TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS E A LGPD
A discussão sobre proteção de dados pessoais ganhou relevância nas últimas décadas, principalmente a partir das profundas transformações decorrentes dos avanços tecnológicos e do fluxo intenso de dados transfronteiriços que sustentam não apenas os comércios e investimentos internacionais modernos, mas também aprimoram as operações das empresas especialmente na criação de modelos de negócios baseados no seu uso, processamento e armazenamento.
A partir dessa situação, diversos países passaram a estabelecer regras de proteção de dados em transferências internacionais a fim de evitar que justificativas regulatórias fundadas na privacidade e proteção de dados pessoais pudessem dar causa a barreiras ao comércio e às demais transações internacionais.
No Brasil, a transferência internacional de dados pessoais ainda gera muitas dúvidas. O tema foi tratado de maneira geral pela Lei 13.709/2018 — Lei Geral de Proteção de Dados (LGPD) — mas a aplicação dessas regras e salvaguardas ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD).
A delimitação das situações que configuram transferência internacional de dados, especialmente quando o agente localizado no exterior coleta diretamente dados no Brasil, sem que tenha havido compartilhamento desses dados ainda gera muita discussão. Um exemplo clássico dessa situação é quando aplicativos usados por usuários no território brasileiro e cujos servidores estão localizados em outros países coletam diretamente os dados pessoais de indivíduos localizados no Brasil sem que tenha havido qualquer compartilhamento ou transferência a terceiros.
Para esclarecer esse ponto, a definição do que vem a ser de fato transferência internacional trazido na LGPD pouco ajuda. O artigo 5 inciso XV da LGPD define transferência internacional de dados como a "transferência de dados pessoais para um país estrangeiro ou organismo internacional do qual o Brasil seja membro". Mas, a leitura conjunta desse dispositivo com o inciso XVI do mesmo artigo nos permite concluir que somente há transferência internacional de dados pessoais quando dois agentes de tratamento compartilham dados pessoais.
Essa não é uma discussão nova no cenário na proteção de dados. Esse assunto já foi amplamente debatido no cenário europeu tendo sido publicado pelo European Data Protection Board (EDPB) a Guideline 5/2021 que deixou clara a inaplicabilidade do regime jurídico especial para transferência internacional de dados às situações em que "o controlador em um país terceiro coleta dado diretamente de um titular de dados na EU". As proposições do EDPB pressupõem a existência de uma relação entre os agentes de tratamento distintos, que atuam na condição de importador e exportador de dados e a transmissão e compartilhamento de dados entre tais agentes. Por via de consequência, o EDPB entende que a coleta direta de dados de indivíduos localizados no espaço comunitário por uma entidade estrangeira não caracteriza transferência internacional.
Ou seja, quando um indivíduo fornece seus dados para usufruir de um serviço ofertado por empresa localizada fora do país, este indivíduo não é considerado, de acordo com a Guideline 5/2021, como parte exportadora, já que não faria sentido celebrar com empresas instrumentos de transferência internacional como as cláusulas padrão contratuais, para realizar operações comuns do dia a dia.
Uma perspectiva similar pode ser considerada para a conceituação do que o legislador entendeu como sujeito as regras especiais de transferência internacional na LGPD. O artigo 3, inciso II da LGPD determina que a Lei deve ser aplicada a qualquer operação de tratamento de dados pessoais que tenham sido coletados em território nacional. Ou seja, a mera coleta de forma direta de dado pessoal por empresa localizada no exterior em que não exista compartilhamento atrai necessariamente a regra do artigo 3, III da LGPD, exigindo a adequação da empresa localizada no exterior, mas não o regime especial de transferência internacional do artigo 33 do mesmo diploma legal.
Com a delimitação das situações que configuram uma transferência internacional em linha com o entendimento proposto pelo EDPB, agentes de tratamento que realizam a coleta direta de dados de indivíduos localizados no Brasil, embora sujeitos às regras da LGPD por força do escopo territorial de aplicação da lei, não teriam a necessidade formal adicional de estar respaldado em uma das hipóteses que autorizam a transferência de dados para fora do território brasileiro.
Dessa forma, além da interpretação sistemática dos dispositivos da LGPD, é muito importante que as decisões de adequação da Comissão Europeia possam, em alguma medida, antecipar os desafios de tomada de decisão pela ANPD, utilizando-os como referência normativa para a caracterização do conceito de transferência internacional.
Esses parâmetros podem assegurar a proteção de dados pessoais em todo o ciclo de tratamento e proporcionar mais segurança jurídica aos agentes de tratamento envolvidos em um contexto globalizado de operações, contribuindo com a livre circulação de dados e reduzindo os custos e esforços para atuação da ANPD.