Com o surgimento de novas tecnologias e a massificação do acesso às redes, a organização econômica e social tornou-se cada vez mais disruptiva e globalizada, intensificando o fluxo internacional de dados
pessoais. Esse crescente compartilhamento e cruzamento de dados pessoais entre inúmeras jurisdições ocorre, em grande parte, em razão da estrutura descentralizada da Internet. Um exemplo comum é a contratação de servidores localizados fisicamente no exterior para armazenamento de dados pessoais de computação em nuvem (cloud computing).

Devido ao grande volume de dados pessoais tratados pelas empresas e, consequentemente, à preocupação com a segurança dessas informações, são diversas as instituições que se utilizam de sistemas de computação em nuvem no seu dia a dia: além de esses servidores possuírem uma capacidade maior de armazenamento, os dados pessoais são hospedados em ambiente on-line mantido pelo provedor utilizado, o qual se compromete pela sua guarda e manutenção, enquanto o usuário desfruta dos benefícios da acessibilidade de seus documentos a qualquer tempo e de qualquer lugar.

É o caso, por exemplo, de provedores como Microsoft Azure, Amazon Web Services e Google Cloud, que se destacam no mercado pela implementação de técnicas avançadas para proporcionar um elevado nível de segurança aos dados pessoais armazenados — o que é especialmente relevante à luz da Lei Geral de Proteção de Dados (LGPD), a qual exige a adoção de medidas técnicas e administrativas pelos agentes de tratamento, para a devida proteção das informações sob sua responsabilidade. Contudo, os fornecedores mencionados são provedores internacionais, o que significa que seus servidores estão localizados, em sua maioria, em países estrangeiros, de modo que todo armazenamento em nuvem realizado junto a eles potencialmente configuraria uma transferência internacional de dados pessoais sob a perspectiva da legislação brasileira.

Ocorre que o conceito de transferência internacional de dados fornecido pela LGPD, por si só, não supre satisfatoriamente as situações de armazenamento em nuvem. Discute-se, por exemplo, se a utilização de cloud computing não seria um mero “trânsito” de dados pessoais — em que não há compartilhamento entre os agentes envolvidos — para um país estrangeiro.

Esse questionamento foi parcialmente sanado pela Autoridade Nacional de Proteção de Dados, a
partir da recente publicação da Resolução CD/ANPD nº 19/2024, que aprova o Regulamento
de Transferência Internacional de Dados Pessoais. Diante das conhecidas lacunas da LGPD, as
publicações da ANPD são os principais mecanismos para suprir essas omissões e
esclarecer dúvidas sobre situações concretas, não previstas expressamente na lei, visto que a
autoridade nacional possui competência para interpretá-la de forma definitiva no Brasil.

Em síntese, o Regulamento de Transferência Internacional de Dados Pessoais afina os artigos 33 a 36 da LGPD, ao estabelecer procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais e disciplinar os mecanismos válidos para a realização de transferência internacional de dados pessoais, como as cláusulas-padrão contratuais, as cláusulas contratuais específicas e as normas corporativas globais. No entanto, o documento não trata especificamente sobre o armazenamento de dados pessoais em servidores de nuvem localizados no exterior – que é um dos principais pontos de dúvida de muitas empresas que utilizam essas ferramentas.

Para sanar essa incerteza, até que sobrevenha outra publicação da Autoridade Nacional sobre o tema, deve-se avaliar os dispositivos vigentes e interpretá-los de modo coerente com as definições e princípios gerais de proteção de dados no Brasil. Nesse sentido, de acordo com o regulamento, transferência é toda operação de tratamento por meio do qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento, sendo que ela se torna internacional quando esses dados são transmitidos, compartilhados ou disponibilizados para um agente localizado em país estrangeiro ou para um organismo internacional do qual o país seja membro. Neste particular, a coleta internacional de dados não caracteriza transferência internacional de dados.

Além disso, a ANPD também distingue as figuras do exportador, agente localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para o importador, agente localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos do exportador. Tais definições são importantes sobretudo para a alocação de deveres e responsabilidades no tocante aos mecanismos de adequação.

