A Transferência Internacional de Dados no Contexto da Lei Geral de Proteção de Dados Pessoais

É evidente que as dimensões da circulação de informações em geral ultrapassam as fronteiras territoriais dos países no mundo – e não seria diferente com os dados pessoais, de forma que faz sentido regular as condições para o tratamento dos dados pessoais no âmbito internacional (cross-border data transfer).

Na União Europeia, o Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679 (GDPR), reconhece que “a circulação de dados pessoais, com origem e destino quer a países não pertencentes à União quer a organizações internacionais, é necessária ao desenvolvimento do comércio e da cooperação internacionais” [1] e determinou que as transferências internacionais estão condicionadas ao cumprimento do GDPR.

Dentre as condições constantes do GDPR, destacam-se, sem esgotar as possibilidades previstas no Regulamento, (a) a necessidade de avaliação de adequação, por parte da Comissão Europeia, se o país terceiro ou uma organização internacional que participará da operação de transferência internacional oferece um nível adequado de proteção de dados, e (b) na ausência desta decisão da Comissão, os responsáveis pelo tratamento precisarão apresentar garantias adequadas como, por exemplo, instrumentos jurídicos contratuais, processos de certificação, códigos de conduta, etc., que preencham os requisitos dispostos no próprio GDPR.

Se somente um ou poucos países se dispusessem a legislar sobre esta matéria, certamente não haveria eficácia em nível mundial, pois haveria margem para o surgimento de jurisdições facilitadoras do tratamento de dados pessoais com menor rigor. As forças políticas e econômicas impulsionadas principalmente pela União Europeia e pela OCDE[2] (Organização para a Cooperação e Desenvolvimento Econômico) aos países com os quais estas entidades mantém relacionamentos favorecem uma futura convergência das regras internacionais sobre o tema – não é à toa que o Brasil se inspirou no GDPR para editar sua Lei Geral de Proteção de Dados Pessoais[3] (a LGPD).

Antes da existência da LGPD, o Marco Civil da Internet[4] disciplinou sobre a aplicabilidade da legislação brasileira e a obrigatoriedade de respeito aos direitos à privacidade, à proteção de dados e ao sigilo “em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional” (artigo 11, caput), “aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil” (artigo 11, §1º), e “mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil” (artigo 11, §2º).

No entanto, a LGPD trouxe uma redação específica para a transferência internacional de dados pessoais. Na mesma linha das previsões sobre tratamentos de dados pessoais e dados pessoais sensíveis, conforme artigos 7º e 11, respectivamente, a LGPD listou as bases legais da transferência internacional de dados pessoais no artigo 33, a saber:

  1. países ou organismos internacionais destinatários com grau de proteção de dados pessoais adequado ao previsto na LGPD (a ser avaliado pela autoridade nacional);
  2. mediante o oferecimento e a comprovação de garantias, pelo controlador, de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD (na forma de cláusulas contratuais específicas e padrão; normas corporativas globais; selos, certificados e códigos de conduta regularmente emitidos – cuja análise será realizada pela autoridade nacional);
  • se necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  1. se necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  2. mediante autorização pela autoridade nacional;
  3. se resultante de compromisso assumido em acordo de cooperação internacional;
  • se necessária para a execução de política pública ou atribuição legal do serviço público (assegurada a publicidade nos termos do artigo 23, inciso I da LGPD);
  • mediante consentimento específico e destacado do titular do dado pessoal, com informação prévia sobre o caráter internacional da operação e com finalidade distinta de qualquer outra eventualmente existente; e
  1. se necessária para cumprimento de obrigação legal ou regulatória pelo controlador, para a execução de contrato ou de procedimentos preliminares contratuais, ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral (vide artigo 7º, incisos II, V e VI da LGPD).

A transferência internacional de dados pessoais no âmbito da LGPD, portanto, está restrita ao enquadramento da atividade em uma destas hipóteses acima elencadas. Não despretensiosamente, são notáveis o rigor e a similaridade da legislação brasileira em comparação às previsões do GPDR, o que reforça a intenção do Brasil e o coloca no caminho de ser reconhecido pela União Europeia e demais organismos internacionais como uma jurisdição com adequado nível de proteção de dados pessoais.

Quer saber mais sobre a LGPD e assuntos correlatos à privacidade e proteção de dados? Acompanhe as próximas publicações! Comentários e sugestões são sempre bem-vindos 😉

[1] https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.POR&toc=OJ:L:2016:119:FULL

[2] A OCDE é uma organização internacional de 36 países que aceitam os princípios da democracia representativa e da economia de mercado, que procura fornecer uma plataforma para comparar políticas económicas, solucionar problemas comuns e coordenar políticas domésticas e internacionais. A maioria dos membros da OCDE é composta por economias com um elevado PIB per capita e Índice de Desenvolvimento Humano e são considerados países desenvolvidos. Vide:

https://pt.wikipedia.org/wiki/Organiza%C3%A7%C3%A3o_para_a_Coopera%C3%A7%C3%A3o_e_Desenvolvimento_Econ%C3%B3mico

[3] Lei nº. 13.709/2018: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

[4] Lei nº. 12.965/2014: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

Deixe um comentário!

Sobre nós!

Acreditamos que com trabalho duro e estudo dedicado é possível aprimorar o que já existe, e principalmente criar o que ainda não existe.

Leia Mais!

Curta a nossa FanPage!

SIGA AS NOSSAS REDES SOCIAIS

RECEBA NOSSOS CONTEÚDOS

Copyright 2020 © Todos os direitos reservados