Em quais casos é permitida a transferência internacional de dados pessoais?

Art. 33.

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V - quando a autoridade nacional autorizar a transferência;

VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do Art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

Art. 34.

O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;

II - a natureza dos dados;

III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;

IV - a adoção de medidas de segurança previstas em regulamento;

V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

VI - outras circunstâncias específicas relativas à transferência.

Art. 35.

A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.

§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.

§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.

§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.

Art. 36.

As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.

A Lei Geral de Prote��o de Dados Pessoais – Lei n� 13.709/2018, no seu texto final conceitua o que � caracterizado como transfer�ncia internacional de dados pessoais, quais as hip�teses em que tal atividade � autorizada e os requisitos que devem ser observados pelas as companhias para que a atividade de tratamento garanta ao titular do dado pessoal a seguran�a, a legalidade e a privacidade necess�ria.

O legislador teve a inten��o de adotar regras similares �quelas do direito europeu, inclusive para que o Brasil passasse a apresentar cen�rio mais atrativo do ponto de vista comercial-regulat�rio.

A Argentina, que desde 2000 possui Lei de Prote��o de Dados, foi o primeiro pa�s latino-americano a conseguir o reconhecimento da Uni�o Europeia como pa�s com uma legisla��o adequada para transfer�ncia de dados provenientes do aludido territ�rio, o que indica certa aten��o do legislador brasileiro em tamb�m ambicionar tal acredita��o.

No artigo 5� da Lei Geral de Prote��o de Dados Pessoais, tem-se as defini��es e conceitos de alguns conceitos e temas da lei, sendo que em seu inciso XV, tem-se a defini��o do que � a transfer�ncia internacional de dados, que se traduz na “transfer�ncia de dados pessoais para pa�s estrangeiro ou organismo internacional do qual o pa�s seja membro”.

A LGPD nessa quest�o, segue o modelo da GDPR (General Data Protection Regulation), que � o regulamento do direito europeu sobre privacidade e prote��o de dados pessoais, pois procura garantir direitos fundamentais a partir de restri��es impostas em lei para o fluxo internacional de dados.

O artigo 33 da LGPD deixa clara a inten��o da legisla��o brasileira restringir as hip�teses em que � permitida a transfer�ncia internacional de dados pessoais, o que a partir da leitura da lei, nos permite deduzir que a possibilidade de transfer�ncia internacional de dados � exce��o � regra, somente admitida se cumprida uma das hip�teses taxativas dos seus incisos, conforme reda��o abaixo:

Art. 33. A transfer�ncia internacional de dados pessoais somente � permitida nos seguintes casos:

Ap�s as considera��es acima, passemos a an�lise dos requisitos para se legitimar uma transfer�ncia internacional de dados � luz da LGPD.

I – para pa�ses ou organismos internacionais que proporcionem grau de prote��o de dados pessoais adequado ao previsto nesta Lei;

O dispositivo acima, que tem clara influ�ncia das regras da GDPR, depender� de uma avalia��o criteriosa pela ANPD (Autoridade Nacional de Prote��o de Dados), tendo como base o disposto no artigo 34 da lei, sendo que ap�s tal avalia��o e havendo o reconhecimento como de n�vel adequado, afasta-se a necessidade de cumprimento de qualquer outro requisito, estando, portanto, justificada legalmente a transfer�ncia a um desses pa�ses.

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princ�pios, dos direitos do titular e do regime de prote��o de dados previstos nesta Lei, na forma de:

a) cl�usulas contratuais espec�ficas para determinada transfer�ncia;

b) cl�usulas-padr�o contratuais;

c) normas corporativas globais;

d) selos, certificados e c�digos de conduta regularmente emitidos;

Todas as garantias mencionadas no inciso supra dever�o ser objeto de especifica��o e chancela por parte da ANPD, conforme da leitura do artigo 35 do mesmo diploma legal, sendo que os requisitos para tal avalia��o encontram-se dispostos nos par�grafos. Nesse sentido, h� de se ter cautela para que as regras de transfer�ncia internacional de dados previstas pela LGPD n�o se tornem obst�culo indesejado ao leg�timo e necess�rio fluxo de dados por in�rcia da ANPD.

