Transferência internacional de dados pessoais, segundo o art. 5º, XV, da Lei Geral de Proteção de Dados Pessoais (LGPD) é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Esta forma de uso compartilhado de dados possui especificidades que fizeram com que o legislador dedicasse um capítulo inteiro a ela.
Neste artigo, veremos então o que dispõe o Capítulo V da LGPD, analisando os seguintes tópicos:
- O que é transferência internacional de dados pessoais?
- Por que regular a transferência internacional de dados pessoais?
- As 9 hipóteses de transferência internacional de dados pessoais
- O que diz a ANPD sobre a transferência internacional
- Sanções por descumprimento nas transferências internacionais
Iniciemos definindo o que é transferência internacional de dados pessoais.
O que é transferência internacional de dados pessoais?
Transferir dados pessoais do Brasil para país estrangeiro ou organismo internacional do qual o país seja membro é o conceito legal encontrado no art. 5º, XV, da LGPD.
Mas o que isso quer dizer exatamente?
Pense quando uma empresa brasileira armazena dados pessoais em servidores localizados nos Estados Unidos ou na Europa.
Ou quando plataformas de redes sociais processam informações de usuários brasileiros em seus datacenters fora do país.
Ou ainda quando instituições financeiras compartilham dados pessoais com parceiros internacionais para facilitar transações ou análises de crédito.
A transferência internacional de dados ocorre quando informações pessoais de indivíduos são enviadas para outro país ou acessadas por organizações situadas fora do Brasil.
Esse processo é muito comum em um mundo interconectado, onde empresas utilizam serviços globais como armazenamento em nuvem, plataformas de e-commerce e ferramentas de comunicação internacional.
Na prática, a transferência internacional de dados é indispensável para viabilizar operações comerciais e tecnológicas globais. No entanto, ela também traz riscos, como a possibilidade de os dados pessoais serem tratados de forma inadequada em países com legislações menos rigorosas.
Por isso, a LGPD estabelece, nos arts. 33 a 36, critérios específicos para garantir que essas transferências respeitem os direitos dos titulares e assegurem um nível adequado de proteção, independentemente de onde os dados estejam sendo processados.
Por que regular a transferência internacional de dados pessoais?
Como boa parte das informações na internet nunca ficam restritas a um só país, a regulação da transferência internacional de dados pessoais é fundamental para proteger os direitos dos titulares e garantir que suas informações pessoais sejam tratadas de forma adequada, mesmo quando processadas fora do Brasil.
Sem essa regulação, os dados poderiam estar sujeitos a legislações estrangeiras que não oferecem o mesmo nível de proteção assegurado pelos 11 princípios da LGPD.
Algumas razões importantes para essa regulação incluem:
- Preservação da Privacidade: garantir que os direitos à privacidade e à proteção de dados sejam respeitados, independentemente da localização geográfica onde os dados são tratados.
- Mitigação de Riscos: reduzir o risco de violações de dados em países com legislações menos rígidas ou inexistentes, protegendo os titulares de possíveis danos.
- Harmonização Jurídica: alinhar a legislação brasileira com padrões globais, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, facilitando o comércio internacional e o intercâmbio tecnológico.
- Confiança nos Serviços Digitais: promover a confiança de usuários e empresas ao garantir que dados pessoais estarão protegidos em qualquer parte do mundo.
- Competitividade Internacional: permitir que empresas brasileiras participem do mercado global, atendendo a exigências legais de parceiros internacionais que priorizam a proteção de dados.
Ao regular essas transferências, a LGPD assegura um equilíbrio entre o incentivo à inovação tecnológica e o respeito aos direitos fundamentais dos indivíduos.
Essa regulação também fortalece a posição do Brasil no cenário global, demonstrando o compromisso com a privacidade e a proteção de dados pessoais.
As 9 hipóteses de transferência internacional de dados pessoais
O art. 33 da LGPD apresenta nove hipóteses que permitem a transferência internacional de dados pessoais de forma legítima.
Essas hipóteses garantem que a proteção aos direitos dos titulares seja mantida, mesmo quando os dados são transferidos para outros países.
Existe uma semelhança entre essas 9 hipóteses e as 10 bases legais que autorizam o tratamento de dados pessoais e que já vimos em texto específico.
Vejamos cada uma das hipóteses.
