AWS, Azure, Digital Ocean… são várias as opções na Nuvem para quem quer ter seu software funcionando de forma mais eficiente e barata.
Esses serviços muitas vezes oferecem a possibilidade de hospedagem de dados fora do país (quem nunca escolheu a Virgínia como região da AWS que atire a primeira pedra!), que acabam por ser significativamente mais baratos.
Diante dessa situação, muitas empresas se veem diante de um dilema: após a LGPD, eu posso utilizar esses serviços, armazenando meus dados fora do país?
Para responder a essa pergunta e ajudar você a economizar dinheiro com a sua cloud, trazemos algumas dicas e apontamentos.
O que diz a LGPD
De forma simples, para a LGPD, a transferência internacional de dados pessoais ocorre sempre que algum dado pessoal (referente a uma pessoa física, via de regra) é enviado, armazenado ou acessado de um país estrangeiro. Assim, o simples armazenamento fora do país já caracteriza a transferência internacional.
Para que essa transferência internacional seja possível, é necessário que haja uma situação autorizativa trazida pela LGPD. Ao todo, no texto da lei, são 9 hipóteses que permitem essa transferência. As mais importantes são duas: decisão de adequação e cláusulas padronizadas.
Decisões de adequação são decisões emitidas pela Autoridade Nacional de Proteção de Dados que, na prática, listam uma série de países nos quais a transferência internacional pode ocorrer de forma livre, desde que haja uma garantia, nas legislações desses países, dos direitos dos titulares.
Atualmente, não existe esta lista de países. Mas, muito provavelmente, pelo rigor da legislação, é provável que, no futuro, os países da Europa sejam considerados adequados e, portanto, a transferência para lá seja menos burocrática.
Cláusulas padronizadas, de forma simples, são cláusulas elaboradas pela ANPD que trazem uma série de obrigações e que devem constar nos contratos firmados entre as Partes que irão transferir internacionalmente os dados pessoais.
Contudo, esse mecanismo ainda não foi regulamentado pela ANPD.
O que fazer atualmente?
Como se vê, muitos pontos relativos à transferência internacional de dados pessoais ainda não foram definidos pela ANPD.
Nesta situação, como não há, ainda, regulamentação dada pela ANPD, entende-se que esta não poderia aplicar as sanções previstas, ainda que a lei já esteja totalmente em vigor, o que não implica, entretanto, que a transferência internacional possa ser feita de qualquer maneira.
Na verdade, o melhor dos cenários, diante desse contexto, seria identificar a real necessidade da transferência internacional e, após ponderação, caso se entenda como necessária, optar-se por países que já possuem uma legislação mais protetiva a nível de dados pessoais (a exemplo de grande parte dos países da Europa).
Caso não seja financeiramente viável transferir para esses países, optando-se por países com legislações menos protetivas (a exemplo dos Estados Unidos), deve-se adotar algumas medidas:
- Do ponto de vista jurídico: transparência ao titular dos dados pessoais, cláusulas contratuais que preveem que a empresa que armazenará os dados vai tratá-los de forma confidencial e de acordo com o exigido pela legislação, bem como mapeamento dos dados que serão transferidos internacionalmente;
- Do ponto de vista técnico: implementar algumas medidas para proteção da confidencialidade dos dados (criptografia, backup, 2FA, logs para auditoria, limitação de acesso etc).
Com isso, enquanto pende a regulamentação da ANPD, a transferência internacional poderá ser realizada de forma um pouco mais segura, tanto jurídica quanto tecnicamente.
É sempre bom relembrar que a transferência internacional dependerá de cada caso, requerendo uma análise ponderada da empresa que a realizará. Além disso, por conta do princípio da prestação de contas, é essencial que a empresa organize de forma documental como essa ponderação foi realizada, as medidas que foram tomadas, as normas que foram levadas em consideração para a transferência etc.
Assim, além de economizar custos, a empresa consegue se resguardar.