O artigo analisa a transferência internacional de dados pessoais sob a LGPD, destacando requisitos legais, exceções, CPCs e o papel fiscalizador da ANPD.

Este artigo foi elaborado a partir de contribuições escritas e dos debates realizados no Grupo de Estudos em Proteção de Dados MBA, coordenado por Vander M. Cristaldo - advogado e DPO, membro da CEA-LGPD e do Comitê Técnico para implementação da LGPD da OAB/MS.

A transferência internacional de dados pessoais consiste na remessa de informações a um país estrangeiro, seja para fins de armazenamento, tratamento ou qualquer outra atividade de processamento. Essa prática é comum em situações rotineiras, como o uso de plataformas digitais hospedadas no exterior, participação em reuniões virtuais por meio de sistemas internacionais, contratação de serviços em nuvem ou realização de compras em sites sediados fora do Brasil. Nessas ocasiões, dados como nome, e-mail, localização, histórico de navegação e dados financeiros podem ser encaminhados a entidades situadas em outros países.

Nos termos do art. 33 da lei 13.709/18 (LGPD), a transferência internacional de dados pode ocorrer quando o país de destino proporcionar grau de proteção de dados pessoais adequado ao previsto na legislação brasileira, e com base na resolução CD/ANPD 19/24, que aprovou o regulamento de transferência internacional de dados e estabeleceu o conteúdo das CPCs - cláusulas-padrão contratuais.

Todavia, o referido artigo também prevê, em seus incisos, outras hipóteses que autorizam a transferência, mesmo sem decisão de adequação por parte da ANPD - Autoridade Nacional de Proteção de Dados.

Essas exceções viabilizam a continuidade de operações comerciais, contratuais e institucionais que demandam o tratamento de dados fora do território nacional, desde que estejam fundamentadas em mecanismos legítimos, seguros e compatíveis com os direitos dos titulares.

No âmbito corporativo e institucional, é comum que organizações brasileiras utilizem serviços e tecnologias fornecidos por empresas estrangeiras, o que pode implicar no envio contínuo de dados pessoais para fora do território nacional. Diante disso, torna-se essencial que essas transferências estejam amparadas por bases legais adequadas, garantindo não apenas a segurança da informação, mas também a conformidade com os requisitos normativos vigentes.

Uma das principais formas de viabilizar a transferência internacional é por meio da adoção das CPCs - cláusulas-padrão contratuais, disponibilizadas pela ANPD e que devem ser adotadas integralmente, sem qualquer modificação, conforme disposto no anexo II da resolução 19/24. As cláusulas-padrão garantem salvaguardas mínimas que asseguram o cumprimento dos princípios da LGPD, a proteção dos direitos dos titulares e a fiscalização pela ANPD. Essas cláusulas podem ser incorporadas a um contrato específico de transferência ou inseridas como aditivo em contratos mais amplos.

Em situações excepcionais, é possível solicitar à ANPD a aprovação de CCE - cláusulas contratuais específicas, que ofereçam garantias equivalentes às cláusulas-padrão, mas que se façam necessárias por particularidades do contrato ou do tratamento de dados. Essa possibilidade está prevista no capítulo VI da resolução e exige processo formal de submissão e aprovação.

Outro mecanismo aceito são as normas corporativas globais (BCRs), que viabilizam a transferência de dados entre empresas de um mesmo grupo econômico ou conglomerado multinacional. As BCRs devem possuir caráter vinculante, incluir medidas de governança e responsabilização e atender às condições previstas na legislação brasileira.

Tal fato viabiliza, por exemplo, que uma empresa brasileira contrate uma prestadora de serviços estrangeira, desde que o contrato estabeleça obrigações claras quanto à proteção dos dados, à confidencialidade e aos direitos do titular, mesmo que o país da contratada não tenha legislação equivalente.

Também é possível realizar transferências com base no consentimento do titular, que deve ser obtido de forma livre, informada e destacada, com a indicação clara de que seus dados serão transferidos a outro país e quais são os riscos envolvidos. Essa autorização, no entanto, deve ser utilizada com cautela, sendo preferível quando não houver outro fundamento mais robusto, especialmente diante da vulnerabilidade informacional do titular.

A transparência nesse processo é um dos pilares da LGPD e está diretamente relacionada ao respeito às garantias fundamentais da pessoa natural, notadamente o direito à privacidade e à autodeterminação informativa.

Além disso, a LGPD permite a transferência internacional quando ela for necessária para a execução de contrato no qual o titular seja parte, ou para procedimentos preliminares relacionados a esse contrato, a pedido do titular. Isso é comum em transações internacionais de compra e venda. A transferência também é permitida quando essencial para atender a políticas públicas ou para o exercício de atribuições legais de órgãos públicos.

Em todos esses casos, é imprescindível que os agentes de tratamento observem os princípios da finalidade, necessidade, segurança e transparência, fornecendo informações claras sobre a transferência. A publicação dessas informações em linguagem simples e acessível é obrigatória, conforme previsto no art. 17 da resolução 19/24, integrando a política de privacidade da organização.

A atuação da ANPD é central nesse processo, tanto para aprovar cláusulas, analisar decisões de adequação e reconhecer equivalência de mecanismos utilizados em outros países, quanto para garantir que os fluxos internacionais não resultem em violações aos direitos dos titulares brasileiros.

Dessa forma, a transferência internacional de dados, embora necessária em diversos contextos da vida moderna, exige cuidados técnicos e jurídicos por parte dos agentes de tratamento. A LGPD, ao estabelecer critérios claros e hipóteses específicas para sua realização, busca garantir que os dados pessoais dos titulares brasileiros recebam um nível de proteção compatível com os direitos fundamentais assegurados pela CF. Cabe às organizações adotar práticas transparentes, seguras e alinhadas às diretrizes da ANPD, de modo a assegurar a legalidade das transferências e a confiança dos titulares no uso de seus dados em ambientes globais.

______________

BRASIL, Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Danos Pessoais - LGPD) https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

BRASIL, RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024.

https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396

DE ANDRADE, SIMONE BASTOS BRAGA. "Como transferir dados pessoais internacionalmente cumprindo a LGPD?" https://www.migalhas.com.br/depeso/428282/como-transferir-dados-pessoais-internacionalmente-cumprindo-a-lgpd

Fonte: Migalhas