CONTROLE DE APROVAÇÃO
CONTROLE DE APROVAÇÃO
ELABORADO | REVISADO | APROVADO |
Coordenação de Pessoais e Apoio a Gestão | Coordenação de Pessoais e Apoio a Gestão | Diretoria de Contratos e Assuntos Legais |
HISTÓRICO DE REVISÕES
REVISÃO | DATA REV. | ALTERAÇÕES |
00 | 20/02/2024 | Criação da Política |
Sumário
1
6. DIREITOS DO TITULAR NA LGPD 6
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS: NORMAS APLICÁVEIS 8
9. TRANSFERÊNCIA PARA PAÍSES DE NÍVEL DE PROTEÇÃO DE DADOS DIFERENTE DO BRASIL 16
10. TRANSFERÊNCIA INTERNACIONAL DE DADOS ENVOLVENDO INSTITUIÇÕES ESTRANGEIRAS E ESCRITÓRIOS LOCALIZADOS FORA DA JURISDIÇÃO LOCAL 19
Fornecer diretrizes para a realização de transferência internacional de dados e orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados.
O processo de conformidade envolve um trabalho de interpretação da lei para definição das obrigações legais, diagnóstico dos fatos pertinentes e relevantes para a sua aplicação e levantamento de fluxos e processos que contribuem ou não para que os fatos estejam de acordo com o documento legal.
Essa Política estabelece regras de controle de dados pessoais, dentro dos limites prescritos na Lei Geral de Proteção de Dados Pessoas (LGPD) Lei 13.709/2018.
Documentos que se relacionam é a Política de Privacidade Cast group: xxxxx://xxx.xxxxxxxxx.xxx.xx/xxxxxxxx-xx-xxxxxxxxxxx/
2. CONTEXTO
A LGPD é uma lei transversal, que perpassa por diferentes agentes econômicos no Brasil, como a academia, setor privado, setor público e terceiro setor. Entre os agentes regulados, a Cast group se situa no setor de Tecnologia da Informação (TI), abrangendo por esse motivo, uma série de particularidades nos tratamentos de dados pessoais realizados em sua estrutura. Como é de amplo conhecimento, a Cast group atua em diversos Cliente dentro e fora do país, os quais igualmente possuem sinergia com o campo da proteção de dados.
Como resultado desse trabalho, busca-se desenvolver: a conformidade da Cast group ao novo contexto regulatório de proteção de dados da LGPD e, subsidiariamente, àquele estabelecido pela GDPR; com potencial de disseminação e replicação por outras instituições e de influência de agentes governamentais e outros atores privados.
Todas as áreas da Castgroup.
• AGENTE DE TRATAMENTO: o Controlador e o Operador (Art. 5º, IX, LGPD).
• ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (Art. 5º, XI, LGPD). O dado anonimizado, nos termos da lei, deixa de ser considerado dado pessoal, garantindo maior liberdade no seu tratamento (Art. 12, LGPD).
• AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS (“ANPD”): Órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo território nacional (Art. 5º, XIX, LGPD). A ANPD foi instituída pela LGPD como órgão da administração pública federal com
autonomia técnica, integrante da Presidência da República, definida sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República (Art. 55-A).
• BASE LEGAL: trata-se do fundamento que autoriza o tratamento de dados pessoais por um agente, devendo ser definida, em casos concretos, a partir de uma das hipóteses dispostas na LGPD ao seu artigo 7º (caso de dados pessoais) ou ao seu artigo 11 (caso de dados pessoais sensíveis). As bases legais só não serão necessárias nos casos em que a LGPD não se aplica, como nas hipóteses do artigo 4º ou em situações de processamento que envolvam dados anonimizados, onde a identificação da titularidade não seja possível por meios razoáveis.
• CONSENTIMENTO: manifestação livre, informada e inequívoca (Art. 7º, I, LGPD) pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (Art. 5º, XII, LGPD). Deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do(a) titular (Art. 8º, LGPD).
• CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI, LGPD). É quem determina como os dados são processados.
• TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5º, V, LGPD).
• DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I, LGPD). Também são considerados dados pessoais para os fins da lei aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada (Art. 12, §2º, LGPD).
• DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5º, II, LGPD).
• ENCARREGADO (DATA PROTECTION OFFICER - “DPO”): é a pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
• ESPAÇO ECONÔMICO EUROPEU (“EEE”): criado em 1994 para estender disposições do mercado interno da União Europeia para os países da Zona Europeia Comércio Livre (EFTA). Nos termos da regulação da UE, não há proibições à livre circulação de dados pessoais entre Estados-Membros da UE por razões relacionadas à proteção de pessoas físicas em relação ao tratamento de dados pessoais. A área de livre fluxo de dados foi ampliada EEE, que introduz a Islândia, o Liechtenstein e a Noruega no mercado interno.
• GDPR (GENERAL DATA PROTECTION REGULATION): Regulamento Geral sobre a Proteção de Dados 2016/679. Trata-se de regras relativas à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Revogou a Diretiva 95/46 /CE (Regulamento Geral de Proteção de Dados).
• LGPD (LEI GERAL DE PROTEÇÃO DE DADOS): Lei 13.709/2018 dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado (Art. 1º, LGPD). Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no
território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional (Art. 3º, caput e incisos I a III, LGPD).
• ADPPA (A LEI DE PROTEÇÃO E PRIVACIDADE DE DADOS DOS EUA): Lei aprovada com algumas emendas em 20 de julho de 2022 e a ADPPA se aplica para processamento de dados cobertos, ou seja, somente para dados que identificam ou são vinculados ou razoavelmente vinculáveis ao indivíduo.
• OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador (Art. 5º, VII, LGPD). É quem acata as ordens de como os dados devem ser processados.
• TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5º, X, LGPD).
• TRANSFERÊNCIA INTERNACIONAL DE DADOS: é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro (Art. 5º, XV, LGPD).
• UNIÃO EUROPEIA (“UE”): é um bloco econômico composto por 28 países da Europa (27 com o Brexit, isto é, com a saída do Reino Unido), sendo eles: Áustria, Bélgica, Bulgária, Croácia, Chipre, República Checa, Dinamarca, Estônia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Holanda, Polônia, Portugal, Romênia, Eslováquia, Eslovênia, Espanha, Suécia, Reino Unido
5. PRINCÍPIOS DA LGPD
Na terminologia jurídica, um princípio é um tipo de norma que deve ser cumprida na maior medida possível e cujo conteúdo serve como diretriz geral de interpretação para situações concretas. Na LGPD, os princípios estão listados ao longo do artigo 6° e são os seguintes:
• ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo como contexto do tratamento (art. 6º, II, LGPD).
• BOA-FÉ: significa a observância de um comportamento leal, correto e probo na realização das atividades de tratamento de dados pessoais. Esse princípio, opera como norte a todos os demais e servindo de
xxxxxx para interpretar conceitos abertos (art. 6º, caput, LGPD).
• FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível ou desvirtuada (art. 6º, I, LGPD).
• LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (art. 6º, IV, LGPD).
• NÃO DISCRIMINÇÃO: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos (art. 6º, IX, LGPD).
• NECESSIDADE: limitação ou minimização do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados (art. 6º, III, LGPD).
• PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (art. 6º, VIII, LGPD).
• QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento (art. 6º, V, LGPD).
• RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (art. 6º, X, LGPD).
• SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6º, VII, LGPD).
• TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (art. 6º, VI, LGPD).
6. DIREITOS DO TITULAR NA LGPD
Os direitos dos titulares de dados estão previstos majoritariamente ao longo do artigo 18 da LGPD. Ademais, há ainda o direito de titularidade (artigo 17) e, com relação a tratamentos automatizados, os direitos de informação e de revisão (artigo 20):
• ACESSO AOS DADOS: o titular de dados tem resguardado o seu interesse de receber uma cópia dos dados pessoais detidos pela empresa, se assim o requisitar (art. 18, II, LGPD). Conforme a LGPD, tal direito será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências (art. 13, § 3º, LGPD). Sublinha-se que os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as suas finalidades (art. 23, § 5º, LGPD).
• ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO: o titular de dados tem o direito de solicitar que seus dados sejam anonimizados, bloqueados ou que haja a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei (art. 18, IV, LGPD).
• CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO: direito do titular a obter do Controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição de informações sobre a existência de tratamento (art. 18, I, LGPD), isto é, de toda operação realizada com seus dados pessoais (art. 5º, X, LGPD).
• CORREÇÃO DE DADOS INCOMPLETOS, INEXATOS OU DESATUALIZADOS: o titular de dados pode requerer a retificação dos dados, caso estejam incorretos, insuficientes, imprecisos, não expressem a completude das informações armazenadas ou careçam de atualização (art. 18, III, LGPD).
• ELIMINAÇÃO DOS DADOS PESSOAIS: o titular de dados pode requerer que seus dados sejam excluídos, de forma que a empresa deverá eliminar todos os dados coletados com relação a esse titular, a não ser que exista outra base legal para a manutenção desses dados (art. 18, VI, LGPD).
• INFORMAÇÃO SOBRE COMPARTILHAMENTO: o titular de dados pode solicitar informações das
entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados (art. 18, VII, LGPD).
• INFORMAÇÃO SOBRE O NÃO CONSENTIMENTO: o titular de dados pode solicitar informações sobre a possibilidade e hipóteses de não fornecimento do consentimento, além de entender sobre as consequências da negativa (art. 18, VIII, LGPD).
• INFORMAÇÃO SOBRE TRATAMENTO AUTOMATIZADO: o titular de dados pode pedir informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada. Tais informações, a serem oferecidas pelo Controlador, deverão apresentar clareza e adequação com o que foi solicitado (art. 20, §1º, LGPD).
• OPOSIÇÃO: o titular de dados pode se opor ao contexto do tratamento de dados e/ou às finalidades do tratamento, incluindo tratamento realizado com fundamento em uma das hipóteses de dispensa do consentimento (art. 18, §2º, LGPD).
• PETIÇÃO: o titular de dados pode fazer qualquer requerimento com relação aos seus dados contra o Controlador perante a autoridade nacional (art. 18, §1º, LGPD).
• PORTABILIDADE: disponibilização dos dados do titular a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão Controlador (art. 18, V, LGPD).
• REVISÃO: o titular de dados pode pedir revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20, caput, LGPD).
• REVOGAÇÃO DO CONSENTIMENTO: manifestação expressa do titular, por procedimento gratuito e facilitado (art. 18, IX, LGPD), ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (art. 8º, §5º, LGPD).
• TITULARIDADE DOS DADOS PESSOAIS: a toda pessoa natural é assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade (art. 17, LGPD), de modo que o(a) titular é portanto a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V, LGPD).
7. ESCOPO DE APLICAÇÃO
Esta Política tem o propósito de oferecer algumas diretrizes para operações de tratamento que envolvam
transferência internacional de dados pessoais. Quando pensamos em Clientes, Funcionários, Candidatos, Fornecedores e Parceiros, que serão transferidos internacionalmente dados relativos a pessoas naturais identificadas ou identificáveis. E, nesse sentido, é necessário atentar-se às leis e regulações aplicáveis, garantindo um elevado e coerente nível de proteção de dados pessoais, conferindo salvaguarda aos direitos e liberdades individuais dos titulares envolvidos. O conteúdo desta Política está disposto da seguinte maneira:
• Transferência internacional de dados: normas aplicáveis: Nesta seção explica-se o escopo de aplicação da LGPD e de alguns pontos da GDPR, definindo-se o que é transferência internacional de dados e quando
ela ocorre.
• Cuidados para realização da transferência internacional: Traz as hipóteses nas quais a transferência internacional é permitida, quais os seus requisitos e que perguntas devem ser feitas antes de sua realização.
8. TRANSFERÊNCIA INTERNACIONAL DE DADOS: NORMAS APLICÁVEIS
8.1 REQUISITOS PARA A REALIZAÇÃO DE QUALQUER TRATAMENTO DE DADOS PESSOAIS
A LGPD enumera hipóteses autorizativas para o tratamento de dados pessoais em seu Art. 7º e no Art. 11 (dados pessoais sensíveis), são as denominadas bases legais. Todas as operações de tratamento devem estar fundamentadas em base legal válida e adequada e essa escolha precisa ser registrada e efetuada previamente, antes do tratamento.
Ademais, todas as operações de tratamento devem respeitar os princípios de proteção de dados pessoais (Art. 6º e Art. 16 da LGPD), sendo realizadas para finalidades específicas (ex. caso a finalidade seja a execução de contrato, os dados não podem ser utilizados para fins de marketing), não se admitindo a indicação de finalidade genérica (ex. previsão de que os dados podem eventualmente ser utilizados para outros propósitos). Também, a finalidade deve ser explícita (não presumida) e informada para o titular, ou seja, o titular deve ter informações claras, suficientes e precisas para compreender os propósitos e a necessidade do tratamento, em concordância com o princípio da transparência. Nesse sentido, caso o tratamento esteja vinculando ao cumprimento de uma obrigação legal, por exemplo, é imperioso que essa informação seja apresentada ao titular, para que haja uma expectativa do tratamento.
O tratamento deve, assim, ser adequado, isto é, compatível com as finalidades informadas para o titular, de acordo com o contexto que é realizado, limitando-se ao mínimo necessário para alcançar suas finalidades, abrangendo somente dados pertinentes, proporcionais e não excessivos e respeitando os demais princípios de proteção de dados (Art. 6º da LGPD).
Em conformidade com as melhores práticas de governança é imprescindível também que seja viabilizado o exercício dos direitos dos titulares de dados (Art. 18, da LGPD), fornecendo-lhes informações suficientes sobre os seus direitos e como exercê-los, bem como indicando-lhes canal para realização de solicitações.
Importante ressaltar que todos os documentos que versam sobre privacidade e proteção de dados como contratos, Política de Privacidade, Termos de Consentimento devem ter informações suficientes sobre como, para que finalidade e sob qual fundamento (base legal) os dados são tratados. A partir das recomendações acima, nota-se que há alguns requisitos legais para que o tratamento de dados pessoais seja considerado legítimo. Abaixo, são sumarizadas algumas perguntas direcionadas para verificação da legitimidade do tratamento.
RESUMO: QUANDO O TRATAMENTO DE DADOS PESSOAIS É LEGÍTIMO?
• Pergunta 1: o tratamento é necessário para a realização do objeto pretendido e da sua finalidade correspondente? Há outra maneira de prosseguir sem o tratamento? Em caso negativo, passar às perguntas seguintes.
• Pergunta 2: os dados são tratados para finalidades específicas, explícitas e informadas para o titular e o responsável pelo titular?
• Pergunta 3: o tratamento tem fundamento em uma base legal válida e adequada?
• Pergunta 4: caso a base legal seja o consentimento, a sua obtenção e registro são realizados de forma adequada?
8.2 OBRIGAÇÕES DE TRANSPARÊNCIA E SEGURANÇA DOS RESPONSÁVEIS PELO TRATAMENTO
A LGPD prevê que o Controlador ou o Operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em decorrência de violação à legislação de proteção de dados pessoais, é obrigado a repará-lo (Art. 42).
Veja que o operador responderá solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou, ainda, quando não tiver seguido as instruções lícitas do Controlador, hipótese em que o Operador se equipara ao Controlador (Art. 42, I, da LGPD). Em outras palavras, o Operador deve observar a licitude da ordem recebida pelo Controlador.
Os agentes de tratamento só não serão responsabilizados quando provarem: que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento, que não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Nota-se que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou não fornecer a segurança que o titular dele pode esperar, considerado o modo pelo qual é realizado, o resultado e os riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (Art. 44, LGPD).
Há uma obrigação de garantia de segurança dos dados pessoais por parte dos agentes de tratamento, na medida de sua responsabilidade na realização do tratamento. Considerando que a transferência internacional de dados apresenta maior risco aos direitos e liberdades dos titulares, se não forem empregadas técnicas e medidas adequadas e satisfatórias, aumentam as chances de ocorrência de
incidentes de segurança.
Podem, assim, responder pelos danos decorrentes de violação da segurança dos dados o Controlador ou o Operador que deixem de adotar as medidas de segurança cabíveis, dando causa ao dano. Dessa forma, os agentes de tratamento precisam tomar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (Art. 46, LGPD).
Em qualquer operação envolvendo transferência internacional de dados, o responsável pelo tratamento deve respeitar os princípios de proteção de dados e salvaguardar os direitos dos titulares, dentre eles, ganha destaque a transparência, isto é, o titular deve ter informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Também, informações adicionais sobre a transferência devem ser prestadas para os titulares, principalmente quando houver dados sensíveis envolvidos.
