Artigo 33: As Regras para a Transferência Internacional de Dados

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;

III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos;

IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V - quando a autoridade nacional autorizar a transferência;

VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;

VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação; ou

IX - quando necessário para atender as hipóteses previstas nos incisos II (cumprimento de obrigação legal), V (execução de contrato) e VI (exercício regular de direitos) do art. 7º desta Lei.

O que isso significa na prática?

No mundo digital, os dados não respeitam fronteiras. Este artigo estabelece que você não pode simplesmente enviar dados pessoais para outro país sem um motivo válido e um mecanismo de proteção. A LGPD “viaja” junto com os dados para garantir que a proteção do titular não seja perdida.

A transferência internacional de dados só pode acontecer em situações específicas, como:

1. Destino Seguro: Se a ANPD determinar que o país de destino tem um nível de proteção de dados compatível com o do Brasil.

2. Garantias Contratuais: Na ausência da opção acima, a empresa que envia os dados deve garantir a proteção através de instrumentos como cláusulas-padrão contratuais ou normas corporativas globais. Este é o mecanismo mais comum para as empresas.

3. Hipóteses Específicas: A lei também permite a transferência em casos pontuais e necessários, como para cumprir um contrato a pedido do titular ou com o consentimento claro e específico do titular para aquela transferência.

Como se Aplica ao seu Negócio?

É muito provável que sua empresa realize transferências internacionais de dados, mesmo sem perceber.

☁️ Uso de Serviços em Nuvem: Se sua empresa usa serviços como Amazon Web Services (AWS), Google Cloud ou Microsoft Azure com servidores fora do Brasil, você está realizando uma transferência internacional. É fundamental que seu contrato com esses provedores contenha as cláusulas-padrão contratuais.

CRM Ferramentas de Marketing e Vendas: Utilizar plataformas como Salesforce ou HubSpot, cujos servidores geralmente ficam nos EUA ou na Europa, também constitui uma transferência internacional. Verifique os termos de serviço e o adendo de processamento de dados (DPA) para garantir que as garantias necessárias estão em vigor.

🏢 Grupos Multinacionais: Se sua empresa é parte de um grupo econômico e compartilha dados com a matriz ou filiais em outros países, essa transferência precisa ser amparada por um mecanismo legal, como as normas corporativas globais.