O título talvez até assuste, ou faça pensar que você ou seu negócio não realizam transferências internacionais de dados pessoais ou até mesmo que elas ocorram apenas no mundo das grandes empresas e multinacionais.

 

Transferências internacionais de dados pessoais ocorrem o tempo todo nas rotinas domésticas e particulares, assim como nas de trabalho, independentemente do porte da empresa.

 

Ela se caracteriza como o compartilhamento de dados pessoais entre organizações localizadas em Países distintos, ou seja, para além das fronteiras de um e de outro. E quando ela ocorre de uma organização no Brasil para outra que está no exterior, há a incidência da Lei Geral de Proteção de Dados Pessoais, a LGPD.

 

A transferência internacional de dados pessoais tem papel relevante, ante a necessidade da livre circulação de dados pessoais, inclusive entre organizações de países diferentes, como pressuposto básico de uma economia digital (4.0) e decorrência natural da constante evolução tecnológica da sociedade.

 

E isso se vê muito claramente em diversos tipos de negócio. O exemplo mais comum é o dos serviços de armazenamento de dados em nuvem, contratado de uma empresa que, na grande maioria das vezes, possui seus servidores/datacenters localizados no exterior. Para este serviço, acaba ocorrendo uma transferência internacional de dados, porque há uma operação de tratamento realizada para fora do Brasil, o compartilhamento de dados pessoais, para o seu armazenamento no exterior.

 

É o caso, por exemplo, da Amazon (AWS), Microsoft (Azure) e da Apple (iCloud), que oferecem serviço de armazenamento em nuvem, cujos servidores, geralmente estão localizados fora do Brasil.

 

Veja o caso da Apple, nas rotinas domésticas. É para o iCloud, localizado em servidores nos E.U.A., que, constantemente estão sendo armazenados todos os dados de seu celular (fotos, contatos, e-mails etc), enfim, o backup de tudo que há em seu aparelho celular.  É a apple, através de recursos dela no Brasil, que está transferindo dados pessoais para o exterior.

 

Outro exemplo é quando você usa o pacote Office 365 (Microsoft) e já recebe uma conta no one drive, para onde serão armazenados os seus arquivos, inclusive aqueles que contiverem dados pessoais, em seu serviço de nuvem localizado no exterior, caracterizando uma transferência internacional.

 

Com maior facilidade Empresas, independente do seu porte, realizam transferências internacionais de dados pessoais nos seus modelos de negócio, por exemplo quando:

 

  1. armazenam dados em data centers localizados no exterior;
  2. contratam serviços de computação em nuvem estrangeiro;
  3. Contratam provedor de e-mail estrangeiro (em algumas situações);
  4. Possuem aplicações como o Office 365 e o utilizam para as suas atividades de trabalho;
  5. Contratam um prestador de serviço que armazena dados pessoais no exterior.

 

Um exemplo prático:  Instituições de Ensino quando contratam plataformas de ensino-aprendizagem a serem utilizadas por seus alunos e educadores na prática docente.

 

Para o uso da plataforma é necessário que as Instituições de Ensino compartilhem os dados pessoais de seus estudantes e Professores. Normalmente o “nome completo”, “turma”, “e-mail”, “série”.

 

A plataforma, por sua vez, ou está localizada no exterior ou armazena os dados pessoais em serviços de nuvem localizados no exterior (e nessas duas hipóteses depende de uma subcontratação com empresa estrangeira).

 

Logo, os dados pessoais compartilhados pela Instituição de Ensino, com a plataforma, serão transferidos para o exterior. Além disso, a plataforma processara todas as interações dos estudantes, durante o seu uso, gerando assim, novos dados pessoais.

 

Então, ainda que a empresa seja brasileira e esteja sediada no Brasil, os serviços que ela pretende ofertar dependerão do compartilhamento de dados pessoais (tanto para o uso da plataforma, quanto para o seu armazenamento), caracterizando-se a transferência internacional de dados pessoais.

 

Há algumas exceções que não caracterizarão as transferências como internacionais, mesmo que os dados pessoais sejam enviados para fora do Brasil.

 

Se os dados pessoais forem apenas encaminhados eletronicamente através de um país fora do Brasil, mas a transferência é, na verdade, de uma organização do Brasil para outra, então não será uma transferência. É o caso, por exemplo, quando se utiliza um servidor no exterior para que isso ocorra, sem que ele acesse ou manipule os dados pessoais, ou seja, ele acaba servindo apenas como um meio para os dados trafegarem entre duas empresas no Brasil.

 

Logo, quando estivermos diante do simples transporte de informações pela rede, não haverá transferência internacional de dados.

