Os desafios para a transferência internacional de dados prevista na LGPD

Nos termos do artigo 5º, X, da Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais — LGPD [1]), a transferência de dados é uma operação de tratamento, e, por conseguinte, atrai a incidência do regramento legal para o tratamento de dados pessoais, que impõe aos agentes de tratamento obrigações como a observância dos princípios elencados no artigo 6º e do enquadramento em uma das bases legais previstas nos artigos 7º e 11, que autorizam, respectivamente, o tratamento de dados pessoais "comuns" e dados pessoais sensíveis, entre outras obrigações previstas no diploma legal.

Muito embora a legislação brasileira de proteção de dados pessoais tenha sofrido forte influência do Direito Comunitário europeu, especificamente da GDPR (lei europeia de proteção de dados pessoais) [2], o legislador brasileiro, diferentemente do europeu, optou por deixar a cargo da Autoridade Nacional de Proteção de Dados (ANPD) a regulamentação de diversos dispositivos da lei. Assim, de acordo com a Portaria nº 11/2021 (agenda regulatória da ANPD para o biênio 2021-2022) [3], a Autoridade Nacional de Proteção de Dados iniciará no primeiro semestre de 2022, o processo regulatório sobre a transferência internacional de dados que está prevista nos artigos 33 a 36 da LGPD.

Esse é um tema prioritário na agenda regulatória da ANPD, uma vez que a transferência internacional não pode significar um esvaziamento da proteção que é conferida ao titular pela LGPD. Há um forte mercado digital mundial e o Brasil precisa ser protagonista nesse comércio internacional.

Até que haja a regulamentação desses dispositivos, a autoridade não pode exigir a observância de nenhum desses requisitos para a transferência internacional de dados, todavia, é altamente recomendável que as empresas, cujos modelos de negócios requeiram fluxos transfronteiriços de dados, como boa prática e em observância a princípios como segurança, prevenção, responsabilização e prestação de contas, olhem para a regulamentação do modelo europeu.

Nesse sentido, temos que para que haja a transferência internacional de dados pessoais dos Estados-membros da União Europeia para os países terceiros (países que não pertencem à União Europeia) ou organizações internacionais, é necessária a análise dos três níveis de bases legais, quais sejam: 1) decisão de adequação; 2) salvaguardas adequadas; e 3) derrogações.

Em síntese, a decisão de adequação (artigo 45, GDPR) significa que, após o reconhecimento de um nível adequado de proteção de dados entre os países terceiros ou organizações internacionais pela Comissão Europeia, haverá livre fluxo de informações entre os países terceiros com os Estados-membros da União Europeia. De modo a garantir uma proteção constante dos dados pessoais, a decisão de adequação deverá ser revista pelo menos uma vez a cada quatro anos (artigo 45, (3) c/c "considerando" 106, do GDPR).

Sem dúvida, a legislação europeia, ao estabelecer a necessidade de um nível de proteção adequado ao regulamento europeu, fomenta a criação de leis de proteção de dados, estimulando a longo prazo uma harmonização dessas leis o que, além de garantir a proteção das pessoas naturais, beneficia o comércio internacional.

Atualmente, apenas poucos países terceiros possuem decisão de adequação, sendo que a Argentina e o Uruguai são os únicos países da América Latina que fornecem uma proteção adequada [4].

Caso um país terceiro ou organização internacional não tenha uma decisão de adequação, ocorrerá a transferência internacional de dados dos Estados-membros da União Europeia através de garantias adequadas previstas no artigo 46, (1), (2), do GDPR e, entre estas, tem-se, por exemplo: 1) as regras vinculativas aplicáveis às empresas que pertençam ao mesmo grupo econômico (o nome em inglês é biding corporate rules — BCRs (artigo 4º, (20) c/c artigo 47, (1), c/c considerando 110, ambos do GDPR ); e 2) as cláusulas-padrão de proteção de dados (o nome em inglês é standard contractual clauses — SCCs). Se porventura não houver decisão de adequação ou salvaguardas documentais (artigo 46, GDPR), as transferências internacionais podem ocorrer nas hipóteses elencadas no artigo 49, do GDPR (derrogações — exceções — para situações específicas).

No cenário brasileiro, a ANPD, ao regulamentar o tema, se posicionará acerca de quais países ou organismos internacionais serão reconhecidos como tendo grau de proteção adequado ao previsto na LGPD, bem como definirá o conteúdo das cláusulas-padrão contratuais, poderá verificar cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais, selos, certificados ou códigos de conduta (artigo 33, c/c artigo 35, da LGPD).

No que tange às cláusulas contratuais específicas, a sua aplicação ocorrerá para transferências internacionais de dados pessoais esporádicas, em que duas organizações estipulam cláusulas específicas para a concretização da transferência, que deve ser submetida à aprovação pela ANPD.

O consentimento para a transferência internacional de dados deverá ser obtido junto ao titular, de modo específico, destacado e com informação prévia (artigo 33, VIII, da LGPD). Contudo, o controlador deve avaliar a utilização dessa base legal, considerada frágil para ser utilizada na prática, uma vez que pode ser revogada a qualquer momento pelo titular. Ademais, a lei determina que o ônus probatório da obtenção lícita do consentimento é do controlador.

Apesar de não haver hierarquia entre as nove bases legais para a transferência internacional de dados na LGPD, cada uma possui um objetivo próprio e é primordial a realização de uma avaliação de risco (transfer impact assessment) antes da realização da transferência de dados a outro país, bem como a organização deverá dar transparência aos titulares sobre tal prática, em seu aviso de privacidade, nos termos do artigo 9º da LGPD.

[1] BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 01 fev. 2022.

[2] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 01 fev. 2022.

[3] BRASIL. Autoridade Nacional de Proteção de Dados. Portaria nº 11 de 27 de janeiro de 2020. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 01 fev. 2022.

[4] UNIÃO EUROPEIA. European Commission. Disponível em: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en. Acesso em: 01 fev. 2022.