Como funciona o Tratamento de Dados Pessoais por empresas internacionais

Com o aumento das operações globais e o compartilhamento de informações através das fronteiras, preservar a privacidade dos titulares e assegurar a segurança das informações tem sido cada vez mais desafiador

Atualmente, as legislações de proteção de dados de diversos países nos permitem inferir que o comprometimento com a segurança dos dados dos titulares, independentemente da sua origem ou nacionalidade, deve ser o mesmo em qualquer local do mundo.

Não podemos negar que, ano após ano, as pessoas estão mais conscientes e preocupadas com as formas com as quais seus dados pessoais têm sido tratados. A seguir, listamos alguns exemplos de operações de transferência internacional de dados pessoais:

Exemplos de operações que envolvem a transferência internacional de dados pessoais:

Compartilhamento de base de dados entre empresas multinacionais Empresas multinacionais normalmente transferem dados pessoais de funcionários, clientes, e fornecedores entre suas filiais/afiliadas e a matriz para gestão centralizada de recursos humanos, atendimento ao cliente, ou outras funções corporativas.
Plataformas de Redes Sociais Usuários de redes sociais como Facebook, Instagram, Twitter, e LinkedIn geralmente têm seus dados pessoais transferidos para servidores localizados nos países em que estão os principais centros de processamento de dados dessas empresas.
Plataformas de Marketing e Publicidade Digital As plataformas de marketing e publicidade digital, tais como Google Ads e Facebook Ads, transferem dados pessoais para análise e segmentação em servidores localizados internacionalmente.
Plataformas de Videoconferência Alguns serviços de videoconferência, a exemplo do Zoom e do Microsoft Teams, transferem dados pessoais para centros de dados internacionais para garantir a conectividade e a funcionalidade dos serviços.
Serviços de Nuvem (Cloud Computing) Empresas que utilizam serviços de armazenamento em nuvem fornecidos por provedores internacionais, como Amazon Web Services (AWS), Google Cloud, ou Microsoft Azure, frequentemente transferem dados pessoais para centros de dados localizados em outros países.
Serviços de Email e Comunicações Provedores de serviços de email, como Gmail (Google) e Outlook (Microsoft), transferem dados pessoais para seus centros de dados internacionais para garantir a prestação contínua dos serviços.
Software como Serviço (SaaS) Algumas plataformas/aplicativos SaaS, como Salesforce, HubSpot, ou Slack, frequentemente realizam a transferência de dados pessoais para servidores localizados fora do Brasil, onde esses serviços têm suas infraestruturas principais.

Assim como uma empresa brasileira está obrigada a se adequar às leis de proteção de dados do país em que estiver atuando, as empresas internacionais que realizam operações de tratamento de dados pessoais de pessoas naturais, brasileiras ou não, que estejam em território nacional também devem observar a Lei Geral de Proteção de Dados (LGPD) e demais normas de proteção de dados aplicáveis, tal como o Marco Civil da Internet (MCI), ainda que não estejam fisicamente sediadas no Brasil.

De acordo com a LGPD, a sua aplicabilidade alcança qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do país de sua sede ou do país onde estejam localizados os dados, quando:

  • A operação de tratamento seja realizada no território nacional;
  • A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
  • Os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

E neste mesmo sentido, o Marco Civil da Internet (MCI) também impõe a observância da lei brasileira e a obrigatoriedade de as empresas prestarem informações que permitam verificar o seu cumprimento. Veja:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.

§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.

Desta forma, podemos concluir que o fato de uma empresa internacional ter um site, uma plataforma ou um aplicativo desenvolvido para o público brasileiro, por meio do qual são realizadas coletas, processamentos, compartilhamentos, armazenamentos, inclusive em nuvem - enfim, qualquer operação que envolva dados pessoais de pessoas físicas que estejam em território brasileiro, direta ou indiretamente - é suficiente para sujeitá-la às exigências das leis brasileiras aplicáveis à proteção de dados.

PENALIDADES E O REGULAMENTO DA DOSIMETRIA APROVADO PELA ANPD

Em caso de descumprimento da LGPD ou da ocorrência de incidentes de segurança, a exemplo de acessos não autorizados a dados pessoais, vazamentos ou qualquer violação desses dados, as empresas internacionais e/ou nacionais estarão sujeitas às penalidades previstas no artigo 52 e seguintes, da referida lei.

