A Importância das Normas Corporativas Globais para Transferência Internacional de Dados Pessoais entre empresas coligadas

Os recentes marcos legais sobre proteção de dados pessoais pelo mundo a fora impactaram na adequação de modelos de negócios e procedimentos administrativos internos, especialmente em corporações multinacionais. Assim, em um cenário em que é comum o compartilhamento de dados entre empresas coligadas, localizadas em diferentes países, como garantir a conformidade da transferência de dados pessoais coletados em território brasileiro para além de suas fronteiras?

 

A internacionalização de negócios, implantação de operações crossborder e a otimização de recursos, dentre outros fatores, resultaram em um forte movimento de compartilhamento de dados pessoais entre empresas de um mesmo grupo econômico ou de outra forma coligadas entre si. São dados de clientes, potenciais clientes, empregados e seus dependentes, representantes legais, sócios, acionistas, prestadores de serviços…

 

Em linha com outras legislações sobre o tema privacidade e proteção de dados pessoais, a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709/2018) endereçou a transferência internacional de dados pessoais, determinando em seu art. 33 as hipóteses em que esta é permitida, dentre as quais, para operações entre empresas coligadas destacam-se:

 

i.             para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;

ii.            quando o controlador oferecer e comprovar garantias do cumprimento dos princípios, dos direitos dos titulares de dados e regime de proteção de dados pessoais, conforme determinado na LGPD (cláusulas contratuais específicas, cláusulas-padrão, normas corporativas globais, selos, certificados e códigos de conduta regulamente emitidos);

iii.           quando fornecido o consentimento específico do titular dos dados;

iv.           quando necessário para: o cumprimento de obrigação legal ou regulatória do controlador, execução de contrato, ou procedimentos preliminares relacionados a contratos em que o titular de dados seja parte, o exercício regular de direitos em processo judicial, administrativo ou arbitral.

 

Considerando as hipóteses determinadas pela lei e a necessidade contínua de novos procedimentos e processos em diferentes áreas, que podem resultar em novas demandas de compartilhamento internacional de dados, a estruturação de normas corporativas globais de tratamento de dados pessoais se mostra como uma importante ferramenta para a adequação das empresas coligadas à LGPD e a outras legislações locais.

 

Nesse contexto, o desafio é a edição de normas gerais, que enderecem não apenas a transferência internacional de dados, mas ao tratamento de dados pessoais de forma geral por todas as empresas envolvidas, independentemente da sua localização geográfica. Para tanto, recomenda-se que se tenha como padrão as melhores práticas internacionais de proteção de dados e segurança da informação, logicamente adequadas à realidade do grupo empresarial e do seu setor de atuação.

 

As normas gerais devem trazer as garantias do correto tratamento de dados pessoais, observados obrigatoriamente os princípios elencados no art.6 da LGPD e os direitos dos titulares dos dados previstos, em especial, nos art. 9º, 17 e seguintes da LGPD. Em resumo, é fundamental a transparência sobre os dados tratados, a finalidade, o modo e os meios de tratamento, as bases legais adequadas, as medidas de segurança, os responsáveis pelas atividades, incluindo as situações de transferência internacional de dados entre coligadas e com terceiros (com especial atenção para o compartilhamento de dados com grandes provedores de serviços de nuvem).  Devem ainda, servir como um guia sobre as obrigações, cuidados e forma de conduta de cada um dos envolvidos no tratamento dos dados e efeitos delas decorrentes. Mesmo situações que envolvam bases (hipóteses) legais diversas, podem, prudencialmente, estar abarcadas pelas normas gerais.

 

Está-se diante de um documento “guarda-chuva” que, mesmo quando houver necessidade da edição de documentos locais, servirá de base para tal. É a padronização das regras gerais, a fim de trazer maior solidez e segurança ao tratamento de dados pessoais entre empresas coligadas.

 

Lembrando que, nos termos do art. 35 da LGPD, as normas corporativas estão sujeitas a análise da ANPD, que avaliará as garantias ofertadas por esses instrumentos. Mas, documentos robustos certamente não encontrarão barreiras para a sua aprovação.

 

Contudo, entende-se a adoção de normas corporativas globais, para além de garantir a conformidade da transferência internacional de dados com a LGPD, como um importante instrumento de disciplina do tratamento de dados pessoais por empresas coligadas.