A transferência internacional de dados pessoais é uma realidade inescapável para a maioria das organizações que operam em ambiente digital. Serviços de computação em nuvem, plataformas SaaS, ferramentas de comunicação e sistemas de gestão frequentemente envolvem o envio de dados para servidores localizados em outros países. A LGPD regulamenta essa prática em seus artigos 33 a 36.
Hipóteses Autorizativas
O artigo 33 da LGPD prevê as situações em que a transferência internacional é permitida. Entre as principais hipóteses estão: países ou organismos internacionais que proporcionem grau de proteção de dados adequado ao previsto na LGPD; quando o controlador oferecer garantias de cumprimento dos princípios e direitos do titular, por meio de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais ou certificações; quando a transferência for necessária para cooperação jurídica internacional; e quando o titular tiver consentido de forma específica e destacada.
Decisões de Adequação
A ANPD é o órgão competente para avaliar e reconhecer o nível de adequação de proteção de dados de países e organismos internacionais. Até o momento, a ANPD ainda está em processo de consolidação dessas decisões, o que significa que as organizações brasileiras devem se apoiar predominantemente em outros mecanismos, como cláusulas contratuais.
Cláusulas Contratuais Padrão
Em 2024, a ANPD publicou a Resolução sobre cláusulas-padrão contratuais para transferências internacionais de dados. Essas cláusulas estabelecem obrigações mínimas que devem constar dos contratos entre o exportador de dados no Brasil e o importador de dados no exterior, abrangendo medidas de segurança, direitos dos titulares, responsabilidades das partes e mecanismos de supervisão.
Normas Corporativas Globais
As normas corporativas globais (Binding Corporate Rules — BCRs) são instrumentos utilizados por grupos empresariais multinacionais para regular a transferência de dados entre suas entidades. Elas estabelecem políticas internas vinculantes que asseguram um nível adequado de proteção em todas as jurisdições onde o grupo opera.
Desafios Práticos
Na prática, muitas organizações brasileiras utilizam serviços de provedores estrangeiros sem avaliar adequadamente os aspectos de transferência internacional. O armazenamento de dados em nuvem, o uso de ferramentas de analytics e a contratação de plataformas de CRM frequentemente implicam transferência internacional que deve ser mapeada e endereçada juridicamente.
A avaliação de risco (Transfer Impact Assessment) é recomendável para identificar os riscos específicos associados à transferência para cada jurisdição, considerando o quadro normativo local, as práticas de vigilância governamental e a efetividade dos mecanismos de proteção disponíveis.
As organizações devem documentar suas transferências internacionais no registro de operações de tratamento, indicando os países destinatários, os mecanismos de salvaguarda utilizados e as avaliações de risco realizadas. Essa documentação é elemento essencial de accountability perante a ANPD.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".