Como transferir dados pessoais internacionalmente cumprindo a LGPD?

Já parou para pensar como, com um simples clique, seus dados podem atravessar continentes? Uma foto salva na nuvem, uma compra online, o envio de um e-mail corporativo - ações cotidianas que escondem um fluxo intenso de informações pessoais cruzando fronteiras em tempo real.

A facilidade com que transferimos dados hoje contrasta com a complexidade jurídica envolvida nesse processo. Quando falamos em "transferência internacional de dados pessoais", estamos tratando de algo muito mais sofisticado do que aparenta: um tema que desafia empresas, legisladores e autoridades de proteção de dados ao redor do mundo.

Neste artigo, vamos explorar como o tema é tratado sob a perspectiva da União Europeia e do Brasil, destrinchando desde as bases legais previstas no GDPR e na LGPD até os mecanismos práticos adotados, como cláusulas contratuais padrão e decisões de adequação.

1. Como a União Europeia regula a transferência internacional de dados

A União Europeia, a proteção de dados pessoais é levada a sério - e atravessar fronteiras com essas informações exige cuidados específicos.

Desde 2016, a União Europeia é guia pelo GDPR - Regulamento Geral de Proteção de Dados trata do assunto com bastante detalhamento, especialmente entre os arts. 44 e 50. Mas desde 1995, com a diretiva 45, a União Europeia já disseminava regras para a saída de dados pessoais de seu espaço tendo, inclusive cláusulas padrões sugeridas pela Comissão Europeia.

A lógica é simples: uma vez que os dados saem do EEE - Espaço Econômico Europeu, eles só podem ir para países ou organizações que garantam um nível de proteção equivalente ao europeu. E como isso é feito?

Existem basicamente três caminhos principais:

• Decisão de adequação: A Comissão Europeia avalia se um país oferece garantias suficientes de proteção. Se a resposta for "sim", os dados podem fluir livremente para lá - como acontece com países como Japão, Suíça e Coreia do Sul.
• Garantias contratuais: Se não houver decisão de adequação, as empresas podem recorrer a mecanismos como as SCCs - cláusulas contratuais padrão - documentos aprovados pela Comissão que "amarram" juridicamente a transferência, mesmo entre continentes.
• Exceções específicas: Em situações pontuais, como quando há consentimento explícito do titular, ou a transferência é necessária para a execução de um contrato, a transferência pode ocorrer mesmo sem decisão de adequação ou cláusulas padrão.

2. Orientações do EDPB: O papel da autoridade europeia e a transferência entre União Europeia e Estados Unidos

Além do próprio GDPR, quem também tem peso importante na interpretação dessas regras é o EDPB - Comitê Europeu para a Proteção de Dados. Em 2020, o EDPB publicou recomendações (Recommendations 01/20) para orientar empresas sobre como garantir a proteção adequada dos dados em transferências internacionais.

Essas recomendações reforçam a ideia de que não basta apenas assinar um contrato: é preciso analisar o contexto do país de destino, a legislação local e, se necessário, adotar medidas técnicas adicionais - como criptografia robusta ou pseudonimização. Isso tudo muito impulsionado após a invalidação do antigo acordo com os Estados Unidos para compartilhamento de dados entre países da união europeia e o EU.

Por anos, a transferência de dados entre a União Europeia e os Estados Unidos funcionou com base em acordos sucessivos - e polêmicos. Primeiro veio o Safe Harbor, depois o Privacy Shield, ambos invalidados pela Corte de Justiça da UE por não oferecerem, na prática, um nível de proteção equivalente ao europeu. A desconfiança repousava sobre a vulnerabilidade quanto a vigilância governamental nos EUA, especialmente após os escândalos de espionagem digital.

Em julho de 2023, a Comissão Europeia aprovou um novo capítulo dessa história: o DPF - Data Privacy Framework. Esse novo acordo estabelece compromissos reforçados por parte das empresas americanas e cria um mecanismo inédito: um tribunal independente nos EUA para receber e analisar reclamações de cidadãos europeus cujos dados forem transferidos.

3. SCCs - Cláusulas Contratuais Padrão: Um modelo europeu para cruzar fronteiras com conformidade legal

Quando não há uma decisão de adequação, a alternativa mais usada para a regular a transferência internacional de dados pessoais só pode ocorrer se houver garantias apropriadas. E uma das formas mais práticas (e populares) de fazer isso é por meio das Cláusulas Contratuais Padrão da União Europeia (SCCs - Standard Contractual Clauses).

