Normas corporativas globais auxiliam na transferência internacional de dados.

O Capítulo V da LGPD – Lei Geral de Proteção de Dados trata da possibilidade de transferência internacional de dados pessoais coletados no Brasil ou que tenham por objetivo o fornecimento de bens e serviços no território brasileiro, prevendo os casos em que esta transferência é permitida.

A primeira possibilidade de transferência admitida é que os dados sejam transferidos para países que proporcionem grau adequado de proteção de dados. Em se tratando de país integrante da União Europeia, como a Itália, a proteção dos dados é garantida pela GDPR – General Data Protection Regulation, que entrou em vigência em maio de 2018 e já provocou por lá grandes mudanças na cultura de tratamento de dados pessoais. Em sentido inverso, em seu art. 45 a GDPR também permite a transferência de dados de países da UE para países que reconhecidamente asseguram um nível de proteção de dados adequado, como Argentina e Uruguai. Aliás, a GDPR foi utilizada como modelo para confecção da redação da LGPD, em especial na redação dos artigos que tratam da transferência internacional de dados (cross-border data transfer), que muito se assemelham.

Transferências tais como as listadas abaixo serão afetadas pela LGPD:
– compartilhamento de base de dados de RH entre empresas do mesmo grupo (matriz-filial);
– armazenamento de dados em data centers fisicamente localizados no exterior;
– terceirização de serviço de atendimento ao consumidor
– contratação de provedor de computação em serviço de nuvem estrangeiro.

A questão em foco é que a Lei brasileira não está vigente até agosto de 2020 e a Agência Nacional de Proteção de Dados ainda não está em funcionamento para que o Brasil seja reconhecido como safe harbour de dados e também possa reconhecer outros países como lugares seguros para que a redação da Lei tenha plena efetividade.

Por ora, como a GDPR já surte seus efeitos na UE, a solução para a transferência de dados pela empresa sediada em território brasileiro é o estabelecimento de cláusulas-padrão contratuais e normas corporativas globais que abranjam casa matriz e filiais que regulem as transferências e garantam aos titulares dos dados o cumprimento dos princípios e direitos de proteção dos seus dados em conformidade com a GDPR, considerando também que a empresa sediada na UE já deverá estar compliant com a GDPR. Com a entrada em vigor da LGPD em agosto de 2020 muitas outras questões surgirão em relação ao trânsito internacional de dados bem como sobre o tratamento de dados em território nacional.