Como funciona a Transferência Internacional de Dados na LGPD?
Atualmente, as empresas estão se preparando para cumprir a Lei Geral Brasileira de Proteção de Dados (LGPD), e há muita confusão sobre como a transferência internacional de dados deve funcionar.
Neste artigo, explicaremos como funciona a transferência internacional de dados sob a LGPD e delinearemos algumas das melhores práticas para o cumprimento da nova regulamentação.
Mantenha seus dados seguros com nossas dicas:
Tabela de conteúdos
- O que significa transferência internacional de dados?
- Quando a Transferência de Dados para outros países não é considerada restrita?
- Para quais países pode ser feita a transferência internacional?
- E se o grau de similaridade com a LGPD não for suficiente?
- O que é uma política de privacidade e o que ela fala sobre transferência de dados internacional?
- A Governança como uma boa prática para a LGPD
- Em que outras circunstâncias os dados podem ser transferidos para outro país?
- Pontos importantes sobre a transferência de Dados na LGPD:
O que significa transferência internacional de dados?
Pela LGPD é permitido a transferência de dados entre os estados brasileiros, desde que a lei seja respeitada.
Mas se a empresa precisar transferir dados para fora do Brasil, as coisas são um pouco mais complicadas.
A LGPD não tem jurisdição fora do Brasil, o que significa que algumas condições especiais devem ser atendidas para que as transferências de dados ocorram – o que chamamos de transferência restrita.
Portanto, devem ser consideradas várias condições importantes ao transferir dados internacionalmente que iremos discutir a seguir.
Quando a Transferência de Dados para outros países não é considerada restrita?
Se você transferir dados pessoais para um funcionário da sua empresa que está fora do Brasil, não é uma transferência restrita. As restrições só serão aplicadas se você enviar dados pessoais para fora da empresa.
Mas a palavra “transferência” não significa o mesmo que “trânsito”. Caso os dados pessoais de alguém sejam transferidos de um estado brasileiro para outro, mas trafegam por outro país, a transferência não será considerada restrita.
Para quais países pode ser feita a transferência internacional?
Não é raro que as empresas transfiram dados pessoais para outros países.
Isto pode acontecer, por exemplo, quando uma empresa armazena seus dados de clientes em servidores localizados em outro país.
Entretanto, antes de fazer isso, a empresa deve primeiro obter permissão da ANPD (Autoridade Nacional de Proteção de Dados) e ela só dará permissão se determinar que um grau suficiente de proteção de dados pessoais é garantido no país receptor.
Esta avaliação é feita com base em uma série de fatores, incluindo as leis e regulamentos do país sobre proteção de dados. Se a ANPD estiver convencida de que estas proteções são adequadas, ela dará sua permissão para que a transferência de dados seja efetivada.
O Brasil ainda não publicou uma lista de países com nível de proteção suficiente para permitir a transferência internacional de dados. Entretanto, a GDPR tem uma disposição semelhante, e os países que ela certificou como tendo proteções suficientes podem ser indicativos daqueles que atenderem às exigências do Brasil.
Até o momento, a lei de proteção europeia GDPR certificou Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça e Uruguai como países que fornecem níveis adequados de proteção de dados.
Todos esses países têm leis de proteção de dados similares à GDPR, e também oferecem outras salvaguardas para garantir que os dados sejam adequadamente protegidos. Por isso, é provável que eles também atendam aos requisitos do Brasil para transferências internacionais.
A ANPD considerará uma variedade de fatores ao determinar se o nível de proteção em um país estrangeiro ou organização internacional é suficiente. Isto inclui uma avaliação da legislação nacional, do tipo de dados envolvidos e do cumprimento dos princípios gerais de proteção de dados.
Baseada em todos os fatores relevantes, a ANPD deve terminar que os dados pessoais sejam protegidos de forma adequada.
E se o grau de similaridade com a LGPD não for suficiente?
Quando os dados são transferidos de um país para outro, há sempre a preocupação de quão bem protegidos essas informações estarão. Se o Brasil não achar que o grau de proteção de dados no outro país é suficiente, pode estabelecer garantias especiais de proteção.