Essas cláusulas são modelos de contrato previamente aprovados pela Comissão Europeia, que estabelecem obrigações claras para quem envia e quem recebe os dados, mesmo que estejam em lados opostos do planeta.

Em 2021, as SCCs foram modernizadas para refletir as exigências do GDPR e passaram a seguir uma lógica modular, que se adapta a diferentes cenários:

• Transferência entre duas empresas (controlador para controlador);
• Transferência de uma empresa para um prestador de serviço (controlador para operador);
• Transferência entre operadores;
• Transferência de operador para controlador.

Além disso, o novo modelo permite que múltiplas partes sejam incluídas em um mesmo contrato - o que facilita bastante nas operações globais.

Importante: embora as SCCs sejam uma base sólida, elas não são suficientes por si só. Após a decisão "Schrems II", o Tribunal de Justiça da UE determinou que as empresas devem analisar o ambiente jurídico do país de destino e, se necessário, adotar medidas complementares de segurança, como criptografia ou segmentação de dados.

4. Como transferir dados internacionalmente cumprindo leis brasileiras

Na realidade brasileira, a LGPD também reconhece que os dados pessoais não conhecem limites territoriais. E, assim como o GDPR, impõe regras para garantir que, mesmo fora do Brasil, os dados dos titulares continuem protegidos.

Antes de mais nada, é preciso deixar algo claro: transferir dados para outro país é, sim, uma forma de tratamento de dados pessoais. E como toda operação de tratamento, ela só pode ocorrer se estiver apoiada em uma base legal prevista na LGPD.

Isso significa que, antes mesmo de discutir como a transferência será feita (se com cláusulas, consentimento, decisão de adequação, etc.), é essencial identificar por que ela é legítima - ou seja, em qual hipótese do art. 7º (dados pessoais comuns) ou do art. 11 (dados sensíveis) a operação se enquadra.

Somente após esse primeiro passo é que se analisa o instrumento jurídico adequado para viabilizar a transferência internacional.

O tema aparece no art. 33 da LGPD, que estabelece as hipóteses legais em que a transferência internacional pode ocorrer. Veja as principais:

• País com nível de proteção adequado: Quando o destino dos dados é um país ou organismo internacional que ofereça grau de proteção equivalente ao previsto na LGPD, conforme avaliação da ANPD - Autoridade Nacional de Proteção de Dados.
• Garantias contratuais: É possível transferir dados com base em cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta reconhecidos pela ANPD.
• Consentimento do titular: Desde que seja específico e informado sobre a transferência internacional.
• Execução de contratos ou políticas públicas: Também são admitidas transferências quando necessárias para a execução de contratos, cooperação internacional ou obrigações legais.

A LGPD, portanto, se alinha às melhores práticas internacionais ao equilibrar proteção com viabilidade jurídica para os fluxos globais de dados.

Em 2024, a ANPD - Autoridade Nacional de Proteção de Dados deu um passo importante ao publicar a resolução CD/ANPD 15/24, que regulamenta o art. 33 da LGPD e estabelece os critérios e procedimentos para a transferência internacional de dados pessoais.

Essa resolução detalha os mecanismos que podem ser utilizados pelos agentes de tratamento para garantir que os dados transferidos ao exterior estejam protegidos de forma compatível com a LGPD. Entre os principais instrumentos reconhecidos estão:

• CCPs - Cláusulas contratuais-padrão: Modelos aprovados pela própria ANPD que servirão como referência para empresas e organizações. A ANPD ainda deve publicar o texto oficial dessas cláusulas.
• CCE - Cláusulas contratuais específicas: Acordos elaborados pelas próprias partes, desde que submetidos à análise e aprovação da ANPD.
• BCRs - Normas corporativas globais: Aplicáveis a grupos multinacionais, também sujeitas à aprovação da autoridade.
• Certificações, selos e códigos de conduta: Desde que reconhecidos pela ANPD como aptos a garantir a conformidade com a LGPD.

Além disso, a resolução define critérios para a avaliação de países adequados, que incluem aspectos como legislação vigente, obrigações de supervisão, existência de autoridades independentes e mecanismos de acesso à justiça para os titulares.

A norma também esclarece procedimentos e prazos para análise prévia de cláusulas específicas, e reforça a necessidade de documentação e responsabilização por parte dos agentes de tratamento, em linha com os princípios da LGPD.

Dificilmente uma empresa não faz transferência internacional. Não atentar para o que precisa ser feito de adequações sob a ótica de contratos e medidas, representa ausência de governança e descumprimento da lei.