1. País com Nível Adequado de Proteção
A primeira hipótese de transferência internacional de dados pessoais permitida pela lei é quando a transferência for ”para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto” na LGPD.
Um exemplo simples seria quando uma transferência de dados pessoais do Brasil para Portugal, que faz parte da União Europeia e por isso possui grau de proteção de dados garantido pelo GDPR.
Quem avalia se o grau de proteção de dados pessoais é adequado ao previsto na LGDP é a Autoridade Nacional de Proteção de Dados (ANPD) levando em consideração aspectos como legislação local, políticas de privacidade, e medidas de segurança adotadas.
Em 2024, a ANPD publicou a Resolução CD/ANPD Nº 19, de 23 de agosto de 2024 (Regulamento de Transferência Internacional de Dados), que estabelece procedimentos e regras aplicáveis para a transferência internacional de dados pessoais, em conformidade com as disposições da LGPD e com o Regimento Interno da ANPD.
Segundo o art. 11 da Resolução, a avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração:
- as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional;
- a natureza dos dados;
- a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na LGPD;
- a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares;
- a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
- outras circunstâncias específicas relativas à transferência.
O art. 12 dispõe que também serão levados em consideração:
- os riscos e os benefícios proporcionados pela decisão de adequação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD; e
- os impactos da decisão sobre o fluxo internacional de dados, as relações diplomáticas, o comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.
Além disso, a ANPD prioriza países ou organismos internacionais que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países e organismos internacionais.
2. Garantias Contratuais Apropriadas
A segunda hipótese de transferência internacional de dados pessoais é quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de:
- Cláusulas contratuais específicas para determinada transferência
- Cláusulas-padrão contratuais
- Normas corporativas globais
- Selos, certificados e códigos de conduta regularmente emitidos
A Resolução CD/ANPD Nº 19/2024 trata das cláusulas específicas, das cláusulas-padrão e das normas corporativas globais. Vejamos o que está nela disposto.
Cláusulas contratuais específicas para determinada transferência
O art. 21 da Resolução dispõe que o controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e na própria Resolução.
Essas cláusulas contratuais específicas só podem ser aprovadas pela ANPD quando a transferência internacional de dados pessoais não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.
A ANPD decidirá se aprova ou não a solicitação do controlador sobre cláusulas específicas levando em consideração, entre outras circunstâncias relevantes:
- se as cláusulas específicas são compatíveis com as disposições da LGDP e da Resolução, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e
- os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos quanto ao fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil com outros países e organismos internacionais.
Cláusulas-padrão contratuais para transferência internacional de dados pessoais
Diferente das cláusulas específicas, as cláusulas-padrão contratuais não são elaboradas pelo controlador, mas sim pela ANPD.
O objetivo é garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.
O Anexo II da Resolução CD/ANPD Nº 19/2024 traz o modelo de cláusula-padrão contratual que o controlador deve adotar para solicitar a transferência internacional de dados pessoais.
Por ser um padrão, a validade da transferência internacional de dados pessoais, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do modelo disponibilizado.
Além disso, outras cláusulas do contrato não podem excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.
Cláusulas-padrão Contratuais Equivalentes
O art. 18 da Resolução dispõe ainda que a ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas previstas no Anexo II.
Tal reconhecimento pode ser iniciado por decisão do próprio Conselho Diretor da ANPD ou por requerimento dos interessados.
O procedimento prevê que a área técnica da ANPD manifeste-se sobre o mérito da proposta de equivalência. Depois, ocorre a manifestação da Procuradoria Federal Especializada. E, por fim, há a deliberação do Conselho Diretor.
A Resolução prevê ainda a possibilidade de consulta pública e de manifestação de órgãos e entidades da Administração Pública com competências afetas ao tema.
A decisão da ANPD sobre a proposta de equivalência levará em consideração, entre outras circunstâncias relevantes:
- se as cláusulas-padrão contratuais são compatíveis com as disposições da LGPD e da Resolução, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e
- os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil com outros países e organismos internacionais.
Normas Corporativas Globais
Normas corporativas globais são regras destinadas à transferência internacional de dados pessoais entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem.
Elas constituem mecanismo válido para realizar transferências internacionais de dados pessoais apenas para as organizações ou países abrangidos pelas normas corporativas globais.
