Transferência internacional de dados pessoais: o que é e quando está permitida pela LGPD

Ilustração mostrando transferência internacional de dados

Segundo o Artigo 5 da LGPD (Lei Geral de Proteção de dados), a transferência internacional de dados é definida como a “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.

Na prática, se a empresa opera no Brasil, trata dados pessoais e envia essas informações para fora do país, é preciso estar atento à lei porque existem situações em que a LGPD permite ou não a transferência.

Por ser um assunto tão importante, nós apresentamos neste artigo as circunstâncias em que a transferência internacional de dados está permitida de acordo com a lei e citamos exemplos para facilitar a compreensão.

Confira neste artigo!

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

LGPD: quando a transferência internacional de dados é permitida?

A LGPD possui um capítulo inteiro sobre transferência internacional de dados. É o capítulo V da lei, que abrange os Artigos 33, 34, 35 e 36.

No Artigo 33, estão elencados nove casos em que a transferência internacional de dados é permitida. Acompanhe:

1. Alto nível de proteção de dados

A LGPD estabelece que a transferência é permitida “para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado”, e, é claro, condizente com a lei.

Neste caso, por exemplo, está permitida a transferência de dados para países regulamentados pela GDPR (General Data Protection Regulation), a lei de proteção de dados europeia, que, inclusive, foi a base para a criação da LGPD.

2. Comprovação de conformidade

De acordo com a lei, “quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos”, a transferência é permitida.

Neste sentido, a criação de códigos de conduta e também de cláusulas contratuais específicas para transferência de dados auxiliam na comprovação de conformidade para com a lei.

3. Cooperação jurídica internacional

A transferência internacional de dados também está dentro da lei quando “for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional”.

Para ilustrar, imaginemos um caso em que a Polícia Federal brasileira precisa compartilhar dados pessoais com o FBI, a polícia dos EUA, para investigar e prender uma quadrilha de tráfico de drogas.

4. Proteção da vida

O quarto ponto permite a transferência de dados para fora do Brasil quando a situação envolver a “proteção da vida ou da incolumidade física do titular ou de terceiro”.

5. Autorização da ANPD

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por zelar pela proteção dos dados pessoais e por fiscalizar o cumprimento da LGPD no Brasil.

Nos casos em que a ANPD diretamente autorizar a transferência internacional de dados, o procedimento é permitido.

6. Acordo internacional

A transferência de dados para fora do país também é prevista na LGPD “quando a transferência resultar em compromisso assumido em acordo de cooperação internacional”.

Imagine que os governos brasileiro e português possuem um acordo para identificar imigrantes ilegais e tráfico de pessoas. Neste cenário, a transferência de dados estaria autorizada.

7. Execução de política pública

O sétimo ponto do Artigo 33 diz que a transferência internacional é permitida “quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público”.

8. Consentimento do titular

Se o titular, que é o proprietário dos dados, estiver consciente da transferência de suas informações para fora do Brasil e consentir com isso, o procedimento está autorizado.

Ou seja, “quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades”.

9. Obrigação legal e contratual

Por fim, o último ponto do Artigo 33 da LGPD diz que a transferência internacional de dados é permitida ainda em três situações especificas.

Primeira, “para o cumprimento de obrigação legal ou regulatória pelo controlador”.

Segunda, “quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”.

Terceira, “para o exercício regular de direitos em processo judicial, administrativo ou arbitral”.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Exemplos de transferência internacional de dados

Agora, para ampliar a discussão sobre o assunto, vamos criar alguns exemplos que podem ou não se enquadrar como transferência internacional de dados segundo as determinações e o entendimento da LGPD.

Tráfego de dados fora do Brasil

Se a empresa utiliza um provedor de internet estrangeiro, isto é, os dados são apenas transportados, sem tratamento de nenhum tipo, esta situação não deve ser caracterizada como transferência internacional de dados.

Para entrar no escopo da LGPD, deve obrigatoriamente existir algum tipo de tratamento dos dados. Em outras palavras, o simples transporte de dados, a princípio, não pode ser enquadrado como uma transferência.

Troca de e-mails com dados pessoais

No caso de e-mails que contém dados pessoais e são enviados para sedes da empresa fora do Brasil, ou até mesmo para empresas parceiras estrangeiras, fica caracterizada a transferência internacional de dados.

Acesso aos dados no exterior

Vamos supor que um funcionário da empresa viajou para fora do país e continua trabalhando. Para isto, ele entra diariamente no sistema da empresa e acessa dados pessoais de clientes e parceiros. Nesta circunstância, se não houver nenhum outro fator, é possível entender que não se trataria de transferência internacional de dados

Conclusão

Para se adequar à LGPD, é preciso ir além e entender em detalhes os diversos processos e agentes envolvidos no tratamento dos dados. Como visto no artigo, para empresas que tratam dados pessoais no exterior, é preciso um pouco mais de cuidado e atenção.

Se a sua empresa se enquadra nesse grupo e precisa de suporte, conte com a possibilidade de contratar uma consultoria especializada em LGPD, que é o caso da Get Privacy.

Nós atuamos com soluções de ponta a ponta para a adequação à lei brasileira de proteção de dados, atendendo as áreas de assessoria jurídica, compliance e segurança da informação.

Fale conosco para saber mais

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS