O título talvez até assuste, ou faça pensar que você ou seu negócio não realizam transferências internacionais de dados pessoais ou até mesmo que elas ocorram apenas no mundo das grandes empresas e multinacionais.
Transferências internacionais de dados pessoais ocorrem o tempo todo nas rotinas domésticas e particulares, assim como nas de trabalho, independentemente do porte da empresa.
Ela se caracteriza como o compartilhamento de dados pessoais entre organizações localizadas em Países distintos, ou seja, para além das fronteiras de um e de outro. E quando ela ocorre de uma organização no Brasil para outra que está no exterior, há a incidência da Lei Geral de Proteção de Dados Pessoais.
A transferência internacional de dados pessoais tem papel relevante, ante a necessidade da livre circulação de dados pessoais, inclusive entre organizações de países diferentes, como pressuposto básico de uma economia digital (4.0) e decorrência natural da constante evolução tecnológica da sociedade.
E isso se vê muito claramente em diversos tipos de negócio. O exemplo mais comum é o dos serviços de armazenamento de dados em nuvem, contratado de uma empresa que, na grande maioria das vezes, possui seus servidores/datacenters localizados no exterior. Para este serviço, acaba ocorrendo uma transferência internacional de dados, porque há uma operação de tratamento realizada para fora do Brasil, o compartilhamento de dados pessoais, para o seu armazenamento no exterior.
É o caso, por exemplo, da Amazon (AWS), Microsoft (Azure) e da Apple (iCloud), que oferecem serviço de armazenamento em nuvem, cujos servidores, geralmente estão localizados fora do Brasil.
Veja o caso da Apple, nas rotinas domésticas. É para o iCloud, localizado em servidores nos E.U.A., que, constantemente estão sendo armazenados todos os dados de seu celular (fotos, contatos, e-mails etc), enfim, o backup de tudo que há em seu aparelho celular. É a apple, através de recursos dela no Brasil, que está transferindo dados pessoais para o exterior.
Outro exemplo é quando você usa o pacote Office 365 (Microsoft) e já recebe uma conta no one drive, onde serão armazenados os seus arquivos, inclusive aqueles que contiverem dados pessoais, em seu serviço de nuvem localizado no exterior, caracterizando uma transferência internacional.
Com maior facilidade Empresas, independente do seu porte, realizam transferências internacionais de dados pessoais nos seus modelos de negócio, por exemplo quando:
- armazenam dados em data centers localizados no exterior;
- contratam serviços de computação em nuvem estrangeiro;
- Contratam provedor de e-mail estrangeiro (em algumas situações);
- Possuem aplicações como o Office 365 e o utilizam para as suas atividades de trabalho;
- Contratam um prestador de serviço que armazena dados pessoais no exterior.
Um exemplo prático: Instituições de Ensino quando contratam plataformas de ensino-aprendizagem a serem utilizadas por seus alunos e educadores na prática docente.
Para o uso da plataforma é necessário que as Instituições de Ensino compartilhem os dados pessoais de seus estudantes e Professores. Normalmente o “nome completo”, “turma”, “e-mail”, “série”.
A plataforma, por sua vez, ou está localizada no exterior ou armazena os dados pessoais em serviços de nuvem localizados no exterior (e nessas duas hipóteses depende de uma subcontratação com empresa estrangeira).
Logo, os dados pessoais compartilhados pela Instituição de Ensino, com a plataforma, serão transferidos para o exterior. Além disso, a plataforma processara todas as interações dos estudantes, durante o seu uso, gerando assim, novos dados pessoais.
Então, ainda que a empresa seja brasileira e esteja sediada no Brasil, os serviços que ela pretende ofertar dependerão do compartilhamento de dados pessoais (tanto para o uso da plataforma, quanto para o seu armazenamento), caracterizando-se a transferência internacional de dados pessoais.
Em alguns casos, ainda que os dados pessoais sejam enviados para fora do Brasil, não se terá configurada uma transferência internacional.
Se os dados pessoais forem apenas encaminhados eletronicamente através de um país fora do Brasil, mas a transferência é, na verdade, de uma organização do Brasil para outra, então não será uma transferência. É o caso, por exemplo, quando se utiliza um servidor no exterior para que isso ocorra, sem que ele acesse ou manipule os dados pessoais, ou seja, ele acaba servindo apenas como um meio para os dados trafegarem entre duas empresas no Brasil.