  • Advertência com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total do tópico acima;
  • publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Essas sanções serão aplicadas após o devido procedimento administrativo, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados parâmetros e critérios estabelecidos no § 1º do artigo 52 da LGPD.

Além disso, é importante mencionar que, no exercício da sua função regulatória, a ANPD publicou, em 24 de fevereiro de 2023, a Resolução CD/ANPD nº 4 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, o qual tem por objetivo “estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa”.

Dentre outras disposições importantes trazidas pelo referido regulamento, e além dos critérios para aplicações das penalidades, vale a pena destacar que nos Apêndices estão previstas as fórmulas de cálculo das multas, as alíquotas aplicáveis, os parâmetros para a fixação do grau do dano e os valores mínimos a serem observados para adequação da sanção de multa simples, quais sejam:

Fonte: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077.

Acesso em 19 fev. 2024.

CASOS CONCRETOS

Em linha com o previsto no Marco Civil da Internet, a 5ª Turma do Supremo Tribunal de Justiça (STJ) reiterou que as empresas fornecedoras de serviços de aplicação de internet no Brasil sujeitam-se à lei nacional mesmo que sediadas no exterior.

Na origem, o Juízo da 1ª Vara Federal de Criciúma (SC) determinou que a empresa fornecesse conteúdo integral das redes sociais de dois investigados por abuso sexual. A empresa, por sua vez, afirmou que os serviços eram gerenciados por sua controladora, sediada nos Estados Unidos, e que não caberia à filial brasileira cumprir a referida ordem judicial. Na sequência, e empresa requereu fossem utilizados meios de cooperação internacional, em específico o Acordo de Assistência Judiciária em Matéria Penal entre o Brasil e os Estados Unidos.

O Juízo de 1ª instância indeferiu o pedido da empresa e aplicou-lhe uma multa diária, de forma escalonada, até o limite de R$50.000,00. Inconformada, a empresa impetrou Mandado de Segurança perante o Tribunal Regional Federal da 4ª Região (TRF-4), mas não obteve sucesso, pois o STJ manteve o entendimento do Juízo de origem.

Destacamos a seguir alguns trechos do entendimento da 5ª Turma do STJ no mencionado julgado:

“O que se espera de empresas que prestam serviço no Brasil é o fiel cumprimento da legislação pátria e cooperação na elucidação de condutas ilícitas, especialmente quando regularmente quebrado por decisão judicial o sigilo de dados dos envolvidos."

"Empresas que prestam serviços de aplicação na internet em território brasileiro devem necessariamente se submeter ao ordenamento jurídico pátrio, independentemente da circunstância de possuírem filiais no Brasil."

Leia a notícia publicada no site do STJ aqui.

Leia a decisão na íntegra aqui.

Além disso, em um outro caso, julgado em novembro de 2020, a 3ª Turma do STJ discutiu se uma aplicação hospedada fora do Brasil não poderia ser alcançada pela jurisdição nacional ou se as leis brasileiras não seriam aplicáveis às suas atividades.

Um dos autores da ação recebeu ameaças por meio de mensagens eletrônicas enviadas por meio de uma conta de e-mail provida pela Microsoft, e acionou a referida empresa com o propósito de identificar o responsável das ameaças.

Em 1ª instância, a Microsoft foi condenada a fornecer os dados solicitados pelos autores, sob pena de multa diária de R$ 10.000,00. Em resposta, arguiu seria impossível cumprir a ordem judicial, pois importaria violação da legislação dos Estados Unidos da América, local de onde teria ocorrido o acesso à mencionada conta de e-mail.

O STJ negou provimento ao recurso interposto pela Microsoft e, na ocasião, reforçou os seguintes entendimentos da Corte:

“Tem-se a aplicação da lei brasileira sempre que qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet ocorra em território nacional, mesmo que apenas um dos dispositivos da comunicação esteja no Brasil e mesmo que as atividades sejam feitas por empresa com sede no estrangeiro. Quando a alegada atividade ilícita tiver sido praticada pela internet, independentemente de foro previsto no contrato de prestação de serviço, ainda que no exterior, é competente a autoridade judiciária brasileira caso acionada para dirimir o conflito, pois aqui tem domicílio a autora e é o local onde houve acesso ao sítio eletrônico onde a informação foi veiculada, interpretando-se como ato praticado no Brasil, aplicando-se à hipótese o disposto no artigo 88, III, do CPC.”

Leia a notícia publicada no site do STJ aqui.

Leia a íntegra da decisão aqui.

MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO PARA GARANTIR A SEGURANÇA NAS OPERAÇÕES TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS

Conforme mencionado acima, a transferência internacional de dados pessoais é uma prática extremamente comum nas operações comerciais e tecnológicas modernas. De acordo com o artigo 33 da LGPD, as transferências internacionais de dados pessoais serão permitidas nas seguintes condições:

  • Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD
  • Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, na forma de cláusulas contratuais específicas, normas corporativas globais, selos, certificados e códigos de conduta regularmente emitidos;
  • Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  • Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Quando a autoridade nacional autorizar a transferência;
  • Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  • Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, ressalvadas as hipóteses previstas na legislação;
  • Quando o titular tiver fornecido seu consentimento específico e destacado para a transferência, com informação prévia sobre o caráter internacional da operação.
  • As empresas que realizam transferências internacionais de dados pessoais devem assegurar que os países destinatários ofereçam um nível de proteção de dados adequado e compatível com as operações.
  • Enumeramos algumas medidas, conforme as melhores práticas de proteção de dados, que podem ser adotadas para que as empresas transfiram dados para o exterior de maneira segura e em conformidade com a LGPD e outras legislações de proteção de dados:
  • Avaliar se a transferência é estritamente necessária para cumprimento da finalidade desejada;
  • Certificar se a transferência será feita para país com nível de adequação coerente com aquele estabelecido pela LGPD, conforme avaliação da ANPD;
  • Certificar se o Controlador oferece garantias para o cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados previstos na LGPD, e se será possível comprová-las;
  • Certificar se a transferência tem como base alguma outra hipótese autorizativa prevista nos incisos III a IX do art. 33 da LGPD;
  • Estabelecer cláusulas contratuais específicas para regular a transferência internacional de dados pessoais, a fim de garantir o cumprimento dos princípios, dos direitos dos titulares e as demais disposições da LGPD;
  • Elaborar um Aviso/Política de Privacidade e Termos de Consentimento, se aplicáveis, especificando quais dados a empresa coleta, como e para quais finalidades eles são usados, com quais terceiros serão compartilhados (se houver compartilhamento), a fim de garantir a transparência;
  • Nomear um Encarregado de dados, também conhecido como Data Protection Officer (DPO), quando aplicável, para atuar como ponto de contato com a ANPD e com os titulares dos dados;
  • Adotar medidas técnicas (ex.: controles de acesso, criptografia, utilização de firewalls e programas de segurança da informação/cibernética, entre outras) e organizacionais (ex.: implementar políticas internas, tais como de segurança da informação, gestão de incidentes e avaliação de riscos, etc., realizar treinamentos de colaboradores, entre outras).

A combinação de medidas técnicas, organizacionais e de governança permite que as empresas criem uma abordagem abrangente para garantir a proteção de dados pessoais que sejam objetos de transferências internacionais e cumprir com as exigências legais.

PRÓXIMOS PASSOS DA ANPD

Estamos acompanhando de perto as publicações da ANPD que, no exercício das atribuições contidas nos artigos 33, 35 e 36 da LGPD, submeteu uma minuta de uma resolução referente ao Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais à consulta pública.

De forma resumida, a minuta da resolução aborda os principais pontos de competência da ANPD em matéria de transferência internacional, conforme previsto na LGPD: disciplinar a transferência de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro – atendendo estes ao padrão mínimo de proteção de dados pessoais e segurança da informação ou não.

Além disso, estão dispostos na minuta alguns modelos de Cláusulas-Padrão Contratuais (CPC), o fluxo de aprovação das Cláusulas Específicas (CE) e de Normas Corporativas Globais (NCG), previstas na LGPD como mecanismos para garantir a proteção de dados nas transferências de dados pessoais para países considerados como não adequados.

Por fim, o texto apresentado aponta um mecanismo para a Decisão de Adequação, que determinará como a ANPD definirá os países entendidos como adequados para permissão de transferências internacionais. Até a data deste artigo, a resolução ainda não foi aprovada.

Enquanto isso, você pode acessar o arquivo com a minuta da Resolução aqui.

Nesse sentido, contar com uma assessoria jurídica especializada é fundamental para garantir que o tratamento de dados está sendo feito de forma juridicamente adequada, questão que auxiliará na mitigação eficaz de riscos ao seus negócios. Portanto, procure um escritório especializado de sua confiança e se prepare corretamente para evitar prejuízos.

Por Laura Tostes