Um contrato de transferência de dados pessoais nada mais é do que o instrumento através do qual as partes acordam a transferência de informações pessoais entre si.
As transferências de bases de dados pessoais de clientes entre organizações não são um fenômeno novo. Podemos verificar, há muito tempo, a ocorrência deste tipo de transação, por exemplo, nas relações privadas entre empresas que atuam em nichos comerciais complementares, bem como nas relações entre empresas integrantes de um mesmo grupo/conglomerado comercial.
Como exemplo dessa prática, podemos citar a possibilidade de utilização dos dados de sua conta do Google para acesso ao seu perfil no Youtube. Essa possibilidade existe pelo simples fato de haver entre tais empresas, por força do pertencimento de ambas ao mesmo conglomerado comercial, um contrato de compartilhamento de dados pessoais que lhes permite acesso a uma base comum de dados.
Entretanto, com o início da vigência da Lei Geral de Proteção de Dados (LGPD), este tipo de contrato adquiriu, no Brasil, relevância ainda maior no contexto das relações comerciais e de parceria entre organizações. Tal relevância decorre da robusta proteção conferida pela Lei aos direitos dos titulares de dados pessoais (as pessoas, como eu e você), exigindo, portanto, que os contratos de transferência de dados estejam propriamente adequados – garantindo o respeito e proteção aos direitos dos titulares.
Vejamos, então, para que serve um contrato de transferência de dados pessoais, quais os seus tipos e como a sua empresa pode se adequar à LGPD.
Para que serve o Contrato de Transferência de Dados Pessoais?
Conforme já mencionamos, as transferências de bases de dados pessoais de clientes entre organizações não são um fenômeno novo. Contudo, com o desenvolvimento tecnológico dos últimos 20 anos, aliado à expansão das fronteiras do mundo globalizado, a transferência de dados entre instituições, dentro e fora de um mesmo país, tornou-se infinitamente mais fácil.
É nesse contexto de transferência simplificada de informações que se insere o contrato de transferência de dados pessoais. Seu objetivo é assegurar o compartilhamento de dados conforme as necessidades particulares de cada empresa, determinando, dentre outras coisas, elementos como:
- Quais dados serão objeto de compartilhamento;
- Se o compartilhamento é oneroso ou gratuito;
- A duração do compartilhamento;
- Quais as limitações de responsabilidade de cada parte;
- Os critérios de confidencialidade;
- Quais as obrigações de segurança da informação que cada uma das empresas deverá cumprir;
Assim, garante-se que todo o processo esteja dentro dos limites legais e que os direitos dos titulares estejam sendo respeitados. Esclarecida a finalidade de tais contratos, é importante conhecermos as espécies de contratos de transferência de dados pessoais.
Espécies de Contratos de Transferência de Dados Pessoais
São duas as espécies de contrato de transferência de dados pessoais, cada uma com suas particularidades. As espécies deste tipo de contrato são:
Contrato de transferência doméstica de dados:
A transferência doméstica de dados não é objeto de determinação expressa na LGPD. Todavia, cabe ressaltar que, muito embora a LGPD não a regulamente de maneira expressa, a transferência de dados doméstica ainda encontra-se restrita ao que dispõe a lei.
Essa subordinação é consequência direta de alguns elementos contidos na legislação, notadamente:
1. Dos princípios – especialmente o da transparência, do livre acesso e o da finalidade -, os quais norteiam a aplicação e interpretação da LGPD;
2. Do dever de atender, ao menos, à base legal do fornecimento de consentimento pelo titular;
3. Do dever de respeitar os direitos dos titulares.
Desse modo, para garantir o respeito às disposições contidas na lei, as empresas que desejem compartilhar dados pessoais com terceiros devem fazê-lo mediante o seguintes critérios mínimos:
a) obtenção do consentimento do titular para a transferência;
b) o fornecimento, quando solicitado, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
c) a previsão assertiva e expressa, destinada ao titular, sobre a finalidade para qual os dados coletados serão utilizados; e
d) o respeito aos direitos contidos no art. 18 da LGPD.
