Tanto a Lei Geral de Proteção de Dados (LGPD) quanto o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) estabelece diversos requisitos legais para garantir a licitude do tratamento de dados pessoais.
No contexto da transferência internacional de dados pessoais, tanto no cenário nacional entre o Brasil e países terceiros, quanto no cenário europeu entre Estados Membros da União Europeia e países terceiros, é necessário que o país receptor dos dados ofereça garantias de segurança equivalentes às suas legislações nacionais para proteger os titulares dos dados pessoais.
No artigo 5º, inciso XV da LGPD, é definida a transferência de dados como o ato de enviar dados pessoais para um país estrangeiro ou para um organismo internacional do qual o país seja membro.
VEJA TAMBÉM: O que esperar da transferência internacional de dados em 2023?
O dispositivo 33 da lei estabelece as condições em que a transferência internacional de dados pessoais é permitida. No inciso I, é mencionado que a transferência pode ocorrer entre países ou organismos internacionais que ofereçam um nível de proteção adequado conforme avaliação exclusiva da Autoridade Nacional de Proteção de Dados (ANPD).
Isso implica que, para uma transferência internacional ser considerada legal, é necessário que o país terceiro seja avaliado como adequado em termos de proteção e segurança dos dados pessoais. Por exemplo, uma empresa sediada no Brasil que pretenda transferir dados para um parceiro nos Estados Unidos deve verificar se os EUA são considerados um país adequado pela ANPD. Caso contrário, a transferência deve seguir as condições estabelecidas nos incisos II a IX, dependendo do contexto específico.
De forma semelhante, Regulamento Geral de Proteção de Dados da União Europeia, em seu artigo 45, estabelece que uma transferência internacional de dados para um país terceiro é permitida sem uma autorização específica, desde que esse país seja capaz de garantir um nível de proteção de dados compatível com o fornecido pela legislação europeia.
A Comissão Europeia é responsável por avaliar e determinar se um país terceiro possui adequação em relação à proteção de dados. Através de uma “decisão de adequação”, a Comissão verifica se o país oferece um nível de proteção compatível com as normas europeias.
De forma resumida, será considerado adequado um país, um território ou um setor determinado de um país terceiro pela Comissão da UE quando este tiver capacidade de demonstrar que garante a segurança jurídica e a uniformidade em termos de proteção de dados, considerando-se o nível de proteção esperado pela União Europeia.
A avaliação da Comissão Europeia considera diversos fatores, como o respeito aos direitos humanos e às liberdades fundamentais, a legislação em áreas como segurança pública e defesa, e as regras de proteção de dados pessoais. A transferência internacional de dados é um assunto complexo que requer considerações sobre a adequação do país receptor e a conformidade com as leis de proteção de dados aplicáveis.
LEIA MAIS: 5 anos de GDPR: importância do regulamento e influência para a lei brasileira
Recentemente, várias decisões importantes foram tomadas na Europa em relação à transferência internacional de dados pessoais. Em termos judiciais, uma decisão relevante foi proferida por um tribunal nacional da Alemanha, em Colônia, que considerou ilegal a transferência de dados pessoais para os Estados Unidos através do Google Analytics. Essa decisão levantou questões sobre a conformidade das práticas de transferência de dados com as leis de proteção de dados europeias.
O Tribunal considerou ilegal a transferência de dados pessoais para os EUA via Google Analytics, pois violava a legislação europeia de proteção de dados. Isso ocorreu devido à transmissão de informações pessoais dos clientes para os servidores do Google nos EUA, levantando preocupações sobre conformidade com as leis europeias de proteção de dados.
Essa decisão do Tribunal foi significativa porque se tornou uma das primeiras a declarar ilegal uma transferência internacional de dados para os Estados Unidos. Isso reforça a decisão do Tribunal de Justiça da União Europeia no caso Schrems II, que invalidou a decisão de adequação para transferências de dados pessoais da União Europeia para os Estados Unidos.
Em maio de 2023, o European Data Protection Board (EDPB), em resposta a uma investigação da Comissão de Proteção de Dados (DPC) da Irlanda, impôs uma multa de 1,2 bilhão de euros à Meta (empresa proprietária do Facebook, Instagram e WhatsApp) e suspendeu todas as futuras transferências de dados pessoais da UE para os EUA pelo grupo. Essa decisão foi tomada com o objetivo de garantir a conformidade com as leis europeias de proteção de dados.
A decisão do EDPB demonstra a postura rigorosa das autoridades europeias em relação às transferências internacionais de dados pessoais. Ela ressalta a importância de garantir a proteção dos dados pessoais dos cidadãos da UE de acordo com os padrões estabelecidos pela legislação de proteção de dados.
A decisão do EDPB em relação à Meta serve como um alerta para as empresas que operam na UE, destacando a importância de garantir a conformidade das transferências internacionais de dados com as leis de proteção de dados europeias. Essas decisões e regulamentações têm implicações diretas nas operações comerciais e também podem afetar empresas no Brasil. Portanto, é crucial que as empresas que realizam transferências internacionais de dados estejam atualizadas e em conformidade com tais normas.
A ANPD tem a responsabilidade de estabelecer diretrizes e regulamentações específicas para as transferências internacionais de dados no Brasil, levando em conta a influência do Regulamento Geral sobre a Proteção de Dados.
A agenda regulatória da ANPD para 2022/2023 prevê a regulamentação dos artigos 33, 34 e 35 da LGPD, que tratam do nível de proteção necessário para países e organismos internacionais receberem dados pessoais do Brasil.
A ANPD, como Autoridade de Proteção de Dados, possui a competência de estabelecer diretrizes e regulamentações sobre as transferências internacionais de dados. É provável que a ANPD emita orientações específicas, considerando as decisões judiciais e as práticas adotadas pelas autoridades de proteção de dados da União Europeia.
Acompanhar o desenvolvimento das questões de proteção de dados no contexto europeu oferece insights valiosos para alinhar as expectativas de profissionais e responsáveis pelo tratamento de dados pessoais em relação a esse tema.
Martha Leal é advogada e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD).
Matheus Passos é Global Data Protection Officer na Bolt e membro do Conselho Consultivo do Instituto Nacional de Proteção de Dados (INPD).
Fonte: Monitor Mercantil
