Ao observarmos a Lei Geral de Proteção de Dados (LGPD), temos que um Contrato de Transferência Internacional de Dados deve estabelecer medidas de segurança adequadas para garantir a proteção dos dados pessoais transferidos, bem como definir as responsabilidades das partes envolvidas na transferência de dados e garantir que os direitos dos titulares dos dados sejam protegidos.
Diante disso, a LGPD estabelece regras claras para o tratamento de dados pessoais no Brasil, incluindo a transferência internacional de dados. Conforme a lei, a transferência de dados pessoais para fora do Brasil só pode ser realizada em algumas situações, como, por exemplo, quando a transferência é necessária para a execução de um contrato ou para fins de cooperação jurídica internacional.
Ao realizar uma transferência internacional de dados, as empresas devem garantir que os dados sejam protegidos segundo as leis de proteção de dados do país de destino, que devem oferecer um nível adequado de proteção de dados. Caso contrário, é necessário estabelecer medidas de segurança adicionais para garantir a proteção dos dados pessoais transferidos.
Índice
Em quais casos a LGPD permite a transferência internacional de dados pessoais?
As hipóteses nas quais a transferência internacional de dados pessoais é permitida pela Lei Geral de Proteção de Dados são listadas em seu artigo 33:
- Quando os países ou organismos internacionais para os quais os dados estão sendo enviados proporcionam grau de proteção de dados pessoais adequado ao previsto na LGPD;
- Quando o Controlador oferecer e comprovar garantias do cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados de acordo com o nível de proteção exigido pela LGPD;
- Quando a transferência for necessária para cooperação jurídica internacional, de acordo com os instrumentos de direito internacional;
- Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular de dados ou de terceiros;
- Quando a transferência internacional for autorizada pela ANPD;
- Quando a transferência de dados resultar em compromisso assumido em acordo de cooperação internacional;
- Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;
- Quando o titular de dados tiver fornecido um consentimento específico e destacado para a transferência internacional de seus dados;
- Quando a transferência dos dados for necessária para cumprimento de obrigação legal ou regulatória pelo Controlador, para a execução de contratos dos quais o titular de dados seja parte e para o exercício regular de direitos em processo judicial.
Qual a importância de um Contrato de transferência internacional de dados?
Um contrato de transferência internacional de dados pode ser uma ferramenta útil para garantir que as partes envolvidas na transferência de dados cumpram com as exigências da LGPD. O contrato deve estabelecer claramente as obrigações das partes em relação à proteção de dados pessoais, incluindo medidas técnicas e organizacionais para evitar a perda, o acesso não autorizado ou a divulgação indevida dos dados.
O contrato também deve estabelecer as responsabilidades das partes em relação à notificação de violações de dados pessoais, definir um processo claro de resolução de disputas e garantir que todas as partes envolvidas cumpram as leis e regulamentos aplicáveis à transferência de dados.
Além disso, o contrato deve garantir que os direitos dos titulares dos dados sejam protegidos, incluindo o direito de acessar, retificar ou excluir seus dados pessoais. Isso é especialmente importante quando se trata de transferências de dados pessoais sensíveis, como informações sobre a saúde ou a orientação sexual de uma pessoa.
Quais os requisitos essenciais dentro do contrato de transferência internacional de dados?
Em um contrato de transferência internacional de dados, algumas cláusulas são essenciais para garantir a segurança e a legalidade da transferência de dados pessoais. Dentre as cláusulas mais importantes, podemos destacar:
- Finalidade da transferência de dados: O contrato deve especificar a finalidade para a qual os dados serão transferidos, deixando claro o objetivo da transferência.
- Medidas de segurança: O contrato deve estabelecer medidas de segurança adequadas para garantir a proteção dos dados pessoais transferidos, incluindo medidas técnicas e organizacionais para evitar a perda, o acesso não autorizado ou a divulgação indevida dos dados.
- Responsabilidades: O contrato deve definir claramente as responsabilidades das partes envolvidas na transferência de dados, incluindo as obrigações de notificação em caso de violação de dados.
- Direitos dos titulares dos dados: O contrato deve garantir que os direitos dos titulares dos dados sejam protegidos, incluindo o direito de acessar, retificar ou excluir seus dados pessoais.
- Lei aplicável: O contrato deve estabelecer qual lei será aplicável para reger a transferência de dados, incluindo a lei de proteção de dados do país de origem e do país de destino dos dados.
- Cláusula de rescisão: O contrato deve prever a possibilidade de rescisão do contrato em caso de violação das suas cláusulas.
- Processo de resolução de disputas: O contrato deve estabelecer um processo claro de resolução de disputas em caso de problemas relacionados à transferência de dados.
- Consentimento: Se o consentimento do titular dos dados for necessário para a transferência de dados, o contrato deve incluir uma cláusula específica que comprove que o titular dos dados foi informado e deu seu consentimento livre e inequívoco.
Essas são algumas das cláusulas essenciais que devem ser incluídas em um contrato de transferência internacional de dados. No entanto, é importante lembrar que o contrato deve ser personalizado conforme as necessidades específicas das partes envolvidas na transferência de dados e estar em conformidade com as leis de proteção de dados aplicáveis.
Quais os riscos da não aplicação das cláusulas nos contratos de transferências?
Caso um contrato de transferência internacional de dados não tenha as cláusulas essenciais para garantir a proteção dos dados pessoais, isso pode acarretar diversas implicações negativas, tais como:
- Sanções administrativas: As autoridades de proteção de dados podem impor sanções administrativas às partes envolvidas na transferência de dados caso as cláusulas de proteção de dados não estejam incluídas no contrato ou se as medidas de segurança não forem adequadas.
- Responsabilidade civil: Caso ocorra uma violação de dados durante a transferência, as partes envolvidas podem ser responsabilizadas civilmente pelos danos causados aos titulares dos dados
- Imagem e reputação da empresa: Uma violação de dados pode afetar a imagem e a reputação das empresas envolvidas na transferência, o que pode levar a uma perda de confiança do público.
- Perda de negócios: Se uma empresa não cumprir as exigências de proteção de dados, pode perder negócios com parceiros comerciais que exijam cláusulas específicas de proteção de dados em seus contratos.
Assim, é fundamental que as cláusulas essenciais para garantir a proteção dos dados pessoais sejam incluídas em contratos de transferência internacional de dados, a fim de evitar essas implicações negativas e garantir a conformidade com as leis de proteção de dados aplicáveis.
Por fim, um contrato de transferência internacional de dados que segue as diretrizes estabelecidas na LGPD deve garantir que a transferência de dados seja realizada de forma segura e em conformidade com as leis de proteção de dados aplicáveis, devendo o contrato estabelecer medidas de segurança adequadas para proteger os dados pessoais transferidos, definir as responsabilidades das partes envolvidas e garantir que os direitos dos titulares dos dados sejam protegidos.
