Pensando em vender seu produto ou serviço para a Europa? Fizemos esse passo a passo para entenderem o que é preciso para iniciar uma transferência internacional de dados pessoais para o Brasil, de acordo com a GDPR (General Data Protection Regulation).
Segundo a legislação europeia, qualquer transferência de dados de moradores do território da União Europeia ou Reino Unido, deve respeitar alguns princípios e regras gerais. Segundo a legislação, esta transferência apenas poderá ocorrer nos casos os quais:
- A comissão tenha determinado que o país recebedor dos dados tenha um nível adequado de proteção de dados.
Atualmente são os países considerados com nível adequado de proteção: Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coréia, Suíça, Reino Unido sob o GDPR e o LED, e Uruguai.
- Caso a regra (item anterior) não seja possível (como é ainda o caso do Brasil e Estados Unidos - uma vez que o privacy shield não está mais válido), a transferência poderá ocorrer se o controlador ou operador forneceu salvaguardas adequadas e na condição de que direitos do titular dos dados são aplicáveis e que existem recursos legais eficazes para que este faça valer seus direitos. Essas condições podem ser previstas, sem autorização específica de uma autoridade supervisora, por meio de:
a) Um instrumento juridicamente vinculativo e executório entre autoridades ou organismos públicos;
b) Regras corporativas vinculativas nos termos do artigo 47.º da GDPR. Essa opção deve ser enviada para uma autoridade para aprovação. Pode ser um caminho para viabilizar a transferência internacional.
c) Cláusulas padrão de proteção de dados adotadas pela Comissão em conformidade com o procedimento de exame a que se refere o artigo 93.º, n.º 2: Essas cláusulas devem ser colocadas em todos os contratos com terceiros que preveem transferência internacional de dados de membros da UE.
d) Um código de conduta aprovado nos termos do artigo 40.º, juntamente com os compromissos vinculativos e exequíveis do responsável pelo tratamento ou do processador no país terceiro para aplicar as salvaguardas adequadas, incluindo no que diz respeito aos direitos dos titulares dos dados; ou
e) Um mecanismo de certificação aprovado nos termos do artigo 42.º, juntamente com os compromissos vinculativos e exequíveis do responsável pelo tratamento ou do processador no país terceiro para aplicar as salvaguardas adequadas, incluindo no que diz respeito aos direitos dos titulares dos dados.
- Ainda, a transferência internacional poderá acontecer em alguma das exceções às regras anteriormente citadas, que são:
a) Consentimento explícito do titular;
b) Quando necessário para execução de um contrato;
c) Quando é necessário para defesa de procedimentos legais;
d) Quando é necessário para a proteção de interesses vitais;
e) Quando é necessário para transferência de registro de informação pública;
f) Quando é legítimo interesse do controlador.
- TIA (Transfer Impact Assessment) é um documento que tem o objetivo de realizar uma avaliação das proteções de privacidade das leis e regulamentos de um país destinatário fora da UE/EEE. De acordo com o tribunal, deve-se avaliar as leis do país terceiro (incluindo compromissos internacionais) e se existem autoridades de supervisão independentes. No entanto, pode ser necessária uma avaliação mais ampla para avaliar adequadamente o nível de proteção no país terceiro. Isso pode incluir responder às seguintes perguntas:
a) Que tipo de dados estão sendo transferidos? São de natureza sensível? Qual é a sua origem?
b) Tomou alguma medida (técnica e organizacional) para proteger os dados?
c) Que leis, regulamentos ou outras regras nacionais se aplicam no país terceiro? Como eles são exercidos na prática, principalmente em relação aos seus dados?
Por fim, é possível que a empresa tenha que pagar taxas de proteção de dados para as Autoridades dos países que quer tratar dados, um exemplo é a Data Protection Fee da ICO (Autoridade Britânica).
Dessa forma, é importante que tenham um jurídico especializado em proteção de dados pessoais para ajudar com adequação à GDPR e com a viabilização da transferência internacional de dados pessoais.
Por Laís Arduini