Através desse conceito, a transferência internacional de dados restaria configurada na vasta maioria dos serviços de aplicação de internet utilizados diariamente pelos agentes brasileiros, como em redes sociais e provedores que hospedam as informações dos titulares fora do território nacional ou em casos de funcionários de filiais brasileiras que possuem os seus dados armazenados na matriz estrangeira, por exemplo.

Empresas precisam se adequar à resolução

Embora a definição de transferência internacional não inclua expressamente o conceito de armazenamento de dados pessoais no exterior, pode-se entender, especialmente considerando a extrema abrangência da definição de tratamento de dados pessoais na LGPD, que os casos de cloud computing configuram uma transmissão de dados para o servidor localizado no exterior ou, no mínimo, uma disponibilização de acesso aos dados guardados na nuvem do provedor – o que, por sua vez, caracterizaria a transferência internacional dos dados e submeteria operação aos requisitos da resolução.

Em outras palavras, os dispositivos do regulamento aparentam incluir o armazenamento
em nuvem como uma hipótese de transferência internacional de dados, de modo que as empresas
brasileiras (exportadores) que se utilizam de servidores de cloud computing fisicamente
localizados no exterior (importadores) devem, ao menos por ora ou até que haja novos
esclarecimentos por parte da Autoridade Nacional, adotar as providências necessárias para se adequar
às disposições da Resolução CD/ANPD nº 19/2024, dentre elas:

• Mapear todas as operações de tratamento de dados pessoais com transferência internacional, inclusive de cloud computing, registrando informações específicas sobre a atividade (no mínimo, forma, duração e
• finalidade da transferência, país de destino dos dados transferidos e identificação do importador), bem como documentando o seu enquadramento legal em um dos mecanismos válidos do artigo 33 da LGPD;
• Identificar os contratos que envolvem transferência internacional de dados na organização, a fim de incorporar as cláusulas-padrão contratuais aprovadas pela ANPD em tais instrumentos, na forma do Anexo II da Resolução, o que pode ser feito via termos específicos ou aditivos;
• Na inviabilidade de adoção das cláusulas-padrão contratuais em determinada situação, encaminhar requerimento à ANPD para reconhecimento de cláusulas equivalentes ou solicitar aprovação de cláusulas contratuais específicas;
• Implementar pessoal e procedimentos para atender ao direito do titular de solicitar a íntegra das cláusulas contratuais utilizadas para realizar transferências internacionais, no prazo de 15 dias contados da solicitação;
• Estruturar novo documento ou atualizar a Política de Privacidade da empresa com as informações mínimas exigidas pela Resolução, publicando-a em página na Internet;
• Redigir normas corporativas globais destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, submetendo-as à aprovação da ANPD, caso aplicável à realidade da organização.

Importa destacar que a ANPD estipulou o prazo de 12 meses a contar da publicação da resolução para que os agentes de tratamento incorporem as cláusulas-padrão contratuais aos seus respectivos instrumentos. Porém, considerando que as cláusulas-padrão contratuais são apenas um dos mecanismos válidos para realização de transferência internacional de dados, é necessário avaliar cada caso mapeado, para estipular se a inclusão das cláusulas será necessária ou se, alternativamente, há outra hipótese no artigo 33 da LGPD que ampare a atividade. Isso porque, ainda que a ANPD não enfrente diretamente o tema do armazenamento em nuvem, é razoável interpretar que essas operações configuram transferência internacional de dados pessoais, especialmente em razão da abrangência do conceito de tratamento previsto na LGPD.

Por isso, é fundamental que empresas que se utilizam de sistemas de cloud computing avaliem imediatamente os requisitos acima elencados, por meio de um cronograma de trabalhos especificamente estruturado para a devida conformidade com a resolução, a fim de que, nos casos em que as cláusulaspadrão contratuais sejam, de fato, o mecanismo válido de transferência internacional, tais sejam incorporadas dentro do prazo estabelecido para tanto, evitando riscos de infração à LGPD.

Fonte: Consultor Jurídico (ConJur)