A relevância da transferência internacional de dados pessoais fala por si só. Nas sociedades globalizadas, a dinâmica dos fluxos de compartilhamento de informações em escala transfronteiriça, sobretudo pela internet, exige que a regulação da transferência internacional seja uma das condições de possibilidade não apenas da proteção da privacidade e dos direitos dos titulares, mas do desenvolvimento tecnológico e econômico em nível internacional e nacional. A importância é, ainda, social, já que a realização de transferências para determinadas localidades pode trazer benefícios para a eficiência e desoneração das empresas, estimulando as economias nacionais¹.
Ao mesmo tempo em que há uma pluralidade de normativas em vários países ou organizações internacionais que tratem sobre o tema, isso não significa uma aderência ou aplicação efetiva das regulações, o que aprofunda os riscos da transferência internacional global².
De acordo com Kuner, é possível indicar como uma das causas a falta de recursos materiais ou pessoais das Autoridades de Proteção de Dados para monitorar e fiscalizar de forma adequada o fluxo de dados transfronteiriços, diante da sua complexidade. Além disso, muitos processamentos internacionais de dados ocorrem por meio do consentimento dos titulares na internet, havendo uma dificuldade de compreensão dessas regulamentações pelos titulares de dados pessoais, o que ocorre pelo desconhecimento de termos técnicos ou falta de transparência das empresas³. Apesar dos desafios e de possíveis tensões de abordagem entre as diferentes normativas, a existência das iniciativas regulatórias é medida primeira para conciliar a proteção de dados e da privacidade com os fluxos econômicos das sociedades globalizadas e as cooperações internacionais.
A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.509/2018, estabelece que a transferência internacional de dados é a “[…] transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro” (artigo 5º, inciso XV). Isso não significa que todo o trânsito de informações se caracteriza como uma transferência internacional, pois nesta última há o uso compartilhado dos dados pessoais, de acordo com a determinação do artigo XVI da LGPD4. Assim, exemplos de atividades com transferência internacional de dados podem ser o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior, contratação de provedor de computação em serviço de nuvem, entre outras5.
No mais, a LGPD aborda três aspectos estruturantes da regulação da transferência internacional de dados6 no Brasil: a) hipóteses permitidas para a ocorrência (artigo 33); b) a verificação do nível de proteção do país estrangeiro (artigo 33, inciso I da LGPD e artigo 34); c) realização, pela Autoridade Nacional de Proteção de Dados (ANPD), da definição do conteúdo de cláusulas-padrão contratual; verificação de cláusulas específicas de transferência normas corporativas globais ou selos, certificados e códigos de conduta (artigo 35)7.
De acordo com o artigo 33, a transferência internacional de dados pode ocorrer desde que seja compatível com uma das seguintes situações: a) seja realizada somente para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD; b) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais e selos, certificados e códigos de conduta regularmente emitidos; c) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; d) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; e) quando a autoridade nacional autorizar a transferência; f) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; g) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; h) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades e i) quando necessário para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD8.
Diante da amplitude das hipóteses, um breve destaque será concedido às situações previstas nos incisos I e II do artigo 33.
Especialmente sobre o requisito do nível de adequação dos países estrangeiros (artigo 33, inciso I), de acordo com o artigo 34 da LGPD, a adequação será analisada pela ANPD e, uma vez reconhecido, possibilitaria a transferência internacional de dados sem a exigência de cumprimento das demais disposições9. Os critérios que serão considerados para verificação pela ANPD estão igualmente previstos no artigo 34, sendo: as normativas gerais e setoriais do país de destino, garantias judiciais e institucionais para respeitar a proteção de dados pessoais, a natureza dos dados, adoção de medidas de segurança e a observância dos princípios de proteção de dados e direitos dos titulares e outras garantias relativas à transferência10. Nesse sentido, a análise é orgânica e detida à efetividade da proteção de dados pessoais, diante do compromisso de verificar tanto a existência de marco regulatório quanto a sua implementação.
