LGPD e GDPR: Transferências Internacionais de Dados e os Cuidados Necessários para a Conformidade

Requerimentos, Desafios e Oportunidades frente às Leis e Regulamentações em Privacidade
Inovação, Privacidade e Proteção de Dados

As transferências internacionais de dados são atividades rotineiras cada vez mais comuns no mundo globalizado e digitalizado em que vivemos, especialmente para empresas que operam em vários países ou utilizam fornecedores de serviços em diferentes regiões.

 

No entanto, transferências internacionais envolvem desafios significativos em termos de proteção de dados pessoais. Tanto a Lei Geral de Proteção de Dados (LGPD) no Brasil quanto o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia estabelecem procedimentos rigorosos para garantir que os dados pessoais sejam transferidos de maneira segura e dentro do escopo das regulamentações.

No Brasil, a Agência Nacional de Proteção de Dados publicou em Agosto de 2024 a Resolução CD/ANPD nº 19/2024, que define as regras nacionais para Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais a serem utilizadas por toda e qualquer empresa. Para a correta interpretação do regulamento, sugerimos o contato com seu DPO (ou Encarregado pela Proteção de Dados).

Privacidade: O que são transferências internacionais de dados?

Antes de explicarmos as transferências internacionais vale a pena relembrar o conceito de tratamento de dados. Pela LGPD, toda a atividade de visualização, consulta, manipulação, transformação, transferência, guarda e eliminação está dentro do critério de “tratamento de dados”.Transferências internacionais de dados ocorrem quando dados pessoais são transferidos de um país para outro. Isso pode incluir desde o envio de informações de clientes para uma subsidiária em outro país até o uso de serviços de nuvem oferecidos por fornecedores com servidores em diferentes partes do mundo.Essas transferências precisam respeitar o direito à privacidade dos titulares dos dados e seguir as leis de proteção de dados do país de origem (e potencialmente no de destino também). No contexto da LGPD e da GDPR, esse processo exige uma série de medidas de segurança e controle para garantir o tratamento adequado.Em exemplos práticos para a LGPDSua empresa pode incorrer em transferências internacionais quando:
  1. Utilizam softwares e serviços digitais em nuvem – Exemplo, soluções de startups, CRM online, suítes de negócio, mala direta, coleta de leads e prospects, hospedagem de sites, etc, cujo processamento e armazenamento não ocorram totalmente em infraestruturas hospedadas em datacenters no Brasil.

    2.  
  2. Utilizam máquinas e clusters em Cloud: VMs, Instâncias em Kubernetes/Docker e Bases de dados hospedadas em geografias diferentes da do Brasil. Neste caso, incluem-se também os backups e recovery sites.

    3.  
  3. Profissionais globais acessando e manipulando dados de titulares em países diversos. Exemplo, profissionais na Índia prestando suporte a usuários Brasileiros, com acesso a dados e logs.

Adequação a LGPD: Transferência Internacional de Dados segundo a ANPD

A LGPD prevê regras específicas para garantir que os dados se mantenham seguros, mesmo quando haja uma transferência para fora das fronteiras do Brasil. Ou seja, que no país destino, haja regras tão seguras e restritas como as que aqui existem e que os direitos dos titulares sejam mantidos em sua totalidade. A Autoridade Nacional de Proteção de Dados (ANPD) será responsável por definir quais países atendem esse requisito (Países Adequados).

Caso o país-destino não esteja na relação dos países adequados, a regulamentação da ANPD, determina que a transferência internacional de dados só pode ocorrer quando houver garantias específicas, como:

Garantias Contratuais: Empresas podem transferir dados mediante cláusulas contratuais padrão (SCC) ou cláusulas contratuais específicas que assegurem a conformidade com a LGPD e as boas práticas de mercado.

Normas Corporativas Globais (Binding Corporate Rules – BCR): As regras corporativas vinculantes são um mecanismo aceito pela LGPD e pela GDPR para garantir que todas as entidades de um grupo empresarial internacional sigam os mesmos princípios de proteção de dados.

Estando o país destino na relação aprovada pela ANPD, a existência de cláusulas adicionais ou normas corporativas globais não são necessárias.

Independentemente, é necessário garantir a escolha de provedores de serviços de qualidade, com certificações internacionais, aderentes aos padrões e boas práticas de mercado e efemeramente comprometidos com os princípios de privacidade e proteção de dados.

Você, como empresa, deve também garantir que realizou o seu due dilligence, documentou resultados e constantemente trabalha com seus fornecedores para garantir que os processos estejam sendo executados conforme documentados, dentro do limite do escopo contratual.