8.3 O QUE É TRANSFERÊNCIA INTERNACIONAL DE DADOS?
Pode acontecer que, em decorrência da natureza das operações dos Controladores, seja necessário tratar dados pessoais conjuntamente com funcionários, departamentos, ou mesmo órgãos e instituições de outros países, operadoras de serviços terceirizados contratados fora da jurisdição doméstica ou ainda, compartilhar dados com instituições estrangeiras com as quais sejam estabelecidos convênios e parcerias.
Nestas situações, se dará transferência internacional de dados, quer dizer: os dados pessoais serão transferidos para um país estrangeiro ou organismo internacional do qual o país seja membro (Art. 5º, XV, da LGPD). A transferência internacional implica o uso compartilhado de dados (Art. 5º, XVI, da LGPD).
Deve-se, contudo, estabelecer uma diferenciação levando-se em consideração que hoje em dia os dados trafegam com uma velocidade antes inimaginável. Assim, evidentemente uma quantidade considerável de informações é transportada pela rede de um ponto “A” para um ponto “B”, em diferentes países, por meio de provedores de internet, de uma aplicação para outra.
Nesse âmbito, o mero transporte de informações pela rede não se caracteriza como transferência internacional de dados. Assim, o provedor de internet não será caracterizado como Operador.
Entretanto, quando agentes situados nos pontos “A” e “B”, em países diversos, desejam realizar uso compartilhado de informações de pessoas naturais identificadas ou identificáveis para a consecução de determinadas finalidades, isto implicará transferência internacional e ela apenas poderá ser realizada quando cumprir determinados requisitos legais (ou regulatórios) para tanto.
São apresentados a seguir alguns exemplos para facilitar o entendimento sobre quando a transferência internacional de dados é caracterizada.
EXEMPLOS:
• Exemplo 1 – troca de e-mails: imaginando que seja encaminhado e-mail de uma pessoa natural no Brasil para destinatário na Inglaterra. Caso esse e-mail contenha planilhas ou documentos com dados de candidatos a determinada vaga, funcionários esta operação caracterizará transferência
internacional de dados.
• Exemplo 2 – acesso a sistema no exterior: uma executiva de determinada multinacional realiza viagem internacional e acessa em seu computador informações sobre clientes em seus arquivos e no
sistema de sua empresa. Isso não caracterizará transferência internacional de dados. Contudo, se forem repassados dados a terceiros por meio desse sistema, se configurará transferência.
• Exemplo 3 – ligação telefônica: um funcionário de determinada empresa estrangeira realiza uma ligação ao seu supervisor, passando dados sobre investimentos e ativos de dois de seus clientes, pessoas físicas brasileiras. Findada a ligação, o supervisor registra e armazena os dados em seu computador no sistema da empresa estrangeira. Estará caracterizada a transferência internacional de dados.
Veremos que a LGPD dispõe sobre algumas hipóteses taxativas nas quais a transferência internacional de dados pessoais é permitida (Arts. 33 a 36 da LGPD). Afinal, a transferência internacional implica maiores riscos aos direitos e liberdades dos titulares de dados pessoais, seja pela distância entre os pontos “A” e “B”, seja pela necessidade de harmonização entre legislações de diferentes países, de forma a salvaguardar as garantias que essas legislações conferem para os titulares.
8.4 QUANDO A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS É PERMITIDA CONFORME A LGPD?
De acordo com a LGPD (Art. 33), a transferência internacional de dados pessoais somente é permitida, alternativamente, quando:
(a) Os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD (Art. 33, I, da LGPD). Está previsto que o nível de proteção de dados do país estrangeiro ou do organismo internacional será avaliado pela ANPD (Art. 34 da LGPD), de modo que as pessoas jurídicas de direito público, no âmbito de suas competências legais, e seus responsáveis, no âmbito de suas atividades, poderão requerer à ANPD a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional (Art. 33, parágrafo único da LGPD).
(b) O Controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD. É de responsabilidade do Controlador garantir a segurança dos dados e proteção dos direitos e garantias dos titulares de dados. Esta hipótese é abordada em mais detalhes na seção “Transferência para países de regime diferente do Brasil”.
(c) A transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional (Art. 33, III, da LGPD).
(d) A transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros (Art. 33, IV, da LGPD). Nesse caso, estudos envolvendo o COVID-19, algoritmos sobre o
comportamento de sistemas epidêmicos poderiam ser enquadrados.
(e) A autoridade nacional autorizar a transferência (Art. 33, V, da LGPD).
(f) A transferência resultar em compromisso assumido em acordo de cooperação internacional (Art. 33, VI, da LGPD). Aqui, a transferência pode ser realizada mediante acordo bilateral entre Ministérios de diferentes países, por exemplo.
(g) A transferência for necessária para a execução de política pública ou atribuição legal do serviço público (Art. 33, VII, da LGPD).
(h) O titular tiver fornecido o seu consentimento específico e em destaque para a transferência (Art. 33, VIII, da LGPD), com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta e outras finalidades; ou
(i) É necessária para atender as hipóteses previstas nos incisos II, V e VI do Art. 7º da LGPD (Art. 33, IX, da LGPD), isto é respectivamente: para o cumprimento de obrigação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Dentre as hipóteses citadas acima se tem, eventualmente, a proteção da saúde ou integridade física do titular ou terceiro (Art. 33, VI, da LGPD), de forma que, estando em risco o titular ou terceiro, a transferência poderá ser excepcionalmente realizada para a sua salvaguarda.
