LGPD: Transferência Internacional de Dados. Você sabe o que é?
No início de fevereiro, a mídia de tecnologia publicou matérias indicando que a Meta (Facebook / Instagram) poderia ser forçada a parar de operar na Europa, devido às restrições / requisitos relacionados à hospedagem física dos dados de seus cidadãos e às transferências internacionais de dados da GDPR. A Meta veio a público posteriormente, para negar tal “ameaça”. Entenda como o tema tem relação com a LGPD.
Pela GDPR, a transferência de dados é permitida diante de algumas situações:
- Ser chancelada pela Comissão Europeia de que o país destino oferece leis e controles adequados. Hoje dados podem circular entre os países da União Europeia e, por exemplo: Argentina, Canadá, Israel, Japão, Nova Zelândia, Uruguai, entre outros. Confira a lista completa aqui. Como podem ver, nem os Estados Unidos, nem o Brasil (apesar da LGPD) tiveram seus programas e legislações aprovados;
- Através da assinatura de termos contratuais adicionais chamados de “Standard Contractual Clauses” (ou SCCs). Os SCCs são contratos que viabilizam a transferência de dados PARA empresas em países não-aprovados pela Comissão Europeia. Basicamente, contêm um “subset” da GDPR e a segurança e os direitos dos titulares são garantidos contratualmente. Modelos de SCCs podem ser encontrados neste link;
- Por meio das “Binding Corporate Rules” (ou BCRs). Nesta alternativa, empresas do mesmo grupo econômico, podem transferir dados originados dentro da UE para suas subsidiárias em outros países, mesmo aqueles não-aprovados pela Comissão Europeia. Ainda assim, para que uma empresa utilize a BCR como garantia de privacidade e proteção de dados, ela precisa ser aprovada por uma entidade de proteção de dados da Comunidade Europeia;
- Por instrumento jurídico vinculativo e executório entre autoridades ou organismos públicos;
- Com a aprovação de um Código de Conduta que conjugue compromissos vinculativos e executáveis face aos agentes de tratamento de dados – controlador ou operador – de país terceiro (não europeu) para aplicar as garantias adequadas de proteção aos titulares de dados;
- Por meio de mecanismo de certificação aprovado que contemple, cumulativamente, compromissos vinculativos e executáveis, tal qual descrito na alternativa acima.
No caso da Meta, as entidades de proteção de dados europeias (2020) indicaram que a transferência para os Estados Unidos poderia não ser “segura o suficiente”, principalmente por questões de monitoramento governamental. A Meta notificou órgãos norte-americanos e informou que sem as SCCs, não poderia oferecer uma quantidade significativa de produtos e serviços, incluindo Facebook e Instagram na Europa.
LGPD: O que caracteriza uma transferência internacional de dados?
Hoje, no mundo “Digital” em que vivemos, é praticamente impossível não termos transferência internacionais de dados em algum nível, direta ou indiretamente.
Sites, Sistemas, Aplicações, Aplicativos (apps), Dispositivos IoT todos – muito provavelmente – fazem uso de infraestrutura e serviços em ambiente cloud. Dados são enviados, armazenados e processados globalmente.
Na LGPD, uma transferência internacional acontece toda vez que o dado sai das fronteiras brasileiras, como por exemplo:
- Desenvolvedores(as) de outros países acessando dados colhidos aqui;
- Quando uma empresa local utiliza serviços de terceiros que enviam dados para empresas globais e/ou de fora do Brasil, como por exemplo:
- Apps/serviços de terceiros;
- APIs;
- Agregadores / Análises de Logs (que eventualmente possam conter endereços IPs e/ou identificadores de usuários);
- Sistemas de gestão de chamados (ex. Suporte);
- Quando uma empresa utiliza serviços próprios em Cloud em outras geografias que não a do Brasil – como por exemplo:
- VPS / Containers em Cloud;
- Buckets de armazenamento de Dados (Block Storage, S3);
- Backups;
- E-mails / Drives / Sites (intranet, wikis, etc);
O simples fato de alguém ter acesso ao dado pessoal identificável, fora do Brasil, já configura uma transferência internacional de dados.
