Introdução
A transferência internacional de dados pessoais é uma prática cada vez mais comum, especialmente no contexto globalizado em que vivemos. No entanto, a Lei Geral de Proteção de Dados (LGPD) estabelece regras específicas para que essa transferência ocorra de forma segura e respeite a privacidade dos titulares. Os artigos 33 a 36 da LGPD regulam essas transferências, inspirados em grande parte pelo Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, que serve como referência global para a proteção de dados.
Artigo 33: Hipóteses Permitidas para a Transferência Internacional
O artigo 33 da LGPD estabelece que a transferência internacional de dados pessoais só pode ocorrer em casos específicos, assegurando que os direitos dos titulares sejam protegidos. Entre as hipóteses permitidas estão:
- Países com grau de proteção adequado: A Autoridade Nacional de Proteção de Dados (ANPD) avaliará se o país destinatário dos dados oferece um nível de proteção de dados compatível com o da LGPD. Atualmente, o Brasil não possui essa adequação reconhecida por outros países, como a União Europeia.
- Garantias oferecidas pelo controlador: Caso o país destinatário não possua adequação, a transferência pode ocorrer desde que o controlador ofereça garantias suficientes de conformidade com os princípios da LGPD. Essas garantias podem ser fornecidas por meio de:
- Cláusulas contratuais específicas;
- Regras corporativas globais;
- Certificações e selos de conformidade.
Artigo 34: Avaliação do Nível de Proteção
O artigo 34 determina que a ANPD será responsável por avaliar se o país ou organização internacional oferece proteção adequada para dados pessoais. Para essa avaliação, a ANPD considerará fatores como:
- Normas setoriais do país destinatário;
- Garantias institucionais e judiciais para a proteção de dados;
- Adoção de medidas de segurança adequadas.
Artigo 35: Cláusulas Contratuais e Regras Corporativas Globais
O artigo 35 trata das cláusulas contratuais padrão e das regras corporativas globais como formas de assegurar a conformidade com a LGPD em transferências internacionais de dados. Essas cláusulas devem ser previamente aprovadas pela ANPD e garantir que o tratamento de dados realizado no exterior siga os mesmos princípios de proteção estabelecidos no Brasil.
As regras corporativas globais (Binding Corporate Rules – BCR) são uma alternativa para empresas que operam em diversos países, permitindo que adotem um conjunto uniforme de regras internas para garantir a proteção de dados em todas as suas filiais. Essas regras precisam ser aprovadas pela ANPD.
Artigo 36: Outros Casos de Transferência
O artigo 36 prevê outras situações em que a transferência internacional de dados pode ocorrer, como:
- Quando necessária para cooperação internacional entre órgãos públicos, principalmente em investigações e processos criminais;
- Para proteger a vida ou a segurança do titular ou de terceiros;
- Para a execução de políticas públicas;
- Quando houver consentimento específico e destacado do titular, após ser devidamente informado sobre a natureza internacional da transferência.
Comparação com o GDPR
A LGPD, assim como o GDPR europeu, estabelece salvaguardas rigorosas para a transferência internacional de dados. No GDPR, as transferências são permitidas para países que receberam uma decisão de adequação, ou seja, países que oferecem um nível de proteção de dados considerado adequado pela União Europeia. Além disso, o GDPR também permite o uso de cláusulas contratuais padrão e regras corporativas globais, seguindo uma estrutura semelhante à da LGPD.
No entanto, o Brasil ainda não possui decisões de adequação, e as regulamentações sobre a transferência internacional estão em processo de desenvolvimento pela ANPD. Até que essas normas sejam completamente estabelecidas, as empresas que realizam transferências internacionais precisam seguir as diretrizes da LGPD e aguardar as regulamentações específicas da ANPD.
Conclusão
A transferência internacional de dados pessoais, regulada pelos artigos 33 a 36 da LGPD, é um tema fundamental para empresas que operam em um contexto global. Assegurar que os dados transferidos para outros países sejam tratados com o mesmo nível de proteção oferecido no Brasil é crucial para garantir a privacidade dos titulares e evitar sanções legais. A ANPD desempenhará um papel essencial na regulamentação e fiscalização dessas transferências, alinhando o Brasil às práticas globais de proteção de dados.
FAQ
O que é uma decisão de adequação?
Uma decisão de adequação é o reconhecimento de que um país oferece um nível de proteção de dados pessoais compatível com o da LGPD, permitindo a transferência de dados sem a necessidade de outras garantias.
Quais são as formas de garantir a conformidade em transferências internacionais de dados?
As principais formas incluem o uso de cláusulas contratuais específicas, regras corporativas globais, e selos ou certificações reconhecidos pela ANPD.
O que são regras corporativas globais?
São regras internas adotadas por empresas que operam internacionalmente para garantir que o tratamento de dados em todas as suas unidades siga os mesmos princípios de proteção, independentemente do país onde estejam localizadas.
Lembre-se: Este artigo tem caráter informativo e não substitui a consulta a um advogado especializado.