Para serem aceitas, tais normas devem estar vinculadas à implementação de programa de governança em privacidade que atenda às condições mínimas estabelecidas na LGPD e precisam conter, no mínimo.
- descrição das transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados;
- identificação dos países para os quais os dados podem ser transferidos;
- estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais;
- determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo ou conglomerado de empresas que as subscreverem, inclusive para seus funcionários;
- delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável;
- indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD, após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e
- previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas como suficientes de observância dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, especialmente na hipótese em que um dos membros do grupo ou conglomerado de empresas estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.
A norma corporativa global deve, ainda, prever obrigação de notificação imediata à entidade responsável sempre que um membro do grupo ou conglomerado de empresas situado em outro país esteja submetido a uma determinação legal que impeça o cumprimento das normas corporativas, ressalvada a hipótese de expressa proibição legal de realizar essa notificação.
Assim como ocorre com as cláusulas específicas, as normas corporativas globais também devem ser submetidas à aprovação da ANPD.
3. Cooperação jurídica internacional
A terceira hipótese de transferência internacional de dados pessoais permitida pela LGPD ocorre quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional.
Neste caso, entidades como a Agência Brasileira de Inteligência (Abin) ou a Polícia Federal, por exemplo, podem enviar dados de brasileiros para contrapartes internacionais, seguindo regras do direito internacional.
4. Proteção da vida ou da incolumidade física
A base legal da proteção da vida ou da incolumidade física do titular ou de terceiro permite a transferência internacional de dados pessoais quando ela for necessária para proteger a vida e a integridade física das pessoas.
Nós já vimos nos artigos sobre bases legais gerais e sobre hipóteses legais para o tratamento de dados pessoais sensíveis que a proteção da vida ou da incolumidade física autoriza o tratamento de dados pessoais para proteger integridade física ou mesmo a vida do titular ou de terceiro.
Essa previsão se repete aqui, autorizando a transferência internacionais nessas situações de perigo.
5. Quando a autoridade nacional autorizar a transferência
A quinta hipótese de transferência internacional de dados pessoais é uma espécie de coringa entre as nove disponíveis.
Dispõe o inciso V do art. 33 que a transferência é permitida “quando a autoridade nacional autorizar a transferência”, dando à ANPD certa discricionariedade residual para autorizar transferências internacionais que não se encaixem nos demais incisos.
Este inciso provavelmente só será usado em casos excepcionais e bem fundamentados. Na página de Assuntos Internacionais da ANPD, não há menção direta a ele, indicando que o dispositivo não deve ser de uso frequente, a princípio.
6. Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional
Um acordo de cooperação internacional é um instrumento jurídico firmado entre dois ou mais Estados ou organizações internacionais, com o objetivo de estabelecer compromissos mútuos para colaborar em áreas de interesse comum.
Esses acordos podem ser bilaterais ou multilaterais e variam em escopo e forma, podendo ser tratados, convenções ou protocolos.
Segundo a Convenção de Viena sobre o Direito dos Tratados, um tratado significa um acordo internacional concluído por escrito entre Estados e regido pelo Direito Internacional, quer conste de um instrumento único, quer de dois ou mais instrumentos conexos, qualquer que seja sua denominação específica.
Assim, caso um acordo de cooperação internacional firmado entre o Brasil e outro país ou organização internacional resulte em um compromisso que requeira a transferência internacional de dados pessoais, tal transferência está autorizada pelo inciso VI do art. 33 da LGPD.
7. Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público
A sétima hipótese de transferência internacional de dados pessoais diz respeito à Administração Pública.
Caso a execução de alguma política pública ou mesmo a realização de algum serviço público por atribuição legal exijam transferência internacional de dados pessoais, esta está autorizada pelo inciso VII.
O dispositivo, no entanto, traz a ressalva de que o Poder Público deve dar publicidade à transferência internacional, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”, conforme disposto no art. 23, inciso I.
8. Quando o titular tiver fornecido o seu consentimento
Já tratamos do consentimento do titular em texto específico sobre essa base legal, mas vale reforçar que, de maneira geral, o consentimento para o tratamento de dados pessoais só é válido para a LGPD quando ele for:
- Livre: O titular deve ter a liberdade de escolher se deseja ou não fornecer seus dados, sem ser coagido ou induzido a isso.
- Informado: O titular deve ser claramente informado sobre quais dados estão sendo coletados, por que estão sendo coletados, como serão utilizados, e com quem serão compartilhados.
- Inequívoco: O consentimento deve ser uma ação afirmativa clara do titular, que não deixe dúvidas sobre sua aceitação.
Em casos específicos, a lei exige que o consentimento seja ainda mais bem definido. Por exemplo, para o tratamento de dados pessoais sensíveis, ele deve ser específico e destacado, para finalidades específicas.
No caso da transferência internacional de dados pessoais, o consentimento só é válido se ele for específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
Caso não se cumpram tais exigências, haverá vício de consentimento, o que o tornará nulo.
9. Quando necessário para cumprimento de obrigação legal, execução de contrato ou exercício regular de direitos
A última hipótese de transferência internacional de dados pessoais nos remete de volta ao art. 7º da LGPD, que trata das bases legais para o tratamento de dados pessoais não sensíveis, mais especificamente aos incisos II, V e VI.
Esses três incisos tratam respectivamente de:
- Cumprimento de obrigação legal ou regulatória pelo controlador
- Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
- Exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem
Ou seja, caso a transferência internacional de dados pessoais seja necessária para qualquer uma dessas três situações, está ela autorizada pelo inciso IX do art. 33.
O que diz a ANPD sobre a transferência internacional de dados pessoais
Como vimos, a ANPD publicou a Resolução CD/ANPD Nº 19, de 23 de agosto de 2024 (Regulamento de Transferência Internacional de Dados), que estabelece procedimentos e regras aplicáveis para a transferência internacional de dados pessoais.
Além disso, o Regimento Interno da Autoridade prevê a existência de uma Coordenação-Geral de Relações Institucionais e Internacionais, que tem entre suas competências:
- Subsidiar a criação de mecanismos para a adequada transferência internacional de dados pessoais
- Subsidiar a avaliação pelo Conselho Diretor do nível de proteção a dados pessoais conferido por País ou organismo internacional
- Autorizar a transferência internacional de dados pessoais, de acordo com os parâmetros estabelecidos em regulamento
- Atuar de modo a assegurar que as garantias de proteção de dados pessoas previstas na LGPD sejam refletidas de maneira adequada nas discussões e acordos internacionais, incluindo acordos comerciais bilaterais e multilaterais
Por fim, a Autoridade mantém uma página específica com todas as informações sobre transferência internacional de dados pessoais, por meio da qual é possível realizar peticionamento eletrônico para pedidos relacionados à aprovação ou revisão de mecanismos de transferência internacional de dados.
Sanções por descumprimento na transferência internacional de dados pessoais
A LGPD não dispõe de artigos específicos sobre sanções por descumprimento das regras de transferência internacional de dados pessoais.
Aplicam-se, assim, as sanções gerais previstas no art. 52, que incluem:
- Advertência
- Multa simples
- Multa diária
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
- Eliminação dos dados pessoais a que se refere a infração
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
Tais sanções só podem ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, o que será visto em artigo específico sobre o tema.
Conclusão: a transferência internacional de dados pessoais
A transferência internacional de dados pessoais é um tema relevante na LGPD, refletindo os desafios e as oportunidades de um mundo interconectado.
As normas previstas no Capítulo V asseguram que, mesmo diante de fronteiras digitais, os direitos dos titulares sejam protegidos.
A análise das nove hipóteses previstas no art. 33 da LGPD demonstra o compromisso do legislador brasileiro em equilibrar inovação tecnológica, segurança jurídica e proteção de dados.
Instrumentos como garantias contratuais apropriadas, normas corporativas globais e a avaliação de adequação de outros países pela ANPD são fundamentais para promover a confiança nas operações internacionais, preservando o direito à privacidade e os valores fundamentais da LGPD.
Por fim, o cumprimento das regras de transferência internacional não é apenas uma obrigação legal, mas também uma oportunidade para empresas brasileiras se alinharem às melhores práticas globais, ganhando competitividade no mercado internacional e fortalecendo a confiança de seus usuários.
Assim, a regulação da transferência internacional de dados pessoais transcende o aspecto normativo, afirmando-se como um pilar indispensável para o desenvolvimento de uma sociedade digital ética e segura.
