A transferência de dados pessoais entre países enfrenta desafios devido às diferentes leis de proteção de dados em cada país. Para garantir a proteção dos dados durante a transferência, empresas devem realizar avaliações de impacto de privacidade e elaborar contratos com cláusulas de proteção de dados.
Com a crescente globalização dos negócios, a transferência de dados pessoais entre países tem se tornado uma questão cada vez mais relevante. No entanto, essa transferência enfrenta desafios significativos devido a diferenças nas leis de proteção de dados em diferentes países.
A transferência internacional de dados pessoais é regulamentada por diferentes leis e regulamentos em todo o mundo como GDPR, LGPD e CCPA.
Essas leis exigem que as empresas sigam certas práticas e requisitos para garantir que os dados pessoais sejam protegidos durante a transferência internacional. Entre essas práticas, destaca-se a realização de avaliações de impacto de privacidade (DPIA) e a elaboração de contratos que incluam cláusulas de proteção de dados.
As avaliações de impacto de privacidade são um processo que visa identificar e minimizar os riscos para a privacidade e segurança dos dados pessoais durante a transferência internacional. Segundo o Instituto Nacional de Padrões e Tecnologia (NIST), a avaliação de impacto de privacidade é um processo sistemático que ajuda a identificar, avaliar e mitigar os riscos associados à coleta, uso, divulgação e armazenamento de informações pessoais.
Na LGPD o DPIA se encontra no Artigo 38:
“Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.”
Os contratos que incluem cláusulas de proteção de dados são um instrumento legal importante para garantir que os dados pessoais sejam protegidos durante a transferência internacional. Essas cláusulas geralmente incluem disposições sobre o tratamento de dados pessoais, medidas de segurança, obrigações de notificação em caso de violação de dados, entre outras.
Existem outras soluções técnicas que podem ser adotadas para garantir a segurança dos dados pessoais durante a transferência internacional, como a criptografia de dados e a anonimização de dados.
As empresas devem estar cientes dos riscos envolvidos na transferência internacional de dados pessoais e implementar medidas adequadas para garantir a proteção desses dados. É importante que as empresas estejam em conformidade com as leis e regulamentos locais e internacionais para evitar penalidades financeiras e de reputação.
Esse tema é complexo e envolve desafios significativos. No entanto, com as práticas adequadas e soluções técnicas, é possível garantir a segurança dos dados pessoais durante a transferência internacional.
Na LGPD encontramos três aspectos estruturantes da regulação da transferência internacional de dados:
a) hipóteses permitidas para a ocorrência (artigo 33);
b) a verificação do nível de proteção do país estrangeiro (artigo 33, inciso I da LGPD e artigo 34);
c) realização ANPD da definição do conteúdo de cláusulas-padrão contratual; verificação de cláusulas específicas de transferência normas corporativas globais ou selos, certificados e códigos de conduta (artigo 35).
Referências:
- ICO – Information Commissioner’s Office – International transfers. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers/
- European Commission. (2021). Standard contractual clauses for international transfers. https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
- NIST Technology Innovation Program. PRIVACY IMPACT ASSESSMENT (PIA). https://www.nist.gov/system/files/documents/2017/05/09/NIST-TIP-PIA-Consolidated.pdf
- FUNDAÇÃO GETÚLIO VARGAS (FGV). Guia de Proteção de Dados Pessoais. Transferência Internacional. 2020. Disponível em: https://portal.fgv.br/sites/portal.fgv.br/files/transferencia_internacional.pdf
