Transferência internacional de dados pessoais:

uma análise crítica entre o regulamento geral de

proteção de dados pessoais da União Europeia
(RGPD) e a Lei Brasileira de Proteção de Dados
Pessoais (LGPD)

International transfer of personal data: a critical

analysis between the general data protection
regulation of the European Union (GDPR) and the
Brazilian General Data Protection Law (LGPD)

PAULO CÉSAR TAVARES FILHO

Pesquisador no DTE (UFPE). Graduado pela Universidade Católica de Pernambuco
(UNICAP). Alumni da Escola de Governança da Internet (EGI) e Data Privacy Br.
Advogado.
Paulo.tavares@ezprivacy.com.br

LUIZ FERNANDO UEHARA

Pós-Graduado em Direito Internacional pela PUC-SP. Graduado pelo Mackenzie.
Advogado.
luizuehara@gmail.com.

RESUMO: Diante de um cenário em que os dados possuem valor econômico e o

imperativo dos novos negócios faz crescer uma maior preocupação sobre a tutela dos dados
pessoais, o estudo sobre o fluxo internacional de dados vem se tornando cada vez mais
necessário. Nesse sentido, o presente trabalho analisa brevemente os elementos e princípios da
transferência internacional de dados a fim de entender como vem sendo desenvolvido o
inventário sistemático dessa matéria a nível global. Por fim, faz-se uma análise comparada
sobre como o Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e a recém-
sancionada Lei Brasileira de Proteção de Dados (LGPD) domesticaram o tema da transferência
internacional de dados.
PALAVRAS-CHAVE: Proteção de dados ‒ Transferência internacional de dados pessoais ‒
Regulamento Geral de Proteção de Dados (RGPD) ‒ Lei Brasileira de Proteção de Dados
Pessoais (LGPD).
ABSTRACT: In a world in which the data have economic value and the imperative of new
form of businesses raise a greater concern regarding the protection of personal data, the study
on the international data flow becomes imperative. To that end, this work briefly analyses the
elements and principles of international data transfer in order to understand how, at global level,
the systematic inventory of such matter is developing. Finally, a comparative analysis is made
on how the European Data Protection General Regulation (GDPR) and the recently enacted
Brazilian Data Protection Law (LGPD) dealt with the subject of international data transfer.
KEYWORDS: Data protection ‒ International transfer of personal data ‒ General
Regulation of Data Protection (RGPD) ‒ Brazilian Law of Protection of Personal Data.

Página 1 de 14
1. Introdução
A proteção de dados pessoais é um mecanismo jurídico usualmente definido como o
direito do cidadão de controlar as suas próprias informações e decidir sobre elas1.
A partir disso, é importante ressaltar que o debate sobre uma efetiva tutela à proteção de
dados pessoais ocorre em um cenário internacional bastante conflituoso. Mesmo que alguns
países sejam conscientes de que a proteção de dados pessoais é um direito fundamental
autônomo, a exemplo do que consta na Carta de Direitos Fundamentais da Comunidade
Europeia, ainda assim, é difícil equilibrar a balança de interesses que vão desde o respeito da
presunção geral desse direito, a questões como interesses de mercado e exigências estatais no
âmbito da segurança interna e internacional2.
Por essa razão, novos textos normativos vêm sendo criados e debatidos para acompanhar
as exigências de proteção da privacidade na guarda das informações pessoais tratadas por
sistemas de informação.
Assim, é importante destacar a existência de uma dimensão internacional na disciplina de
proteção de dados pessoais, não apenas para se ter uma perspectiva global da matéria, mas
porque uma normativa que trate do assunto deve incluir em seu escopo o fato de ser permeável
a influências externas de outras jurisdições, tendo em vista que a eficácia de uma lei de proteção
de dados pessoais é diretamente proporcional a como se dá o processo de harmonização deste
instrumento diante das legislações que tratam do tema.
Em maio de 2018, o mundo presenciou a entrada em vigor do Regulamento Geral de
Proteção de Dados Pessoais da União Europeia (RGPD). Tido como um dos mais importantes
marcos regulatórios sobre o tema, impactou de forma expressiva a sociedade e o mercado de
dados3, o que acabou influenciando fortemente a discussão e a criação de legislações
semelhantes em outros países.
Logo após, em agosto de 2018, levando em consideração o trabalho e esforço político de
vários setores da sociedade4, o Presidente da República do Brasil sancionou a Lei Brasileira de
Proteção de Dados Pessoais (LGPD).
Dessa forma, diante do cenário apontado, o presente trabalho desenvolve uma leitura
comparada entre o RGPD e a LGPD no tocante ao capítulo referente à transferência
internacional de dados, identificando diferenças e semelhanças, bem como, o comportamento
de tais instrumentos normativos diante dos desafios, no âmbito internacional, para a promoção
da segurança jurídica no campo da proteção de dados pessoais.
O estudo será dividido em duas etapas. Em um primeiro momento, para a determinação
do presente trabalho, será abordado o tema da dimensão internacional da proteção de dados
pessoais, onde será construído um inventário de elementos e princípios que vem instruindo o
debate sobre a regulação dos fluxos internacionais de dados pessoais.

