A Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018, no seu texto final conceitua o que é caracterizado como transferência internacional de dados pessoais, quais as hipóteses em que tal atividade é autorizada e os requisitos que devem ser observados pelas as companhias para que a atividade de tratamento garanta ao titular do dado pessoal a segurança, a legalidade e a privacidade necessária.
O legislador teve a intenção de adotar regras similares àquelas do direito europeu, inclusive para que o Brasil passasse a apresentar cenário mais atrativo do ponto de vista comercial-regulatório.
A Argentina, que desde 2000 possui Lei de Proteção de Dados, foi o primeiro país latino-americano a conseguir o reconhecimento da União Europeia como país com uma legislação adequada para transferência de dados provenientes do aludido território, o que indica certa atenção do legislador brasileiro em também ambicionar tal acreditação.
No artigo 5º da Lei Geral de Proteção de Dados Pessoais, tem-se as definições e conceitos de alguns conceitos e temas da lei, sendo que em seu inciso XV, tem-se a definição do que é a transferência internacional de dados, que se traduz na “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.
A LGPD nessa questão, segue o modelo da GDPR (General Data Protection Regulation), que é o regulamento do direito europeu sobre privacidade e proteção de dados pessoais, pois procura garantir direitos fundamentais a partir de restrições impostas em lei para o fluxo internacional de dados.
O artigo 33 da LGPD deixa clara a intenção da legislação brasileira restringir as hipóteses em que é permitida a transferência internacional de dados pessoais, o que a partir da leitura da lei, nos permite deduzir que a possibilidade de transferência internacional de dados é exceção à regra, somente admitida se cumprida uma das hipóteses taxativas dos seus incisos, conforme redação abaixo:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
Após as considerações acima, passemos a análise dos requisitos para se legitimar uma transferência internacional de dados à luz da LGPD.
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
O dispositivo acima, que tem clara influência das regras da GDPR, dependerá de uma avaliação criteriosa pela ANPD (Autoridade Nacional de Proteção de Dados), tendo como base o disposto no artigo 34 da lei, sendo que após tal avaliação e havendo o reconhecimento como de nível adequado, afasta-se a necessidade de cumprimento de qualquer outro requisito, estando, portanto, justificada legalmente a transferência a um desses países.
II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
Todas as garantias mencionadas no inciso supra deverão ser objeto de especificação e chancela por parte da ANPD, conforme da leitura do artigo 35 do mesmo diploma legal, sendo que os requisitos para tal avaliação encontram-se dispostos nos parágrafos. Nesse sentido, há de se ter cautela para que as regras de transferência internacional de dados previstas pela LGPD não se tornem obstáculo indesejado ao legítimo e necessário fluxo de dados por inércia da ANPD.
III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
A lei visa garantir a manutenção dos serviços de inteligência internacional, investigações e atividades de cooperação jurídica internacionais.
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
O que o inciso acima visou garantir foi a prevalência do direito a vida e da integridade física, o qual não pode ser mitigado por questões relativas à limitação do fluxo de dados pessoais.
V – quando a autoridade nacional autorizar a transferência;
Esse inciso traz a possibilidade de apreciação e consequente autorização, pela ANPD, de transferências específicas.
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
O referido inciso visa garantir o cumprimento do estabelecido nos acordos de cooperação internacional firmado por outros países com o Brasil, visando garantir o intercâmbio comercial, cultural e de até mesmo de políticas públicas.
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
A presente hipótese está limitada à atividade da Administração Pública, devendo ser interpretada de forma restritiva e limitada, pois ela não confere uma faculdade de transferência internacional de dados sob a escusa de execução de política pública, mas permite que esta ocorra apenas e tão somente quando necessário para viabilidade a execução da política em referência.
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
Conforme disposição do art. 7º da LGPD, o tratamento de dados poderá ser realizado quando houver o consentimento do titular, ou seja, quando houver a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim, o titular do dado deve ter de maneira clara que as suas informações serão tratadas em outro(s) território(s), além do nacional, devendo estar clara a finalidade de transmissão para outra entidade ou para que o tratamento ocorra em outro país.
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
As hipóteses previstas nos incisos II, V e VI do artigo 7º preveem que o tratamento de dados pessoais somente poderá ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (Lei de Arbitragem), respectivamente.
Sendo assim, após análise dos incisos do artigo 33, percebe-se a importância de alguns dos papéis que a Autoridade Nacional de Proteção de Dados Pessoais – ANPD desempenhará para a atividade de proteção de dados pessoais
Portanto, em razão da necessidade de tornar o território brasileiro em um ambiente seguro para as atividades empresariais que envolvam o tratamento de dados pessoais, buscou-se a que a legislação pátria retratasse as melhores práticas dos países europeus, além de estabelecer que os parceiros de negócios internacionais estejam enquadrados nos requisitos da referida legislação e ou que estejam localizados em um país em que tenha uma legislação de proteção de dados em consonância com a brasileira, de forma a permitir uma troca de dados pessoais internacionais em estrita observância as melhores práticas, garantido ao titular do dado privacidade e proteção dos seus dados.