Isto significa que tanto o remetente quanto o receptor serão obrigados a seguir estas salvaguardas adicionais. Mas quais são essas garantias?
Elas podem variar dependendo da situação, mas podem incluir a garantia de que os dados sejam criptografados, acessados apenas por pessoal autorizado e armazenados em um local seguro.
Ao tomar estas medidas adicionais, o Brasil pode ajudar a proteger os dados de seus cidadãos, mesmo quando são transferidos para outro país.
O tratamento de dados internacionais é uma questão delicada, e que requer uma regulamentação cuidadosa pela ANPD. Estas regras se aplicarão às instituições públicas e ajudarão a garantir que os dados pessoais sejam tratados corretamente.
Os termos e condições são estabelecidos pela ANPD, e serão vinculativos para ambos. Este acordo ajudará a garantir que os dados pessoais sejam processados de forma compatível com a LGPD.
O que é uma política de privacidade e o que ela fala sobre transferência de dados internacional?
Uma política de privacidade é um documento interno que descreve como uma organização planeja cumprir com a LGPD, a nova lei de privacidade de dados do Brasil.
Este documento cobre tópicos como transparência do processamento, interesses legítimos dos controladores, coleta de dados pessoais, medidas de proteção técnica, organizacional e transferências de dados fora do Brasil.
Ao criar uma política de privacidade, as organizações podem garantir que estão tomando as medidas necessárias para proteger os dados pessoais de seus funcionários, clientes e outros indivíduos.
A política de privacidade é uma ferramenta utilizada para garantir que uma organização cumpra com a LGPD e trate os dados pessoais de forma responsável e transparente.
A Governança como uma boa prática para a LGPD
A LGPD estabelece as melhores práticas de governança que devem ser incluídas nas políticas internas de privacidade de qualquer empresa.
Neste sentido, as empresas deverão
I – Implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
As empresas devem estar preparadas para demonstrar a eficácia de seu programa de governança de privacidade à ANPD. Ela deve promover o cumprimento das melhores práticas ou códigos de conduta relacionados à LGPD.
Ao tomar essas medidas, as empresas podem ajudar a garantir que estejam em conformidade com a LGPD e sejam capazes de proteger efetivamente os dados pessoais dos cidadãos brasileiros.
Em que outras circunstâncias os dados podem ser transferidos para outro país?
Se o Brasil não estabelecer um nível de proteção suficientemente alto para dados pessoais e as garantias não se aplicarem a uma situação específica, os dados podem ser transferidos para outros países como exceção.
Se o controlador tiver informado o titular dos dados sobre todos os riscos possíveis de uma transferência restrita, e o titular dos dados tiver concordado explicitamente com isso;
Uma companhia aérea brasileira pode transferir os dados pessoais de criminosos perigosos da lista da Interpol que tenham fugido para a Argentina, por exemplo. Isto garante a segurança pública.
Se o controlador precisar transferir dados para tomar medidas legais ou proteger os seus direitos legais em outro país, deve fazê-lo de forma a garantir a segurança e proteção desses dados.
Se for preciso transferir dados para proteger a vida ou a segurança física, o país deve fazê-lo.
Pontos importantes sobre a transferência de Dados na LGPD:
A transferência de dados pessoais para outros países é um processo complexo que requer muita atenção dos controladores. Os direitos dos titulares poderão, de fato, estar em risco, se o tratamento dos dados não estiver mais coberto pela LGPD.
Antes de transferir dados pessoais para outro país, o controlador tem de se certificar de que estes são transferidos de uma forma legal e isso significa seguir todos os termos e condições estabelecidos na LGPD.
O controlador também deve considerar os diferentes níveis de proteção de dados em outros países e certificar-se de que a transferência esteja de acordo com eles. Ela só será possível se:
· o país tiver grau suficientemente alto de proteção de dados;
· se forem implementadas garantias adicionais de segurança durante a transferência de acordo a LGPD ou;
· se a transferência for realizada como exceção.
Já precisou transferir dados para outros países, ou tem receio de fazê-lo? Entre em contato conosco através do site www.formulalgpd.com.br que podemos ajudá-lo!