1
KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê Gestor da
Internet, 2016. p. 82.
2
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. MORAES, Maria
Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008. p. 12.
3 Disponível em: [https://www.forbes.com/sites/chrisdenhart/2018/05/25/new-european-union-

data-law-gdpr-impacts-are-felt-by-largest-companies-google-facebook/#749d68084d36]. Acesso
em: 25.12.2018.
4 Disponível em:
[http://www.diariodepernambuco.com.br/app/noticia/politica/2018/08/17/interna_politica,760335/san
cionada-a-lei-de-protecao-de-dados-pessoais-mas-com-vetos-o-que-s.shtml]. Acesso em:
15.12.2018.

Página 2 de 14
 Na sequência, será apresentada uma breve introdução ao Regulamento Europeu de
Proteção de Dados Pessoais, bem como à Lei Brasileira de Proteção de Dados Pessoais, para,
após isso, estruturar um panorama lógico sobre as diferenças e semelhanças na adjetivação da
transferência internacional de dados pessoais em seus respectivos dispositivos.

2. A dimensão internacional da proteção de dados pessoais ‒

componentes e princípios para a transferência internacional de
dados pessoais
Atualmente, de acordo com o relatório do McKinsey Global Institute5, aproximadamente
12% (doze por cento) de todo o comércio de bens é realizado por meio do comércio eletrônico,
que, fruto da estrutura descentralizada da Internet, proporciona a organização de modelos em
que as transações informacionais são realizadas por intermédio de cruzamentos entre diversas
jurisdições.
Para tanto, a partir da crescente demanda por informação, diversos foram os instrumentos
regulatórios criados com o objetivo de garantir uma adequada proteção de dados. Nesse aspecto,
é de se considerar que uma menor tutela de dados pessoais em um determinado país pode
comprometer toda a estrutura de segurança das informações que estão sendo transferidas,
prejudicando, assim, os Estados que oferecem e se interessam por uma tutela mais completa
dos dados pessoais.
Esse contexto pode criar ambientes com elevado grau de insegurança jurídica aos titulares
dos dados, uma vez que, em uma conjuntura na qual as leis de proteção de dados são muito
diferentes entre si e oferecem níveis de proteção sem padrões precisos, a garantia do direito à
proteção adequada dos dados pessoais pode se tornar inacessível.
Por outro lado, essa conjuntura é muito aproveitada por empresas multinacionais que,
para facilitar seus processos de transferência, tratamento, armazenamento e processamento de
dados, adotam países conhecidos como data havens6 para realizar suas atividades, de modo a
operar seus negócios de forma menos onerosa, uma vez que esses países são caracterizados por
não terem leis de proteção de dados ou disporem de leis mais brandas, que não oferecem
garantias reais para a adequada tutela dos dados pessoais.
Pode-se perceber claramente a intenção do legislador no caso do RGPD e da LGPD de
cobrir esta lacuna apontada acima, haja vista a possibilidade de sua aplicação extraterritorial e,
ademais, a exigência para que as empresas sejam obrigadas, quando se utilizem de fornecedores
no exterior, a garantir aos titulares de dados um conjunto adequado de proteção no
processamento de seus dados pessoais, especialmente diante do contexto de atuação global e
pulverizado do comércio eletrônico e, principalmente, das plataformas digitais e redes sociais.
Atualmente, como se pode ver na figura 1 abaixo, afora as legislações em processo de
tramitação, várias foram as normas criadas para regular o tema da proteção de dados no âmbito
doméstico de diversos países. Neste mapa, os países em azul possuem leis de proteção de dados
pessoais, os países em vermelho possuem projetos de lei em tramitação a respeito e os países
em sépia não possuem legislação específica sobre o tema:

5 MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global
Institute. Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.
6 BYGRAVE, Lee. Approaching Its Rationale: Logic and Limits. Kluwer Law International, 2002.

p. 79.