As disposições do Art. 33, II, da LGPD referentes à quando o Controlador oferece e comprova garantias de cumprimento dos princípios, direitos do titular e do regime de proteção de dados da LGPD serão apresentadas na seção seguinte desta Política.
Consentimento específico e em destaque dos titulares (Art. 33, VIII, da LGPD) A transferência pode ser realizada com o consentimento específico e em destaque dos titulares, desde que sejam conferidas informações prévias sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
EXEMPLO:
Determinada instituição quer promover novas parcerias internacionais, para tanto, a transferência deve ter como base hipótese legal autorizativa, por exemplo quando o titular fornece o seu consentimento especificamente para a finalidade desejada (que deve estar descrita de maneira clara e de fácil compreensão) e em destaque. Recomenda-se também a previsão da transferência nos termos de uso e política de privacidade da plataforma. Em alguns casos será necessário elaborar mais de uma versão desses documentos, para os titulares dos países envolvidos, conforme as normas aplicáveis.
O consentimento do titular de dados pessoais consiste na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos dados pessoais para uma finalidade determinada. Cumpre detalhar brevemente as características do consentimento aqui indicadas.
Nesse sentido, o consentimento de um titular de dados pessoais pode ser considerado como livre nas
situações em que ele expressa a sua escolha de forma espontânea e sem qualquer tipo de coerção ou coação. Importante notar, ainda, que o titular de dados deverá ser informado sobre a possibilidade do não fornecimento do consentimento e sobre as consequências da negativa.
O titular deverá ser informado, de forma clara e transparente, sobre quais dados pessoais deverão ser fornecidos por ele, sobre quais serão coletados independentemente do fornecimento do titular, e quais
as consequências de não consentir com o fornecimento ou a coleta de tais dados (como a eliminação do processo seletivo, por exemplo).
Ele será informado quando houver a indicação de informações claras, precisas, em linguagem acessível e de fácil compreensão. É elementar certificar que informações essenciais sobre a operação de tratamento, seus modos, os agentes envolvidos e os eventuais riscos não tenham sido
omitidas do titular. Nesse sentido, ele terá mais controle com relação aos seus dados.
O adjetivo inequívoco, abrange o modo de manifestação, firme e claro, acerca da concordância do titular para o tratamento de seus dados. É imprescindível garantir que a pessoa natural concordou com as operações que serão realizadas com suas informações, de modo que o destaque das cláusulas de tratamento de dados pessoais deve ser sempre garantido ao titular de dados, seja em meio eletrônico ou impresso. Ou seja, sob a nova legislação de proteção de dados pessoais, além da confirmação clara do titular, este deve ter decidido sem quaisquer ambiguidades, confusões ou elementos que possam prejudicar a sua decisão.
Explicada a noção de consentimento, é necessário ainda ressaltar que o seu conceito dificilmente poderá ser valorado isoladamente, de forma estática. O consentimento só pode ser considerado livre, informado e inequívoco se levada em conta a finalidade da operação de tratamento de dados pessoais. A finalidade é muito mais do que um mero acessório do consentimento, é um dos princípios da Lei Geral de Proteção de Dados Pessoais.
Por finalidade, entende-se o propósito informado à pessoa natural acerca das operações que serão realizadas para tratar os seus dados. A conjugação do consentimento com a finalidade faz com que seja possível assegurar que, primeiro, o agente responsável pelo tratamento de dados pessoais tenha se esforçado para deixar claro quais os propósitos para a coleta, armazenamento e uso dos dados do titular e que, segundo, a anuência desse titular seja feita da forma mais esclarecida quanto for possível.
Com relação ao adjetivo destacado, a cláusula relativa à transferência internacional de dados não pode estar no meio de outras cláusulas tratando-se de um contrato, por exemplo, devendo estar apartada. Caso trate-se de documento online, ex. termos de uso, deve estar em janela própria.
Também, é recomendável que sejam separadas as finalidades às quais se está fornecendo o consentimento, não impondo ao titular tratamentos excessivos. Uma boa saída é a utilização de checkboxes para a obtenção granular do consentimento. Ademais, não é recomendável que os checkboxes já estejam marcados, induzindo o titular a pensar que a seleção daquelas opções seria a única possibilidade para uso dos serviços, devendo, assim, ser apresentadas em branco no termo ou
cláusula para que o titular as marque.
EXEMPLO:
(I) Consentimento para transferência internacional de dados:
Autorizo, por meio deste, que a [CONTROLADORA] e/ou qualquer de suas [OPERADORAS] proceda ao tratamento dos meus dados pessoais assinalados no item II para as finalidades de [...] dispostas no item III;
(II) Dados Pessoais: (marcar com um “x” nas opções desejadas ou deixar em branco em caso de discordância)
☐ nome e telefone pessoal; ☐ nome e e-mail pessoal; ☐ nome e e-mail corporativo;
(III) Finalidades: (marcar com um “x” ao menos uma opção)
☐ contratação de colaboradores divulgação de eventos; ☐ divulgação de cursos; ☐ divulgação de newsletter; ☐ divulgações gerais; ☐ não desejo receber quaisquer das divulgações listadas anteriormente;
(IV) Informações adicionais sobre a transferência Poderão ser transferidos dados à operadora terceirizada [...] localizada em [...], pelo motivo de [...], para cumprir a finalidade [...] acima listada, sendo garantidos os direitos, princípios e salvaguardas estabelecidos pelo regime da LGPD [...]
Cumprimento de obrigação legal/regulatória pelo Controlador; execução ou procedimentos preliminares relacionados a contrato e o exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 33, IX, da LGPD).
Caso a finalidade da transferência internacional esteja vinculada à necessidade de cumprimento de obrigação legal pelo Controlador, ela será permitida (Art. 7º, II, da LGPD) e sejam elas pertinentes à própria GDPR em se tratando de países no Espaço Econômico Europeu, ou outras regulações concernentes à matéria.