Esse é um dos pontos que demonstra a influência das diretrizes internacionais à regulação do tema na LGPD, principalmente do General Data Protection Regulation (GDPR). Por exemplo, o Information Commissioner’s Office (ICO) identifica como um dos princípios gerais para a transferência internacional de dados pessoais a constatação de adequação de proteção de dados e garantias protetivas do país11. O GDPR também determina, no artigo 45, a possibilidade de transferência para país terceiro ou organização internacional se for assegurado o nível de proteção adequado, com base em critérios como respeito dos direitos humanos, liberdades fundamentais, aplicações de normas relacionadas à proteção de dados pessoais e medidas de segurança, existência e funcionamento efetivo de autoridades de controle independentes no país, entre outros12.
Outro requisito indicado pela LGPD é o oferecimento e comprovação, pelo controlador, de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais e selos, certificados e códigos de conduta regularmente emitidos (artigo 33, inciso II). Nesse sentido, é também atribuição da ANPD definir o conteúdo de todos esses aspectos, conforme a disposição do artigo 3513. Ainda que haja uma estrutura para a definição desses conteúdos (considerando o §1º do artigo 35), que transpassa não só a transferência internacional de dados pessoais na LGPD, mas o conjunto integral da legislação, uma das grandes questões será pensar como serão os procedimentos e a frequência de atuação da ANPD para definição desses conteúdos, frente ao dinamismo e rapidez do fluxo das transferências internacionais de dados pessoais .
Esses são alguns pontos relativos à transferência internacional de dados pessoais na perspectiva da LGPD, que reforçam a preocupação da normativa em alinhar o Brasil com as posturas mundiais e previsões normativas internacionais sobre o tema. Ainda que existam compatibilidades, isso não pressupõe que as demais orientações complementares e a implementação prática da regulação da transferência internacional trilharão caminhos tranquilos na sociedade brasileira. As particularidades da recente cultura jurídica de privacidade e proteção de dados no Brasil sempre podem trazer desafios ainda maiores.
[1] WEBER, Rolf H. Transborder data transfers: concepts, regulatory approaches and new legislative initiatives. Internacional Data Privacy Law, v. 3, p. 117-130, 2013;
[2] KUNER, Christopher. Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Presente and Future. OECD Digital Economy Papers. p. 117-130, 2011.
[3] KUNER, Christopher. Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Presente and Future. OECD Digital Economy Papers. p. 117-130, 2011.
[4] FUNDAÇÃO GETÚLIO VARGAS (FGV). Guia de Proteção de Dados Pessoais. Transferência Internacional. 2020. Disponível em: https://portal.fgv.br/sites/portal.fgv.br/files/transferencia_internacional.pdf. Acesso em: 20 dez. 2021. BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
[5] FUNDAÇÃO GETÚLIO VARGAS (FGV). Guia de Proteção de Dados Pessoais. Transferência Internacional. 2020. Disponível em: https://portal.fgv.br/sites/portal.fgv.br/files/transferencia_internacional.pdf. Acesso em: 20 dez. 2021.
[6] BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
[7] BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
[8] BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
[9] CHAVES, Luis Fernando Prado. Da Transferência Internacional de Dados. In: MALDONADO, Viviane Nóbrega. BLUM, Renato Opice. LGPD – Lei Geral de Proteção de Dados Comentada. 2 ed. rev. atual. amp. 2019.
[10] BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
[11] INFORMATION COMMISSIONER’S OFFICE (ICO). International Transfers. Part 3 of the Data Protection Act 2018 (DPA 2018). Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-le-processing/international-transfers/#ib1. Acesso em: 21 dez. 2021.
[12] UNIÃO EUROPEIA. Regulamento (EU) 2016/79 do Parlamento Europeu e do Conselho da Europa. 27 de abril de 2016. Disponível em: https://gdpr-info.eu. Acesso em: 22 dez. 2021.
[13] BRASIL. Lei n. 13.709/2018 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 dez. 2021.