Adicionalmente, a transferência poderá ocorrer quando:

  • Consentimento do Titular: A transferência internacional de dados pode ocorrer quando o titular dos dados consente expressamente, após ser amplamente informado sobre os dados tratados, justificativas e riscos envolvidos neste processamento. Neste ponto, reforça-se a necessidade de transparência com o titular para que o consentimento seja desprovido de vícios e claro de que o dado será tratado fora do Brasil. Veja também: Porque o Consentimento pode ser a “pior” opção para justificar o seu tratamento de dados?
  • Defesa em Processos Jurídicos e Cumprimento de Obrigação Legal ou Regulatória: Dados podem ser transferidos quando forem necessários exclusivamente para a execução de obrigações legais ou para o exercício de direitos em processos judiciais ou administrativos.
  • Cooperações Internacionais Governamentais ou Execução de Políticas Públicas
  • Proteção à vida de titular ou de terceiro
  • Execução de Contratos: Transferências podem ser realizadas quando necessárias para a execução de um contrato firmado, desde que outras garantias existam.

Dados Pessoais Sensíveis

A transferência de dados pessoais sensíveis demanda cuidados adicionais, tanto pela LGPD quanto pela GDPR. A razão de tais cuidados se dá justamente pelos riscos adicionais aos titulares, em caso de exposição.

Boas Práticas para Transferências Internacionais de Dados

Empresas que precisam realizar transferências internacionais de dados, especialmente envolvendo dados pessoais sensíveis, devem adotar algumas boas práticas para assegurar a conformidade:

Avaliação de Riscos: Antes de transferir dados, é essencial realizar uma avaliação detalhada dos riscos envolvidos, considerando o país destinatário, as leis locais e as medidas de segurança disponíveis. Traçar estratégias de mitigação e redução de riscos também é importante.

Monitoramento e Documentação: Assegurar que todas as transferências sejam documentadas adequadamente e monitoradas para garantir a conformidade contínua com as normas.

Criptografia, Pseudonimização e Anonimização: Sempre que possível, os dados pessoais sensíveis devem ser criptografados ou anonimizados antes de serem transferidos internacionalmente. A pseudonimização não é coberta pela LGPD mas é uma prática que auxilia a reduzir o risco organizacional.

Treinamento de Funcionários: Garantir que todos os colaboradores que lidam com dados pessoais, especialmente em transferências internacionais, sejam devidamente treinados sobre os requisitos legais e boas práticas.

Escolha de Parceiros: Garantir que todos os colaboradores que lidam com dados pessoais, especialmente em transferências internacionais, sejam devidamente treinados sobre os requisitos legais e boas práticas.

Implementação de Boas Práticas de Mercado e de Governança: Garantir que todos os colaboradores que lidam com dados pessoais, especialmente em transferências internacionais, sejam devidamente treinados sobre os requisitos legais e boas práticas.

Ter um DPO atuante e um time trabalhando temas de Privacidade e Proteção de Dados: Ter o suporte de um DPO é relevante neste processo. Seja para avaliar fornecedores, para auxiliar na definição das Cláusulas Contratuais, avaliação de salvaguardas existentes ou para revisar processos internos, sua empresa necessita deste profissional que, pode ser interno à organização ou atuar no modelo de DPO-as-a-Service, onde sua empresa conta com especialistas em diversas áreas de conhecimento (multidisciplinaridade).

LGPD: Burocracia ou Oportunidade?

O mundo está mudando e normas de Privacidade são uma realidade. Hoje já são mais de 120 regulamentações ou leis de privacidade ao redor do mundo. Empresas de todos os portes e segmentos precisam se familiarizar com as regras locais de cada mercado onde atua e os requisitos mandatórios de cada país, para então decidir a melhor forma de implementar (ou comprovar) os controles necessários e oferecer os devidos direitos dos titulares.

Embora a regulamentação aparente ser apenas mais uma burocracia, ela – na verdade – oferece oportunidades e demonstra o compromisso empresarial com a sociedade. O Brasil estar alinhado às mais rígidas normas internacionais pode aumentar a competitividade das empresas brasileiras no mercado global e facilitar o crescimento internacional. 

Além disso, a adequação a LGPD ainda pode ser vista como um diferencial competitivo, especialmente dentro das Pequenas e Médias Empresas PMEs, Startups incluídas). Empresas que se adequarem rapidamente às exigências da nova resolução poderão ganhar mais confiança de consumidores – B2C e B2B – facilitando o desenvolvimento de novos negócios e a manutenção de contratos existentes. 

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Um dos requisitos mais críticos da LGPD, da GDPR e de diversas outras legislações de privacidade ao redor do mundo é a nomeação de um Data Protection Officer (DPO ou Encarregado pela Proteção de Dados). O DPO é responsável por pelos processos e práticas de compliance com privacidade de sua empresa e por atuar como ponto de contato entre a organização e as autoridades reguladoras. Contar com um DPO especializado é fundamental, principalmente porque as multas por violações podem ser significativas e existem muitos critérios a serem verificados antes do início da transferência internacional. 

A conformidade com a LGPD é importante para garantir que os processos de tecnologia e inovação sejam oportunidades majoradas com a devida proteção dos direitos dos titulares. Além de cumprir com as exigências legais, empresas devem adotar práticas robustas de segurança, dentro de sua capacidade econômica, para garantir que dados pessoais, especialmente os sensíveis, sejam tratados com o máximo cuidado em todas as etapas do processo. 

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

DPO AS A SERVICE