No caso da execução de contrato, os procedimentos Pré-contratuais podem ser realizados com relação a contrato do qual seja parte o titular, a seu pedido (Art. 7º, V, da LGPD). Isto é, o Controlador não pode utilizar esta justificativa se não tiver uma relação contratual com o titular, se o titular não tiver conexão direta com o Controlador e as diligências não forem realizadas a seu pedido, ex. banco do qual determinado titular não tem conta, que realizar background check sobre a situação financeira desse titular, oferecendo-lhe empréstimo, a partir de seu CPF.
No mais, a transferência é legal quando tiver o adendo de exercitar regularmente direitos em processo judicial, administrativo ou arbitral (nos termos da Lei nº 9.307, de 23 de setembro de 1996, a “Lei de Arbitragem”). Esta disposição busca salvaguardar o direito de produção de provas dentro de um processo, também evitando o cerceamento do direito de defesa e garantindo o contraditório e a ampla defesa. Afinal, a finalidade da transferência internacional de dados pode ser discutida no processo, ou relacionar-se ao seu objeto. Nesse sentido a ressalva é estabelecida para esclarecer que as partes têm os direitos citados, não cabendo oposição ao tratamento nesse sentido.
8.5 SEMELHANÇAS E DIFERENÇAS ENTRE A LGPD E A GDPR
A LGPD traz, em muitos aspectos, disposições bastantes similares sobre a transferência internacional de dados em relação à GDPR. Para a GDPR, a transferência internacional de dados apenas é permitida conforme as condições estabelecidas no capítulo V da Regulação, devendo respeitar as suas demais disposições (Art. 44º). A transferência para um país terceiro ou organismo internacional fora do EEE pode ser realizada quando for garantido nível de proteção adequado, a partir de uma decisão de adequação da Comissão Europeia.
Na falta de uma decisão de adequação, é possível a realização da transferência quando o Controlador ou Operador fornecer salvaguardas apropriadas, na forma de: regras corporativas vinculativas; cláusulas- padrão de proteção adotadas pela Comissão Europeia ou por uma autoridade supervisora; um código conduta aprovado nos termos do artigo 40º, acompanhado de compromissos vinculativos e com força executiva; e um procedimento de certificação, aprovado nos termos do artigo 42º, acompanhado de compromissos vinculativos e com força executiva.
Além dessas hipóteses, há autorização específica (derrogations) para a transferência internacional de dados mediante: consentimento explícito do titular à transferência, informado dos possíveis
riscos; quando a transferência for necessária execução de contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato, a pedido do titular; quando a transferência for necessária por importante por razões de interesse público; quando necessária para o estabelecimento, exercício ou defesa de reivindicações legais (legal claims); e quando necessária para proteger interesses vitais do titular dos dados ou de terceiros.
Uma disposição diversa, não constante na LGPD, é a do Art. 49º que prevê autorização específica para quando a transferência for realizada a partir de um registo acordando que, nos termos do direito da União ou do Estado-Membro, ofereça informações ao público e se encontre aberto à consulta do público em geral ou a qualquer pessoa que tenha um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União ou de um Estado-Membro se encontrem preenchidas no caso concreto.
Em adição, o Art. 49º, também prevê que quando uma transferência para um país terceiro ou organismo internacional não puder se pautar nas disposições dos artigos 45º ou 46º, somente pode ocorrer a transferência se (i) a mesma não for repetitiva (isto é, recorrente), (ii) englobar apenas um número
limitado de titulares de dados, (iii) for necessária para interesses legítimos, perseguidos pelo responsável pelo tratamento, que não sejam substituídos pelos interesses ou direitos e liberdades do titular dos dados e (iv) o responsável pelo tratamento avaliar todas as circunstâncias que envolvem a operação, fornecendo salvaguardas adequadas em relação à proteção de dados pessoais. O responsável pelo tratamento deve informar a autoridade de supervisão da transferência e informar o titular dos dados da transferência e dos interesses legítimos.
A seguir são apresentadas algumas perguntas direcionadas, para avaliar se a transferência internacional de dados pessoais está conforme com os requisitos estabelecidos na LGPD.
RESUMO: CHECKLIST TRANSFERÊNCIA INTERNACIONAL DE DADOS
• Pergunta 1: planejamos fazer uma transferência de dados pessoais fora do Brasil? Para qual finalidade?
• Pergunta 2: a transferência é estritamente necessária para cumprimento da finalidade almejada? Há outro modo de se alcançar essa finalidade? Caso o tratamento seja estritamente necessário, não havendo outro modo de consecução da sua finalidade, prosseguir à próxima pergunta.
• Pergunta 3: a transferência será feita para país com nível de adequação coerente com aquele estabelecido pela LGPD, avaliado pela ANPD? (art. 33, I, da LGPD) Em caso negativo prosseguir.
• Pergunta 4: o Controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados previstos na LGPD? (art. 33, II da LGPD) Por meio de quais instrumentos? Em caso negativo prosseguir.
• Pergunta 5: a transferência tem como base alguma outra hipótese autorizativa prevista nos incisos III a IX do art. 33 da LGPD? Em caso negativo, a transferência não pode ser realizada.
9. TRANSFERÊNCIA PARA PAÍSES DE NÍVEL DE PROTEÇÃO DE DADOS DIFERENTE DO BRASIL
Conforme a LGPD, a transferência internacional de dados pode acontecer para países ou organismos internacionais que proporcionem grau de proteção adequado ao previsto nessa Lei (Art. 33, I, LGPD). Isto, pois, o escopo da LGPD traz uma série de garantias e mecanismos protetivos aos direitos dos titulares de dados pessoais. Assim, se o país ou organismo para o qual será realizada a transferência não demonstrar um nivelamento com essa proteção, serão colocados em risco direitos e liberdades fundamentais dos titulares.
