O inciso XV do art. 5º da Lei Geral de Proteção de Dados define a transferência internacional de dados: “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.
Considerando as regras de aplicação da lei no espaço, a existência de operações de tratamento fora do Brasil também é regulada pela LGPD, caso a coleta dos dados pessoais tenha ocorrido no país (art. 3º. III) ou a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional (art. 3º. II, da LGPD).
Além disso, também existem regras específicas na LGPD para a transferência internacional de dados, ou seja, a remessa de dados pessoais tratados no Brasil para o exterior.
A caracterização da transferência internacional de dados significa que a atividade deve observar as regras previstas nos arts. 33/36, especialmente com o condicionamento de sua efetivação à comprovação da existência de uma das bases legais previstas no art. 33:
1) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira;
2) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD;
3) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de Direito Internacional;
4) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular dos dados pessoais ou de terceiros;
5) quando a autoridade nacional autorizar a transferência;
6) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
7) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, com a observância da publicidade prevista no inciso I do art. 23 da LGPD;
8) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
9) ou quando for necessária para atender as hipóteses previstas nos incisos II, V e VI do art. 7º da LGPD (cumprimento de obrigação legal ou regulatória pelo controlador; execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido dele; e para o exercício regular de direitos em processo judicial, administrativo ou arbitral).
As bases legais são para a transferência internacional de dados pessoais são alternativas, ou seja, o agente de tratamento pode justifica-la em apenas uma delas, que não precisa ser cumulada com outras.
Da mesma forma que as bases legais para o tratamento de dados pessoais (art. 7º) e de dados pessoais sensíveis (art. 11), o consentimento é apenas uma de suas hipóteses, ou seja, a transferência internacional de dados pessoais pode ser concretizada ainda que não haja a concordância expressa do titular, desde que se enquadre em uma das outras bases.
No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “tratamento transfronteiriço” (cross-border processing) de duas formas: “a) O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou b) O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro” (art; 4º.23).
