O nível de proteção de dados do país estrangeiro ou do organismo internacional

Art. 33.

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V - quando a autoridade nacional autorizar a transferência;

VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do Art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

Art. 34.

O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;

II - a natureza dos dados;

III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;

IV - a adoção de medidas de segurança previstas em regulamento;

V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

VI - outras circunstâncias específicas relativas à transferência.

Art. 35.

A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.

§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.

Art. 36.

As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.

Nos termos do artigo 5º, X, da Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais — LGPD [1]), a transferência de dados é uma operação de tratamento, e, por conseguinte, atrai a incidência do regramento legal para o tratamento de dados pessoais, que impõe aos agentes de tratamento obrigações como a observância dos princípios elencados no artigo 6º e do enquadramento em uma das bases legais previstas nos artigos 7º e 11, que autorizam, respectivamente, o tratamento de dados pessoais "comuns" e dados pessoais sensíveis, entre outras obrigações previstas no diploma legal.

Muito embora a legislação brasileira de proteção de dados pessoais tenha sofrido forte influência do Direito Comunitário europeu, especificamente da GDPR (lei europeia de proteção de dados pessoais) [2], o legislador brasileiro, diferentemente do europeu, optou por deixar a cargo da Autoridade Nacional de Proteção de Dados (ANPD) a regulamentação de diversos dispositivos da lei. Assim, de acordo com a Portaria nº 11/2021 (agenda regulatória da ANPD para o biênio 2021-2022) [3], a Autoridade Nacional de Proteção de Dados iniciará no primeiro semestre de 2022, o processo regulatório sobre a transferência internacional de dados que está prevista nos artigos 33 a 36 da LGPD.

Esse é um tema prioritário na agenda regulatória da ANPD, uma vez que a transferência internacional não pode significar um esvaziamento da proteção que é conferida ao titular pela LGPD. Há um forte mercado digital mundial e o Brasil precisa ser protagonista nesse comércio internacional.

Até que haja a regulamentação desses dispositivos, a autoridade não pode exigir a observância de nenhum desses requisitos para a transferência internacional de dados, todavia, é altamente recomendável que as empresas, cujos modelos de negócios requeiram fluxos transfronteiriços de dados, como boa prática e em observância a princípios como segurança, prevenção, responsabilização e prestação de contas, olhem para a regulamentação do modelo europeu.

Nesse sentido, temos que para que haja a transferência internacional de dados pessoais dos Estados-membros da União Europeia para os países terceiros (países que não pertencem à União Europeia) ou organizações internacionais, é necessária a análise dos três níveis de bases legais, quais sejam: 1) decisão de adequação; 2) salvaguardas adequadas; e 3) derrogações.

Em síntese, a decisão de adequação (artigo 45, GDPR) significa que, após o reconhecimento de um nível adequado de proteção de dados entre os países terceiros ou organizações internacionais pela Comissão Europeia, haverá livre fluxo de informações entre os países terceiros com os Estados-membros da União Europeia. De modo a garantir uma proteção constante dos dados pessoais, a decisão de adequação deverá ser revista pelo menos uma vez a cada quatro anos (artigo 45, (3) c/c "considerando" 106, do GDPR).

Sem dúvida, a legislação europeia, ao estabelecer a necessidade de um nível de proteção adequado ao regulamento europeu, fomenta a criação de leis de proteção de dados, estimulando a longo prazo uma harmonização dessas leis o que, além de garantir a proteção das pessoas naturais, beneficia o comércio internacional.

Atualmente, apenas poucos países terceiros possuem decisão de adequação, sendo que a Argentina e o Uruguai são os únicos países da América Latina que fornecem uma proteção adequada [4].

Caso um país terceiro ou organização internacional não tenha uma decisão de adequação, ocorrerá a transferência internacional de dados dos Estados-membros da União Europeia através de garantias adequadas previstas no artigo 46, (1), (2), do GDPR e, entre estas, tem-se, por exemplo: 1) as regras vinculativas aplicáveis às empresas que pertençam ao mesmo grupo econômico (o nome em inglês é biding corporate rules— BCRs (artigo 4º, (20) c/c artigo 47, (1), c/c considerando 110, ambos do GDPR ); e 2) as cláusulas-padrão de proteção de dados (o nome em inglês é standard contractual clauses— SCCs). Se porventura não houver decisão de adequação ou salvaguardas documentais (artigo 46, GDPR), as transferências internacionais podem ocorrer nas hipóteses elencadas no artigo 49, do GDPR (derrogações — exceções — para situações específicas).

No cenário brasileiro, a ANPD, ao regulamentar o tema, se posicionará acerca de quais países ou organismos internacionais serão reconhecidos como tendo grau de proteção adequado ao previsto na LGPD, bem como definirá o conteúdo das cláusulas-padrão contratuais, poderá verificar cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais, selos, certificados ou códigos de conduta (artigo 33, c/c artigo 35, da LGPD).

No que tange às cláusulas contratuais específicas, a sua aplicação ocorrerá para transferências internacionais de dados pessoais esporádicas, em que duas organizações estipulam cláusulas específicas para a concretização da transferência, que deve ser submetida à aprovação pela ANPD.

O consentimento para a transferência internacional de dados deverá ser obtido junto ao titular, de modo específico, destacado e com informação prévia (artigo 33, VIII, da LGPD). Contudo, o controlador deve avaliar a utilização dessa base legal, considerada frágil para ser utilizada na prática, uma vez que pode ser revogada a qualquer momento pelo titular. Ademais, a lei determina que o ônus probatório da obtenção lícita do consentimento é do controlador.

Apesar de não haver hierarquia entre as nove bases legais para a transferência internacional de dados na LGPD, cada uma possui um objetivo próprio e é primordial a realização de uma avaliação de risco (transfer impact assessment) antes da realização da transferência de dados a outro país, bem como a organização deverá dar transparência aos titulares sobre tal prática, em seu aviso de privacidade, nos termos do artigo 9º da LGPD.

[1] BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 01 fev. 2022.

[2] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 01 fev. 2022.

[3] BRASIL. Autoridade Nacional de Proteção de Dados. Portaria nº 11 de 27 de janeiro de 2020. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 01 fev. 2022.

[4] UNIÃO EUROPEIA. European Commission. Disponível em: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en. Acesso em: 01 fev. 2022.

Paula Ferraz é advogada especialista em Direito Público e Privado (Emerj), pós-graduanda em Direito dos Contratos (PUC-Rio) e possui certificação DPO-EXIN.

Débora Sirotheau é advogada, analista de TI, membro titular do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), membro da Comissão Especial de Proteção de Dados – OAB Nacional, conselheira seccional e presidente da Comissão Estadual de Proteção de Dados da OAB-PA.

Quem é responsável pela avaliação do nível de proteção a dados pessoais conferido por país para efeitos de transferência internacional de dados?

Como funciona a proteção de dados no Brasil?

É permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei?

O que se considera transferência internacional de dados LGPD?