LGPD: Transferência Internacional de Dados. Você sabe o que é?

Pela GDPR, a transferência de dados é permitida diante de algumas situações:

• Ser chancelada pela Comissão Europeia de que o país destino oferece leis e controles adequados. Hoje dados podem circular entre os países da União Europeia e, por exemplo: Argentina, Canadá, Israel, Japão, Nova Zelândia, Uruguai, entre outros. Confira a lista completa aqui. Como podem ver, nem os Estados Unidos, nem o Brasil (apesar da LGPD) tiveram seus programas e legislações aprovados;

• Através da assinatura de termos contratuais adicionais chamados de “Standard Contractual Clauses” (ou SCCs). Os SCCs são contratos que viabilizam a transferência de dados PARA empresas em países não-aprovados pela Comissão Europeia. Basicamente, contêm um “subset” da GDPR e a segurança e os direitos dos titulares são garantidos contratualmente. Modelos de SCCs podem ser encontrados neste link;

• Por meio das “Binding Corporate Rules” (ou BCRs). Nesta alternativa, empresas do mesmo grupo econômico, podem transferir dados originados dentro da UE para suas subsidiárias em outros países, mesmo aqueles não-aprovados pela Comissão Europeia. Ainda assim, para que uma empresa utilize a BCR como garantia de privacidade e proteção de dados, ela precisa ser aprovada por uma entidade de proteção de dados da Comunidade Europeia;

• Por instrumento jurídico vinculativo e executório entre autoridades ou organismos públicos;

• Com a aprovação de um Código de Conduta que conjugue compromissos vinculativos e executáveis face aos agentes de tratamento de dados – controlador ou operador – de país terceiro (não europeu) para aplicar as garantias adequadas de proteção aos titulares de dados;

• Por meio de mecanismo de certificação aprovado que contemple, cumulativamente, compromissos vinculativos e executáveis, tal qual descrito na alternativa acima.

No caso da Meta, as entidades de proteção de dados europeias (2020) indicaram que a transferência para os Estados Unidos poderia não ser “segura o suficiente”, principalmente por questões de monitoramento governamental. A Meta notificou órgãos norte-americanos e informou que sem as SCCs, não poderia oferecer uma quantidade significativa de produtos e serviços, incluindo Facebook e Instagram na Europa. 

LGPD: Operadores, Controladores e Serviços “Digitais”

Algo muito importante de se ter em mente é que, às vezes, você pode estar contratando uma empresa nacional para prestar um serviço, sem se questionar, acreditando que não haverá nenhuma forma de transferência internacional de dados – nem mesmo por operadores desta contratada.

E, embora seja aparentemente irrelevante, contratar sem analisar a fundo, pode expor a sua empresa a riscos não-tratados e demandar conformidade com outras legislações de proteção de dados para além da brasileira.

Como via de regra, você precisará verificar os documentos do serviço que deseja contratar para assegurar-se de que ela não utiliza – ou transfere dados – para terceiros de fora do Brasil (sem que você tenha ciência) ou, se utiliza, solicitar evidências das medidas técnicas e organizacionais implementadas para mitigar os riscos associados ao tratamento de dados (TOMs).

Mapear sistemas e dados, seus inventários e ter disponíveis os Acordos de Processamento de Dados (DPAs) são importantes para as organizações poderem identificar, dar visibilidade, decidir conscientemente e tratar as potenciais transferências internacionais sob sua responsabilidade.

É igualmente arriscada a contratação de serviços de forma departamentalizada, sem o conhecimento dos times de TI e Privacidade, uma vez que tira a oportunidade destes, de revisar, questionar e mapear riscos organizacionais.

O que diz a LGPD sobre transferências internacionais de dados?

A LGPD aborda o tema em um capítulo específico. Veja a seguir.

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;

II – a natureza dos dados;

III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;

IV – a adoção de medidas de segurança previstas em regulamento;

V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

VI – outras circunstâncias específicas relativas à transferência.

Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.

§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.

Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.

Visibilidade, Monitoramento e Geração de Evidências: Pontos-chave da conformidade à LGPD

Não é necessário o pânico. Mas é importante você saber:

• Quais dados a sua empresa processa e sob qual finalidade;
• Quem são os seus provedores de serviço e quais dados pessoais são enviados para eles. Saiba quais as medidas de segurança implementadas por eles por meio dos TOMs (Technical and Organizational Measures) e DPAs (Data Processing Agreement). Audite, se necessário;
• Quais são os provedores de serviço dos seus operadores;
• Utilize a consultoria interna do seu DPO / Encarregado;
• Conheça os fluxos, processos e necessidades da sua empresa. Avalie plataformas e softwares disponíveis no mercado para apoiar seu programa de adequação. Convidamos para conhecer o DPO Helper, nossa ferramenta que facilita e otimiza tais atividades, disponível em formatos acessíveis à todas as empresas!

Precisa de ajuda?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.