Contudo, como saber o nível de proteção do país para o qual a transferência será realizada? A LGPD, em seu Art. 34, coloca que o nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado será avaliado pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que levará em consideração os seguintes critérios:
(a) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
(b) a natureza dos dados;
(c) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD;
(d) a adoção de medidas de segurança previstas em regulamento;
(e) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
(f) outras circunstâncias específicas relativas à transferência.
Porém, até que seja avaliado o nível de proteção de dados do país estrangeiro ou do organismo internacional que se pretende realizar a transferência e seja implementado o Art. 33, I, da LGPD, já foi visto que há outras disposições que autorizam a transferência internacional.
Como até agora o Brasil ainda não reconheceu outro país como tendo nível adequado de proteção de dados e também, por outro lado, ainda não teve esse reconhecimento por parte de autoridades estrangeiras, cada fluxo de dados deve ser avaliado caso a caso, para a consideração de determinada autorização específica ou de medida compensatória, conforme explanado a seguir.
Quando o Controlador oferece e comprova garantias de cumprimento de princípios, direitos do titular e do regime de proteção de dados previsto na LGPD (Art. 33, II, da LGPD).
A LGPD prevê algumas medidas que podem ser adotadas pelo Controlador para garantir que um nível não idêntico, mas equivalente de proteção de dados pessoais seja garantido com relação aos direitos e liberdades dos titulares e suas salvaguardas, que chamaremos de “medidas compensatórias”, pois são mecanismos que buscam compensar essa diferenciação de níveis.
Dessa maneira, o Art. 33, II, da LGPD traz que a transferência internacional de dados pode ser realizada quando o Controlador oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e do regime de proteção previsto na LGPD por meio de:
(a) cláusulas contratuais específicas para determinada transferência;
(b) cláusulas-padrão contratuais;
(c) normas corporativas globais;
(d) selos, certificados e códigos de conduta regularmente emitidos.
Dentre esses instrumentos, o que a Cast group mais se valerão no momento são as cláusulas contratuais específicas para certa transferência e das cláusulas padrão-contratuais. Tratando-se de cláusulas contratuais específicas, elas deverão descrever de modo claro a relação entre os propósitos do tratamento e a transferência internacional de dados pessoais, indicando a hipótese autorizativa da LGPD que consubstancia a operação (Arts. 33 a 36, da LGPD), especificando a sua finalidade, discriminando as responsabilidades dos agentes de tratamento e o fluxo de dados, também como serão garantidas as salvaguardas aos direitos e liberdades dos titulares de dados.
Sobre as cláusulas contratuais-padrão, vale citar que a Comissão Europeia pode decidir que as cláusulas contratuais-padrão - Standard Contractual Clauses (SCC) - oferecem salvaguardas suficientes sobre a
proteção de dados para que os dados sejam transferidos internacionalmente e até o momento, já emitiu dois conjuntos de cláusulas contratuais padrão para transferências de dados de Controladores de dados na UE para Controladores e Operadores de dados estabelecidos fora da UE ou do Espaço Econômico Europeu (EEE).
As disposições do Art. 33, II, da LGPD apresentam “medidas compensatórias” que buscam garantir que
as salvaguardas adequadas aos direitos e liberdades dos titulares serão garantidas, mesmo que a transferência seja realizada para um grau de proteção de dados pessoais diverso do Brasil. Assim, caso a transferência aconteça de um país cujo nível de proteção de dados seja diferente do Brasil, os Controladores têm o dever de garantir que essa transferência internacional não afetará negativamente o nível de proteção dos dados pessoais. Os Controladores devem informar para os titulares, detalhes adicionais sobre a transferência internacional de dados, principalmente quando a operação envolver dados sensíveis.
O Controlador responsável pela operação deverá, portanto, garantir as salvaguardas dos direitos dos titulares de dados pessoais. Se a transferência internacional de dados for realizada a cargo de outra Parte que não a Cast group, ela será responsável, devendo garantir que a operação seja realizada para um país com nível adequado de proteção, ou garantir que esse nível seja garantido, por meio de utilização dos instrumentos previstos nas alíneas do Art. 33, II, da LGPD, como cláusulas-padrão.
EXEMPLO:
• Em contrato celebrado com instituição estrangeira, a Cast group figura como mera Operadora para realização de prestação de serviço no Brasil. Para que isso seja possível, a instituição estrangeira precisará realizar a transferência internacional de dados e, na condição de Controladora, deverá demonstrar que garante as salvaguardas aos direitos dos titulares, caso fundamente a transferência em medidas compensatórias, como a utilização de cláusulas contratuais específicas (art. 33, II, “a”). Caberá à Cast group avaliar a licitude da ordem do Controlador. Contudo, caso a Cast group também figure na relação contratual como Controladora, deverá, igualmente oferecer essas garantias.
Atribuições da ANPD no que concerne à transferência internacional de dados e a comprovação de
“medidas compensatórias” pelo Controlador.
A LGPD atribui à ANPD a definição do conteúdo de cláusulas-padrão contratuais e a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta (Art. 35). Para essa verificação, serão considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios da LGPD (Art. 35, § 1º, da LGPD).
Além disso, na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da Autoridade Nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário (Art. 35,
§2º, da LGPD).