Por outro lado, se o trânsito de dados ocorrer para atingir uma finalidade de tratamento a ser realizada fora do País, aí sim, haverá a transferência internacional, como por exemplo, quando forem enviados dados pessoais do Brasil para o exterior para uma empresa que os acaba armazenando em um banco de dados, inclusive para finalidades que vão além do próprio armazenamento.
Logo, quando estivermos diante do simples transporte de informações pela rede, não haverá transferência internacional de dados.
Daí porque as Empresas devem procurar fazer um bom mapeamento dos processos que envolvam dados pessoais, para conhecer as operações de tratamento que podem levar ao compartilhamento de dados para fora do Brasil.
E quais são as possibilidades de transferência internacional autorizadas pela LGPD?
O uso doméstico e particular, não atrai a atenção da LGPD, e sim quando as transferências internacionais são realizadas para atividades econômicas e comerciais, realizadas tanto por uma Pessoa Física quanto uma Jurídica.
De uma maneira simples, as possibilidades de ocorrência da transferência internacional de dados podem ser divididas em dois grandes grupos:
- O primeiro, para que as Empresas possam realizar o compartilhamento internacional, depende exclusivamente de providências que até o presente momento não ocorreram em que a ANPD, deve:
- promover o reconhecimento de que os países ou organismos internacionais para onde se pretenda compartilhar os dados pessoais, possuem grau de proteção adequado ao previsto na LGPD;
- estabelecer cláusulas-padrão contratuais a respeito da transferência internacional de dados vinculativos às partes envolvidas;
- aprovar as normas corporativas globais existentes, no que diz respeito ao tratamento de dados pessoais;
- aprovar os requisitos e emissão de selos, certificados ou códigos de conduta, no tocante à proteção de dados pessoais;
- O Segundo, quando o Controlador deverá comprovar:
- a existência de garantias de cumprimento dos preceitos da LGPD através de cláusulas contratuais específicas para a transferência internacional de dados pessoais;
- a necessidade da transferência internacional para a proteção da vida ou da incolumidade física do titular;
- ter sido autorização da ANPD;
- possuir o consentimento do titular, específico e em destaque para a transferência específica, informando-o previamente a respeito;
- a necessidade da transferência internacional para o cumprimento de obrigação legal ou regulatória, para cumprimento de um contrato ou procedimentos preliminares de contrato em que o titular seja parte; ou ainda, para o exercício regular de direitos do controlador.
Para além desses dois grandes grupos há ainda um terceiro, em que será possível a transferência internacional de dados pessoais quando:
- necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
- resultar em compromisso assumido em acordo de cooperação internacional;
- necessária para a execução de política pública ou atribuição legal do serviço público.
Como se vê, há um grande espaço de incertezas e inseguranças para as organizações que realizam atividades econômicas e que dependem de transferências internacionais de dados pessoais e que não podem ser interrompidas. Então, para que essas atividades continuem ocorrendo, recomenda-se que sejam seguidas duas etapas:
A primeira: voltar ao básico se mostra essencial nesse momento de ausência de regulamentação clara de parte da ANPD. Realizar ou rever os mapeamentos de dados, identificar a existência ou não de compartilhamentos internacionais, a sua finalidade e se ela se enquadra em algum das alternativas possíveis previstas na LGPD, verificar a forma como tais tratamentos ocorrem, identificar os parceiros comerciais e terceiros envolvidos na cadeia de tratamento (suboperadores) certificando-se que eles possam e efetivamente cumpram com os padrões de proteção de dados estabelecidos pela LGPD, buscando essas garantias, principalmente, através de cláusulas contratuais específicas.
A segunda: o compliance focado para a proteção de dados e privacidade com regras e políticas claras e efetivas. Ou seja, nada diferente do desenvolvimento de um projeto de adequação à LGPD, e sua implementação (do projeto ao processo). Isso é fundamental para que a própria organização construa seus parâmetros e padrões, tendo a LGPD como padrão mínimo, que servirão de referência nas averiguações de conformidade de seus parceiros comerciais, no que diz respeito à proteção de dados pessoais (ainda que, em algum momento, algum deles possa estar localizado em um País sem uma Legislação voltada à Proteção de dados Pessoais).
Luciano Escobar
Sócio MFO Advogados
Especialista em LGPD