Considerações Iniciais

As garantias adequadas para a transferência internacional são de extrema relevância para assegurar o livre fluxo de informações e o bem-estar do comércio em âmbito global. A discussão sobre os parâmetros e hipóteses de transferência de dados entre países, ou grupos de países, envolve aspectos técnicos, econômicos, jurídicos, de circulação de dados na internet e de modelos globais de negócios, além das leis aplicáveis aos dados armazenados ou em circulação.

A grande diversidade de modelos de proteção de dados traz a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas, para que tais fluxos sejam permitidos. Devido à necessidade de harmonização entre legislações de diferentes países, as operações além das fronteiras nacionais de um país implicam maiores riscos aos direitos e liberdades dos titulares.

De acordo com a Portaria nº 11, de 27 de janeiro de 2021, que tornou pública a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022, os artigos 33, 34 e 35 da LGPD começaram a ser regulamentados no segundo semestre de 2022.

Nessa direção, a ANPD seguiu com os procedimentos necessários ao andamento das exigências da regulação do fluxo internacional de dados na Lei Geral de Proteção de Dados (LGPD) e publicou, em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19, que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais (CPCs).

Diante da necessária busca para que o Brasil esteja dentro dos padrões internacionais relacionados às melhores práticas de proteção de dados pessoais, ressalta-se a importância da matéria. A seguir, objetiva-se uma breve análise sobre: 1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações; 2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais.

1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações

A partir da Lei nº 13.709, de 14 de agosto de 2018, conhecida como LGPD, o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais. A proteção de dados pessoais, anteriormente tratada de maneira esparsa no ordenamento jurídico nacional, estruturou-se em uma legislação específica. A LGPD inaugurou um sistema focado na prevenção e na criação de uma cultura de proteção de dados pessoais.

A legislação brasileira dialoga com outros diplomas legais vigentes, garantindo a ampla tutela aos titulares de dados. A LGPD apresenta diferentes hipóteses para operações transfronteiriças, tratando do tema, especificamente, no Capítulo V, intitulado “Da Transferência Internacional de Dados”, nos artigos 33 a 36.

A LGPD prevê a transferência internacional de dados pessoais, abordando aspectos relacionados às regras aplicáveis ao fluxo para países e organismos internacionais. No total, são apresentadas nove hipóteses em que o fluxo internacional de dados é permitido, sendo este considerado um rol taxativo.

Importa destacar que não há hierarquia entre os mecanismos de transferência, sendo que o método escolhido dependerá da finalidade e do contexto do tratamento dos dados pessoais. Em rol taxativo, o artigo 33 define as hipóteses em que a transferência internacional é permitida.

Alternativamente, o fluxo de informações pessoais para fora do território nacional só é permitido caso: i) os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD; ii) o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD; iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, de acordo com os instrumentos de direito internacional; iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; v) a autoridade nacional autorizar a transferência; vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional; vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; viii) o titular tiver fornecido o seu consentimento específico e destacado para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; e ix) é necessária para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD.

O artigo 34 trata dos critérios que devem ser levados em conta na definição de nível de proteção adequado de país estrangeiro ou organismo internacional. O artigo 35 trata da definição das CPCs e verificação de outras salvaguardas, enquanto o artigo 36 trata da observância aos princípios gerais de proteção e dos direitos do titular.

2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais

Segundo Robert Bond, “transferência” não é o mesmo que “trânsito” de informações. Os dados pessoais podem passar pelo país B no caminho do país A para o país C, sem, no entanto, nenhuma operação substancial de processamento ocorrer no caminho, já que a transferência é para o país C.

Por exemplo, no caso de uma empresa sediada na Alemanha enviar dados para uma empresa com sede nos Estados Unidos, mas durante a transferência os dados passarem pelo território uruguaio, sem qualquer tratamento das informações nesse país. Casos como este servem de exemplo para diferenciar “transferência” e “trânsito”, pois, na situação mencionada, a operação internacional é realizada apenas entre a empresa alemã e a norte-americana, com os dados apenas transitando pelo Uruguai.

Diante do fluxo internacional de dados, considera-se “exportador” o agente de tratamento que transferirá os dados pessoais para um “importador” localizado em outro país. No exemplo acima, o “importador” seria a empresa norte-americana, enquanto o “exportador” seria a empresa alemã.

3. Resolução CD/ANPD Nº 19, de 23 de Agosto de 2024

A Resolução CD/ANPD Nº 19, publicada em 23 de agosto de 2024, aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais (CPCs). As novas normas sobre o fluxo transfronteiriço de informações pessoais entram em vigor na data de sua publicação, sendo necessário que os agentes de tratamento se adequem às exigências.

As cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as CPCs aprovadas pela ANPD, com prazo de até 12 meses para adequação. A Resolução estabelece requisitos para as operações envolvendo decisões de adequação, cláusulas contratuais específicas, normas corporativas globais e outras bases jurídicas previstas no art. 33 da LGPD.

A transferência internacional de dados pessoais deve ser realizada em conformidade com a LGPD, assegurando o cumprimento dos direitos do titular e a implementação de boas práticas de proteção.

Considerações Finais

A Resolução CD/ANPD nº 19 reforça o compromisso do Brasil com a proteção de dados pessoais em um contexto global. Ao regulamentar o fluxo internacional de dados, a ANPD garante a efetividade do sistema de proteção de dados brasileiro, alinhado às melhores práticas internacionais.

A adoção de cláusulas-padrão contratuais proporciona segurança jurídica tanto para controladores quanto para titulares, facilitando a conformidade com a LGPD em operações de transferência internacional de dados.

__________

1 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2019.

2 FUNDAÇÃO GETULIO VARGAS (FGV). Guia de Proteção De Dados Pessoais: Transferência Internacional. São Paulo: FGV. 2020, p. 15. Disponível aqui. Acesso em: 10 fev. 2022.

3 BRASIL. Portaria nº 11, de 27 de janeiro de 2021. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2021. Disponível aqui. Acesso em: 25 jan. 2022.         

4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Proposta de realização de Tomada de Subsídios para regulamentação de transferência internacional de dados pessoais, nos termos dos arts. 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018. Brasília. 2021. Disponível aqui. Acesso em: 12 jun. 2022.

5 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.  Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Brasília. Disponível em: < RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 – RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 – DOU – Imprensa Nacional (in.gov.br)>, acessado em 29 de agosto de 2024.

6 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022

7 DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Prefácio. Rio de Janeiro: Forense, 2021.

8 MENDES, Laura Schertel Ferreira. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, n. 39, jul./dez. 2018, p. 186.

9 MARQUES, Claudia Lima. Diálogo das Fontes: do conflito à coordenação de normas no direito brasileiro. São Paulo: Revista dos Tribunais. 2012, p. 23.

10 Carta de apoio à sanção da Lei de Proteção de Dados do Presidente do Brasilcon, Diógenes Carvalho, e da Ex-Presidente do Brasilcon, Cláudia Lima Marques, RDC 119, p. 517-520.

11 LEONARDI, Marcel. Transfere^ncia Internacional de Dados Pessoais. In: DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021, p. 303.

12 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022.

Art. 33.

“A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; V – quando a autoridade nacional autorizar a transferência; VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.”

13 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 34 da Lei Geral de Proteção de Dados.

Art. 34.

“O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;

II – a natureza dos dados;

III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;

IV – a adoção de medidas de segurança previstas em regulamento;

V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

VI – outras circunstâncias específicas relativas à transferência.”.

14 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 35 da Lei Geral de Proteção de Dados.

Art. 35.

“A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.

§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.

15 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 36 da Lei Geral de Proteção de Dados.

Art. 36.

As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.”.

16 BOND, Robert. International Transfers of Personal Data – an update. Business Law International. v. 5, n. 3, 2014, p. 424. De acordo com o autor, “‘transfer’ is not the same as ‘transit’. Personal data may pass through country B on the way from country A to country C, but if no substantive processing operation takes place en route, the transfer is to country C.”.

17 BOND, Robert. International Transfers of Personal Data – an update. Business Law International. v. 5, n. 3, 2014, p. 424.

18 INFORMATION COMMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). London: Information Commissioner’s Office (ICO). 2021, p. 228. Disponível aqui. Acesso em: 3 jul. 2022.

19 CARVALHO, Angelo Gamba Prata de. Transfere^ncia internacional de dados na lei geral de protec¸a~o de dados – Forc¸a normativa e efetividade diante do cena´rio transnacional. In: FRAZA~O, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). A Lei Geral de Protec¸a~o de Dados Pessoais e suas repercusso~es no direito brasileiro. Sa~o Paulo: Revista dos Tribunais. 2019, p. 623.

20 CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL); CENTRO DE DIREITO, INTERNET E SOCIEDADE DO INSTITUTO BRASILIENSE DE DIREITO PÚBLICO (CEDIS-IDP). O papel da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) conforme a nova Lei Geral de Proteção de Dados Pessoais (LGPD). 2020, p. 7. Disponível aqui. Acesso em: 25 jan. 2022.

Fonte: Migalhas