III – quando a transfer�ncia for necess�ria para a coopera��o jur�dica internacional entre �rg�os p�blicos de intelig�ncia, de investiga��o e de persecu��o, de acordo com os instrumentos de direito internacional;

A lei visa garantir a manuten��o dos servi�os de intelig�ncia internacional, investiga��es e atividades de coopera��o jur�dica internacionais.

IV – quando a transfer�ncia for necess�ria para a prote��o da vida ou da incolumidade f�sica do titular ou de terceiro;

O que o inciso acima visou garantir foi a preval�ncia do direito a vida e da integridade f�sica, o qual n�o pode ser mitigado por quest�es relativas � limita��o do fluxo de dados pessoais.

V – quando a autoridade nacional autorizar a transfer�ncia;

Esse inciso traz a possibilidade de aprecia��o e consequente autoriza��o, pela ANPD, de transfer�ncias espec�ficas.

VI – quando a transfer�ncia resultar em compromisso assumido em acordo de coopera��o internacional;

O referido inciso visa garantir o cumprimento do estabelecido nos acordos de coopera��o internacional firmado por outros pa�ses com o Brasil, visando garantir o interc�mbio comercial, cultural e de at� mesmo de pol�ticas p�blicas.

VII – quando a transfer�ncia for necess�ria para a execu��o de pol�tica p�blica ou atribui��o legal do servi�o p�blico, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

A presente hip�tese est� limitada � atividade da Administra��o P�blica, devendo ser interpretada de forma restritiva e limitada, pois ela n�o confere uma faculdade de transfer�ncia internacional de dados sob a escusa de execu��o de pol�tica p�blica, mas permite que esta ocorra apenas e t�o somente quando necess�rio para viabilidade a execu��o da pol�tica em refer�ncia.

VIII – quando o titular tiver fornecido o seu consentimento espec�fico e em destaque para a transfer�ncia, com informa��o pr�via sobre o car�ter internacional da opera��o, distinguindo claramente esta de outras finalidades; ou

Conforme disposi��o do art. 7� da LGPD, o tratamento de dados poder� ser realizado quando houver o consentimento do titular, ou seja, quando houver a manifesta��o livre, informada e inequ�voca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Assim, o titular do dado deve ter de maneira clara que as suas informa��es ser�o tratadas em outro(s) territ�rio(s), al�m do nacional, devendo estar clara a finalidade de transmiss�o para outra entidade ou para que o tratamento ocorra em outro pa�s.

IX – quando necess�rio para atender as hip�teses previstas nos incisos II, V e VI do art. 7� desta Lei.

As hip�teses previstas nos incisos II, V e VI do artigo 7� preveem que o tratamento de dados pessoais somente poder� ser realizado para o cumprimento de obriga��o legal ou regulat�ria pelo controlador; quando necess�rio para a execu��o de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; ou para o exerc�cio regular de direitos em processo judicial, administrativo ou arbitral, esse �ltimo nos termos da Lei n� 9.307/1996 (Lei de Arbitragem), respectivamente.

Sendo assim, ap�s an�lise dos incisos do artigo 33, percebe-se a import�ncia de alguns dos pap�is que a Autoridade Nacional de Prote��o de Dados Pessoais – ANPD desempenhar� para a atividade de prote��o de dados pessoais

Portanto, em raz�o da necessidade de tornar o territ�rio brasileiro em um ambiente seguro para as atividades empresariais que envolvam o tratamento de dados pessoais, buscou-se a que a legisla��o p�tria retratasse as melhores pr�ticas dos pa�ses europeus, al�m de estabelecer que os parceiros de neg�cios internacionais estejam enquadrados nos requisitos da referida legisla��o e ou que estejam localizados em um pa�s em que tenha uma legisla��o de prote��o de dados em conson�ncia com a brasileira, de forma a permitir uma troca de dados pessoais internacionais em estrita observ�ncia as melhores pr�ticas, garantido ao titular do dado privacidade e prote��o dos seus dados.

Em qual caso a transferência de dados internacional é permitida?

Em qual caso a transferência internacional de dados é permitida LGPD?

Quando o tratamento de dados pessoais é permitido?

Em qual situação os dados pessoais não podem ser transferidos?