O texto a seguir é uma visão abrangente e necessária sobre a Transferência Internacional de Dados (TID), Pessoais e Pessoais Sensíveis, objeto do capítulo V da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n.º 13.709/2018. A LGPD exige que os agentes de tratamento garantam proteção adequada aos dados pessoais e dados pessoais sensíveis transferidos para outros países ou organizações internacionais. A norma estabelece, ainda, que a transferência só pode acontecer em situações específicas, como para países que garantam um nível adequado de proteção ou mediante o uso de cláusulas contratuais padrão aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD). Mas, será que todas ocorrem exatamente assim?
Afinal, o que é uma TID, à luz da LGPD?
Podemos entender uma TID como a operação de tratamento por meio da qual um agente de tratamento (controlador ou operador) transmite, compartilha ou disponibiliza acesso, para país estrangeiro, a dados pessoais e/ou dados pessoais sensíveis a outro agente de tratamento, incluindo organismo internacional do qual o país seja membro. Ou seja, a TID ocorre quando um controlador ou operador de dados, conforme previsto no Art. 5.º da LGPD, envia dados pessoais ou dados pessoais sensíveis do Brasil para um país estrangeiro ou organismo internacional. O remetente é chamado de exportador e o destinatário de importador.
Contudo, cabe enfatizar que a coleta internacional de dados não caracteriza transferência internacional de dados e deverá observar as disposições da LGPD, quando verificada uma das hipóteses indicadas no art. 3.º desta Lei. Sendo assim, a TID deverá observar as disposições da LGPD e do Regulamento de Transferência Internacional de Dados, quando:
- a operação de tratamento for realizada no território nacional, ressalvado o disposto no inciso IV do caput do art. 4º da LGPD, e observado o disposto no art. 8º do Regulamento de Transferência Internacional de Dados;
- a atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens, ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional; ou
- os dados pessoais e/ou dados pessoais sensíveis, objeto do tratamento, forem coletados no território nacional.
Quando a LGPD não será aplicada a uma TID?
A LGPD não se aplica aos dados pessoais e dados pessoais sensíveis vindos de fora do Brasil somente em dois casos:
- Quando os dados estão apenas passando pelo Brasil, sem serem compartilhados ou utilizados por uma empresa, ou órgão no país; ou
- Quando os dados foram tratados no Brasil, mas estão sendo devolvidos ao país ou organização internacional de origem, desde que sejam cumpridas as seguintes condições: país ou organização internacional de origem deve ter um nível adequado de proteção de dados, reconhecido pela ANPD; A legislação ou as regras do país de origem devem se aplicar à operação; essa situação específica de exceção à LGPD precisa estar formalmente reconhecida na decisão da ANPD.
A ANPD não pode conceder exceções que comprometam os direitos dos titulares ou os princípios fundamentais da proteção de dados no Brasil. Além disso, mesmo nas situações em que a LGPD não se aplica, é essencial observar outras leis e regulamentos, especialmente aqueles que garantem o sigilo das comunicações, a segurança da informação e o acesso a dados por autoridades públicas.
Será que as transferências internacionais realizadas pela sua organização cumprem as exigências requeridas para tal?
A TID só é permitida para um propósito legítimo, claro e informado ao titular dos dados. Além disso, os dados não podem ser utilizados para uma finalidade incompatível com o motivo original da transferência. Dois requisitos principais devem ser cumpridos:
– Hipótese legal: a transferência deve estar baseada em uma das regras previstas nos artigos 7.º ou 11 da LGPD.
– Mecanismo de transferência válido, que pode ser:
- destino dos dados para um país ou organização internacional que tenha um nível adequado de proteção de dados, conforme reconhecido pela ANPD;
- uso de contratos ou normas específicas, como cláusulas-padrão, normas corporativas globais ou cláusulas contratuais específicas;
- outras situações previstas na LGPD, conforme estabelecido no artigo 33, incisos II (alínea “d”) e III a IX.
“Os dados transferidos devem ser estritamente necessários para cumprir o propósito da transferência, sendo permitida apenas a inclusão de informações relevantes e proporcionais.
Sobre o papel da ANPD
Para complementar sua visão sobre a TID, é essencial destacar que a ANPD desempenha um papel fundamental na regulamentação e fiscalização dessas transferências. Conforme estabelecido na LGPD, a ANPD possui a competência para emitir normas, procedimentos e fiscalizar as operações de tratamento de dados pessoais, garantindo a proteção dos direitos dos titulares.
Em 23 de agosto de 2024, a ANPD publicou a Resolução CD/ANPD n.º 19, que aprova o Regulamento de Transferência Internacional de Dados e define o conteúdo das cláusulas-padrão contratuais. Este regulamento estabelece os procedimentos e as regras aplicáveis às operações de TID, incluindo mecanismos como cláusulas contratuais específicas, cláusulas-padrão e normas corporativas globais. A resolução também determina que os agentes de tratamento devem incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus instrumentos contratuais no prazo de até 12 meses a partir da data de publicação.
Além disso, a ANPD lançou uma página dedicada à TID em seu portal oficial. Esta página fornece orientações, documentos e informações relevantes para auxiliar organizações e indivíduos a compreenderem e cumprirem os requisitos legais relacionados às TIDs. Este recurso é fundamental para promover a transparência e a conformidade com a LGPD, facilitando o acesso a informações atualizadas sobre o tema.
É crucial que as organizações que realizam transferências internacionais de dados pessoais adotem medidas técnicas e administrativas adequadas para proteger esses dados contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A conformidade com a LGPD e as diretrizes da ANPD não somente assegura a proteção dos direitos dos titulares, mas também fortalece a confiança e a reputação das organizações no mercado.
Conclusão
A TID não apenas amplia as responsabilidades das organizações, mas também eleva significativamente os riscos envolvidos no tratamento de dados pessoais. Conforme apontado pelo Guia Orientativo sobre Tratamento de Dados Pessoais de Alto Risco, publicado pela ANPD, certos fatores tornam uma operação de tratamento mais arriscada, como o tratamento em larga escala, o uso de tecnologias inovadoras e a possibilidade de afetar significativamente os direitos dos titulares. A TID frequentemente envolve grandes volumes de dados, transferidos para jurisdições com diferentes níveis de proteção, o que pode aumentar a vulnerabilidade a violações de segurança e acessos não autorizados.
Além disso, uma TID mal conduzida pode resultar em impactos negativos diretos aos titulares, incluindo dificuldade no exercício de direitos, restrição ao acesso a serviços essenciais e exposição a riscos de discriminação, fraudes e violações da privacidade. A ANPD destaca que a proteção dos dados pessoais deve ser garantida ao longo de toda a cadeia de transferência, exigindo medidas técnicas e organizacionais robustas, incluindo a avaliação de riscos antes da transferência e a implementação de salvaguardas adequadas.
As organizações que realizam TIDs devem adotar mecanismos rígidos de governança e monitoramento contínuo para garantir a conformidade com a LGPD e as diretrizes da ANPD. A transparência na comunicação com os titulares e o uso de relatórios de impacto são ferramentas essenciais para mitigar riscos e demonstrar compromisso com a privacidade e segurança dos dados. É crucial que as organizações acompanhem as normativas vigentes e implementem práticas eficazes de governança de dados para assegurar conformidade e confiança no tratamento das informações.