 

Mas, se o trânsito de dados ocorrer para atingir uma finalidade de tratamento a ser realizada fora do País, aí sim, haverá a transferência internacional, como por exemplo, quando forem enviados dados pessoais do Brasil para o exterior para uma empresa que os acaba armazenando em um banco de dados, inclusive para finalidades que vão além do próprio armazenamento.

 

Daí porque as Empresas devem procurar fazer um bom mapeamento dos processos que envolvam dados pessoais, para conhecer as operações de tratamento que podem levar ao seu compartilhamento para fora do Brasil.

 

A LGPD estabeleceu as possibilidades em que é possível realizar a transferência internacional de dados pessoais.

 

O uso doméstico e particular, não atrai a atenção da LGPD, e sim quando as transferências internacionais são realizadas para atividades econômicas e comerciais, realizadas tanto por uma Pessoa Física quanto uma Jurídica.

 

De uma maneira simples, as possibilidades de ocorrência de transferência internacional de dados podem ser divididas em dois grandes grupos:

 

  1. Aquelas que ainda dependem de uma Regulamentação da Autoridade Nacional de Proteção de Dados que deverá:

 

  • promover o reconhecimento de que os países ou organismos internacionais para onde se pretenda compartilhar os dados pessoais, possuem grau de proteção adequado ao previsto na LGPD;

 

  • estabelecer cláusulas-padrão contratuais a respeito da transferência internacional de dados vinculativos às partes envolvidas, servindo como um mínimo de obrigações entre as partes;

 

  • aprovar as normas corporativas globais existentes, no que diz respeito ao tratamento de dados pessoais, atestando o nível adequado de proteção de dados pelas Multinacionais;

 

  • aprovar os requisitos e emissão de selos, certificados ou códigos de conduta, no tocante à proteção de dados pessoais, por empresas certificadores, assim reconhecidas, que atestarão o cumprimento dos requisitos da LGPD para o tratamento lícito e seguro de dados pessoais pelos Agentes de Tratamento;

 

  1. O Segundo, quando o Controlador comprovar:

 

  • a existência de garantias de cumprimento dos preceitos da LGPD através de cláusulas contratuais específicas para a transferência internacional de dados pessoais, firmadas com o Agente de Tratamento com quem se pretende compartilhar os dados pessais;

 

  • a necessidade da transferência internacional para a proteção da vida ou da incolumidade física do titular;

 

  • ter sido autorização da ANPD;

 

  • possuir o consentimento do titular, específico e em destaque para a transferência específica e internacional, informando-o previamente a respeito;

 

  • a necessidade da transferência internacional para o cumprimento de obrigação legal ou regulatória, para cumprimento de um contrato ou procedimentos preliminares de contrato em que o titular seja parte; ou ainda, para o exercício regular de direitos do controlador.

 

Para além desses dois grandes grupos a transferência internacional ainda poderá ocorrer, no âmbito da Administração Pública, quando:

 

  • necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

 

  • resultar em compromisso assumido em acordo de cooperação internacional;

 

  • necessária para a execução de política pública ou atribuição legal do serviço público.

 

Como se vê, transferências internacionais de dados pessoais não ocorrem apenas nas Grandes Empresas e Multinacionais, estão presentes nas atividades diárias de empresas de todos os portes e, inclusive, na vida doméstica.

 

Mas, para as Empresas, qualquer que seja o seu porte, ainda há um grande espaço de incertezas e inseguranças na realização das suas atividades econômicas que dependem de transferências internacionais de dados pessoais e que não podem ser interrompidas.  Então, para evitar isso, é fundamental:

 

  1. Voltar ao básico, em razão desse momento de ausência de regulamentação clara de parte da ANPD. Realizar ou rever os mapeamentos de dados, identificar a existência ou não de compartilhamentos internacionais, a sua finalidade e se ela se enquadra em algum das alternativas possíveis previstas na LGPD, verificar a forma como tais tratamentos ocorrem, identificar os parceiros comerciais e terceiros envolvidos na cadeia de tratamento (suboperadores) certificando-se que eles possam e efetivamente cumpram com os padrões de proteção de dados estabelecidos pela LGPD, buscando essas garantias, principalmente, através de cláusulas contratuais específicas.

 

  1. Focar o compliance na proteção de dados e privacidade, com regras e políticas claras e efetivas. Ou seja, nada diferente do desenvolvimento de um projeto de adequação à LGPD, e sua implementação (do projeto ao processo).

 

A partir dessas duas medidas acima, a própria organização poderá andar à frente da ANPD, construindo parâmetros e padrões de proteção de dados pessoais, tendo a LGPD como um mínimo, que servirão de referência nas averiguações de conformidade de seus parceiros comerciais, no que diz às garantias necessárias para a transferência internacional de dados pessoais lícita e segura.

 

Luciano Escobar