A ANPD poderá designar organismos de certificação, que permanecerão sob sua fiscalização nos termos definidos em regulamento e os atos por eles realizados poderão ser revistos pela autoridade nacional e, caso em desconformidade com a LGPD submetidos a revisão ou anulados (Art. 35, § 3º E 4º, da LGPD).
Ademais, a ANPD poderá dispor sobre padrões técnicos mínimos, considerando a natureza das
informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios de proteção de dados pessoais (previstos no caput do Art. 6ºda LGPD). No mais, as medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. Quaisquer alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular deverão ser comunicadas à autoridade nacional (Art. 36 da LGPD).
Como ter uma ideia sobre o nível de proteção de cada país?
Considerando que a Cast group e sua mantenedora, por exemplo, possa ter escritórios no exterior e realize uma série de acordos e parcerias com instituições estrangeiras, é importante que, no momento da celebração desses instrumentos se tenha uma ideia em relação ao nível de proteção de dados pessoais para o país de origem ou destino da transferência internacional de dados para então analisar, no caso concreto, qual autorização legal ou medida compensatória é aplicável a cada situação.
Contudo, como a ANPD será responsável por essa avaliação e ainda não o fez, é sugerido, por enquanto, para que se tenha parâmetros mais concretos e uma noção mais clara em relação ao grau de proteção de dados pessoais de determinado país, que sejam consultadas as decisões de adequação (adequacy decisions) da Comissão Europeia.
10. TRANSFERÊNCIA INTERNACIONAL DE DADOS ENVOLVENDO INSTITUIÇÕES ESTRANGEIRAS E ESCRITÓRIOS LOCALIZADOS FORA DA JURISDIÇÃO LOCAL
EXEMPLO:
• Supondo que a Cast group brasileira tenha um escritório fora da jurisdição doméstica, na França. E esse escritório precisa realizar uma transferência internacional de dados para a Alemanha. Neste caso, o fluxo de dados não será restringido ou proibido pela legislação local da Alemanha, visto que se tratam ambos de países localizados no EEE, que estão sob o escopo da GDPR. Contudo se o escritório deseja transferir os mesmos dados para um país fora do EEE, em relação ao qual a Comissão Europeia não tenha emitido uma decisão de adequação, deverá ser aplicada as regras do Capítulo V da GDPR, visto que tais regras se destinam a proteger os dados pessoais de titulares sujeitos à jurisdição da EU. Ainda, dentro de um mesmo grupo econômico, a transferência pode ser realizada via Intragroup Agreement (IGA) “Acordo Intragrupo” – a partir de cláusulas padrões, as Binding Corporate Rules (BCR), mediante aprovação das autoridades dos países correspondentes.
Também é possível uma transferência realizada pela Cast group (cumprindo todos os seus requisitos) para a Alemanha, depois para a França, e na sequência para os EUA, por exemplo – país no qual a decisão de adequação da Comissão limitou-se ao acordo bilateral do Escudo de Privacidade UE-EUA, o Privacy Shield. Com o acordo bilateral, será possível realizar a transferência da UE para os EUA, seguindo as suas disposições.
Entretanto, caso a transferência envolva Brasil e EUA, mediante a análise do caso concreto, deverão ser
consideradas as normas aplicáveis, inclusive, como acima mencionado, dependendo do fluxo de dados, é necessário atentar-se às normas do Estado americano em que o agente de tratamento se encontra nos EUA, supondo, por exemplo, que a transferência abranja dados de titulares norteamericanos daquele Estado.
Quer dizer, cada fluxo de dados deve ser analisado em suas peculiaridades. Outrossim, se o objeto de determinado contrato envolver transferência para mais de um país, cada um dos fluxos deverá ser considerado a partir de suas especificidades. Evidentemente, esta análise será facilitada se envolver transferência internacional, por exemplo, dos EUA para país do EEE, imperando o acordo bilateral do Escudo de Privacidade (Privacy Shield) e na sequência para um país como o Japão, em relação ao qual houve decisão de adequação por parte da Comissão Europeia.
11. CONSIDERAÇÕES FINAIS
Cuidados na celebração de acordos e parcerias com instituições estrangeiras que envolvam a transferência internacional de dados deve sempre considerar a finalidade da operação, sua relação com o objeto contratual e a posição ocupada pela Cast group brasileira. Foi visto que, caso a Cast group figure apenas como Operadora, a sua responsabilidade na cadeia de proteção de dados será com relação à licitude da ordem emitida pelo Controlador, ao passo que, figurando como Controladora serão maiores as suas responsabilidades, visto que tomará as decisões sobre a realização do tratamento.
Vale, em todo caso, averiguar se a instituição estrangeira se declara em conformidade ou está em processo de adequação às leis e regulações de proteção de dados a ela aplicáveis. No mais, todos os requisitos para a realização da transferência internacional de dados pessoais previstos na LGPD, e detalhados nesta Política, devem ser observados e cumpridos, incluindo as hipóteses nas quais é permitida segundo o regime de proteção de dados da LGPD (Art. 33 e ss.) ou mesmo para ressalva dos casos nos quais a LGPD tem salvaguardas (ex. atuação de órgão de pesquisa).
É importante frisar que as obrigações de proteção de dados pessoais perdurarão enquanto os dados ainda estiverem disponíveis às partes envolvidas, continuando válidas mesmo após o término da vigência de Convênios, Parcerias etc.
Esta Política destina-se a oferecer algumas diretrizes e boas práticas que na realização de suas atividades poderão fazer operações de tratamento que impliquem transferência internacional de dados.
Busca-se apresentar orientações à interpretação da legislação aplicável, ressalvando-se posteriores entendimentos de autoridades competentes ou regulamentações específicas.
Esta Política é suscetível de constante mudança e atualização.