A falha em respeitar essas diretrizes legais, para além do prejuízo à imagem da empresa, pode acarretar em sanções administrativas e aplicação das multas previstas na LGPD. A exceção, neste caso, ocorre nos casos em que a informação que é objeto de transferência já foi tornada pública pelo titular.
Nesse contexto, um contrato de transferência doméstica de dados devidamente adequado à LGPD surge como uma ferramenta indispensável para reger os termos do compartilhamento de dados pessoais entre duas ou mais organizações, garantindo que a transferência ocorra dentro dos termos estabelecidos pela lei.
Contrato de transferência internacional de dados:
Já o contrato de transferência internacional de dados, por sua vez, dispõe sobre matéria diretamente disciplinada pela LGPD.
O artigo 5º da LGPD define transferência internacional de dados como “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”, mais adiante, em seu artigo 33, a lei apresenta as 9 (nove) hipóteses em que é permitida a transferência internacional de dados pessoais.
De acordo com a LGPD, são hipóteses em que a transferência internacional de dados é permitida:
1. para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
3. quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
4. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
5. quando a autoridade nacional autorizar a transferência;
6. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
7. quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
8. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
9. quando necessário para atender às hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Dentre tais hipóteses, as mais importantes para o setor privado são aquelas contidas nos incisos I, II e VIII. A hipótese destacada em I possibilita transferir dados internacionalmente sem que seja necessário ao controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos estabelecidos na LGPD – desde que reste confirmado que a legislação de proteção de dados do país de destino oferece proteção igual ou superior àquela conferida pela LGPD.
Já a hipótese destacada em II, por outro lado, trata de casos em que não haja esse arcabouço legislativo igual ou mais robusto do que o delimitado pela LGPD. Nesses casos, é necessário que o controlador garanta e ofereça provas da adequação da organização ao regime de proteção de dados previsto na LGPD.
Por fim, a hipótese destacada em VIII diz respeito à obtenção do consentimento informado do titular de dados para o compartilhamento internacional de suas informações. O titular, cumpre reiterar, deve ser corretamente informado da finalidade específica para qual seus dados serão utilizados, de modo a poder oferecer o seu consentimento do modo mais consciente possível.
Como adequar a minha empresa às exigências legais?
De maneira geral, antes de buscar a adequação dos seus contratos de transferência de dados à LGPD, é importante garantir que a sua empresa esteja em conformidade com a lei. Para isso, convém analisar se a estrutura interna, os processos internos e os demais contratos estão adequados às diretrizes e princípios previstos na LGPD, bem como às melhores práticas de Compliance.
O primeiro passo é a realização de um mapeamento de dados. O mapeamento de dados, em conjunto com alguns outros documentos da empresa, é o ponto de partida para a realização do diagnóstico sobre a privacidade e a segurança da informação. Você pode entender mais sobre como realizá-lo em nosso artigo sobre Mapeamento de Dados.
Do mesmo modo, como consequência direta da realização do mapeamento, é fundamental que a empresa forme:
a) uma estrutura de governança em privacidade capaz de monitorar a efetividade dos procedimentos de privacidade, treinar e capacitar a equipe interna, além de ser o canal de comunicação entre titulares, empresa e a ANPD; e
b) uma estrutura de governança de dados capaz de distribuir atribuições e responsabilidades entre os componentes da empresa que vai desde a organização processos para tomada de decisões, usando métodos de gestão dos dados até mesmo no gerenciamento de procedimentos para reporte de incidentes.
Após a verificação da adequação completa da empresa, convém garantir que os contratos encontram-se devidamente adequados. Aqui cabe assegurar a adequação do contrato de transferência de dados, tema deste artigo.
Além disso, para seguir os requisitos previstos na LGPD é necessário manter um Sistema Gestor de Segurança da Informação (SGSI) baseado nos requisitos tecnológicos e legais, e nos riscos a que a organização está submetida.
Para isso, é essencial realizar Análises de Vulnerabilidade periodicamente e seguir medidas preventivas de proteção de dados. Ademais, é necessário atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas.
Por fim, como o programa de adequação abrange uma análise completa sobre os processos que envolvem dados pessoais, as tecnologias utilizadas para a proteção desses dados e a conformidade documental em relação a nova legislação, é importante que tal processo seja realizado com a ajuda de um time de especialistas no assunto.