LGPD: Operadores, Controladores e Serviços “Digitais”
Algo muito importante de se ter em mente é que, às vezes, você pode estar contratando uma empresa nacional para prestar um serviço, sem se questionar, acreditando que não haverá nenhuma forma de transferência internacional de dados – nem mesmo por operadores desta contratada.
E, embora seja aparentemente irrelevante, contratar sem analisar a fundo, pode expor a sua empresa a riscos não-tratados e demandar conformidade com outras legislações de proteção de dados para além da brasileira.
Como via de regra, você precisará verificar os documentos do serviço que deseja contratar para assegurar-se de que ela não utiliza – ou transfere dados – para terceiros de fora do Brasil (sem que você tenha ciência) ou, se utiliza, solicitar evidências das medidas técnicas e organizacionais implementadas para mitigar os riscos associados ao tratamento de dados (TOMs).
Mapear sistemas e dados, seus inventários e ter disponíveis os Acordos de Processamento de Dados (DPAs) são importantes para as organizações poderem identificar, dar visibilidade, decidir conscientemente e tratar as potenciais transferências internacionais sob sua responsabilidade.
É igualmente arriscada a contratação de serviços de forma departamentalizada, sem o conhecimento dos times de TI e Privacidade, uma vez que tira a oportunidade destes, de revisar, questionar e mapear riscos organizacionais.
O que diz a LGPD sobre transferências internacionais de dados?
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V – quando a autoridade nacional autorizar a transferência;
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II – a natureza dos dados;
III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV – a adoção de medidas de segurança previstas em regulamento;
V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI – outras circunstâncias específicas relativas à transferência.
Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.
Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.
Atualização da ANPD com o Regulamento para Transferências Internacionais
Em Agosto de 2024, A ANPD também divulgou seu Regulamento sobre Transferências Internacionais de Dados. Leia mais neste link.
O Regulamento atualizado se aplica às operações que envolvam a transferência de dados pessoais de um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em país estrangeiro ou organismo internacional do qual o Brasil seja membro.
Mas como as SCCs e o caso Meta nos afetam aqui no Brasil com a LGPD?
Assim como na GDPR, a LGPD também define que uma das alternativas para a transferência de internacional de dados é a adoção de clausulas-padrão contratuais. E como visto acima, muitos dos produtos e serviços digitais utilizados por nós e por empresas no dia-a-dia, utilizam algum nível de serviços em Cloud, com abrangência ou componentes globais.
A eventual decisão definitiva de que o envio de dados para empresas norte-americanas sob as SCCs é inválido por conta do monitoramento governamental não afetará apenas a Meta, mas também os mais variados negócios que têm como provedores de serviço, empresas norte-americanas. Estas – muito provavelmente – precisarão buscar outras alternativas para validar o tratamento de seus dados.
Visibilidade, Monitoramento e Geração de Evidências: Pontos-chave da conformidade à LGPD
Não é necessário o pânico. Mas é importante você saber:
- Quais dados a sua empresa processa e sob qual finalidade;
- Quem são os seus provedores de serviço e quais dados pessoais são enviados para eles. Saiba quais as medidas de segurança implementadas por eles por meio dos TOMs (Technical and Organizational Measures) e DPAs (Data Processing Agreement). Audite, se necessário;
- Quais são os provedores de serviço dos seus operadores;
- Utilize a consultoria interna do seu DPO / Encarregado;
- Conheça os fluxos, processos e necessidades da sua empresa. Avalie plataformas e softwares disponíveis no mercado para apoiar seu programa de adequação. Convidamos para conhecer o DPO Helper, nossa ferramenta que facilita e otimiza tais atividades, disponível em formatos acessíveis à todas as empresas!
Precisa de ajuda?
Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.
Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamentos corporativos
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD