ou Regulatórias
- Execução de Contrato
- Processos Judiciais, Administrativos ou Arbitrais
- Proteção da Vida ou da Segurança Física
A ANPD ainda não esclareceu se esses mecanismos devem ser usados como recurso subsidiário em comparação com decisões de adequação, SCCs ou regras corporativas vinculativas. A LGPD não indica um mecanismo preferencial, e a Resolução nº 19/2024 não abordou essa questão.
Requisitos de Transparência e Direitos dos Titulares de Dados
A Resolução nº 19/2024 estabelece que os titulares dos dados devem ser informados sobre quaisquer transferências internacionais de dados, incluindo os países para onde seus dados serão enviados. Essas informações são tipicamente incluídas nos Avisos de Privacidade.
Regulamentações Setoriais Adicionais
No Brasil, certos setores, como o bancário, têm requisitos adicionais para transferências internacionais de dados. As organizações devem avaliar se leis setoriais específicas se aplicam em seus casos para garantir plena conformidade com os requisitos de IDT.
Recomendações Específicas
Dada a complexidade que envolve a transferência internacional de dados, as organizações devem tomar várias medidas importantes para garantir a conformidade com a LGPD:
- Conduzir uma Due Diligence: Revisar cuidadosamente os casos em que as IDTs ocorrem, como ao contratar prestadores de serviços internacionais ou quando um fornecedor local subcontrata processadores estrangeiros.
- Compreender o Ambiente Regulatório: Identificar quais leis e regulamentações se aplicam, incluindo quaisquer regras específicas do setor.
- Escolher um Mecanismo de Transferência Adequado: Implementar o mecanismo de IDT adequado, como as SCCs, com base na situação.
- Proteções Contratuais: Independentemente do mecanismo de transferência utilizado, as organizações devem estabelecer contratos claros que descrevam os direitos e responsabilidades de todas as partes envolvidas.
- Transparência: Garantir que as políticas de privacidade sejam atualizadas para refletir os países para onde os dados serão transferidos.
- Medidas de Segurança: Implementar medidas de segurança rigorosas para proteger os dados pessoais durante a transferência e o armazenamento.
- Manter Conformidade: Monitorar continuamente mudanças nas leis e regulamentações de proteção de dados para permanecer em conformidade.
Conclusão
As transferências internacionais de dados envolvem considerações legais e regulatórias complexas. A LGPD do Brasil, complementada pela Resolução nº 19/2024, oferece um arcabouço abrangente para regular essas transferências, garantindo que os direitos dos titulares de dados sejam protegidos enquanto apoia as operações empresariais globais. Para organizações envolvidas em atividades de dados transfronteiriças, é crucial entender os mecanismos e critérios descritos na LGPD e implementar os mecanismos de IDT adequados.