Página 3 de 14
 Figura 1 – Relação dos países com as leis de proteção de dados pessoais7

Fontes: BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN. 4 set. 2018.
Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.

Dessa forma, a análise de uma proteção adequada aos dados pessoais perpassa,
naturalmente8, pela construção de um contexto global onde instrumentos normativos tratam a
matéria de forma harmônica, respeitando critérios que vão desde a proteção dos dados pessoais
dos indivíduos, até a conservação de um ambiente que preze a criação, desenvolvimento e
inovação dos diversos setores da economia.
O resultado, na esfera internacional, é possível de se observar na criação de princípios a
serem seguidos por determinados blocos econômicos de países. Estes são responsáveis por
traçar caminhos para que seus membros desenvolvam níveis adequados de proteção de dados,
diante dos desafios do fluxo internacional de informações. Como exemplo, podem ser citadas
as diretrizes documentadas pela Organização para Cooperação e Desenvolvimento Econômico
– OCDE9 e o Privacy Framework da Cooperação Econômica Ásia-Pacífico – APEC10.
Por outro lado, a complexidade da matéria não se apresenta apenas na multiplicidade dos
documentos que procuram estabelecer diretrizes ou leis domésticas de países que buscam
proteger os dados dos seus cidadãos nas transferências de dados a países terceiros, mas também
na própria definição ou conjunto de situações que envolvem processos de transferência de
dados. Nesse aspecto, é importante destacar a tabela abaixo desenvolvida por Dan Jerker

7 BASINAR, David. National Comprehensive Data Protection/Privacy Laws and Bills 2018. SRRN,
4 set. 2018. Disponível em: [https://ssrn.com/abstract=1951416]. Acesso em: 22.09.2018.
8 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.

p. 312.
9
Disponível em:
[http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflow
sofpersonaldata.htm].
10
OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução
nossa. Acesso em: 10.09.2018.

Página 4 de 14
Svantesson11, que procura demonstrar o rol numeroso e complexo de tipos de transferência de
dados que ocorrem diariamente:

Tabela 1 – Rol de tipos de transferência de dados que ocorrem diariamente12

TIPOS DE TRANSFERÊNCIAS EXEMPLOS

(1) Adam envia um e-mail para Bert (que

mora em outro país) descrevendo seu atual
estado de saúde.
Transferência internacional de dados em
Comunicações pessoais intencionais (2) Adam envia um e-mail para Bert (que
mora em outro país) descrevendo o estado
atual da saúde da amiga de Adam, Cecilia.

Comunicação intencional entre consumidores (1) Adam compra um produto de um site

em uma transferência internacional de dados em outro país e, ao fazer isso, fornece
informações pessoais.

(1) Adam envia um e-mail para Donna

(que mora no mesmo país que Adam)
descrevendo seu atual estado de saúde. Donna
usa um sistema de e-mail onde os e-mails são
armazenados em um servidor fora daquele
Bastidores de comunicações pessoais em país.
uma transferência internacional de dados
(2) Adam envia um e-mail para Donna
(que mora no mesmo país que Adam). Donna
usa o Gmail do Google e as informações
pessoais de Adam são coletadas e transferidas
para os servidores do Google fora do país.

11
OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.
OECD. Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.
12
SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data
Privacy Law, 2011.Tradução nossa. p. 182.

Página 5 de 14
 Transferência internacional de dados em (1) Adam coloca informações sobre o
Comunicações pessoais não intencionais estado atual da saúde de Cecilia em um site.

(2) Adam usa um mecanismo de busca

para encontrar informações sobre uma doença
em particular. A pesquisa é registrada em seu
endereço IP pelo provedor do mecanismo de
pesquisa localizado em outro país.

(1) O banco de Adam exporta suas

informações pessoais para outro país por
Transferência internacional de dados motivos comerciais.
para fins comerciais
(2) A empresa A no estado A vende uma
lista de e-mails, contendo informações
pessoais de pessoas no estado A, para uma
empresa B no estado B.

Ao navegar pela rede, os cookies são

Bastidores da transferência internacional instalados no computador de Adam pelo
de dados para fins comerciais website A. Esses cookies são usados pelo site
B (em um país diferente) para coletar
informações sobre os hábitos de navegação de
Adam.

Transferência de dados no âmbito da As autoridades do Estado A exportam

cooperação jurídica internacional informações pessoais sobre Adam para as
autoridades do Estado B.
_
Fonte: SVANTESSON, Dan Jerker B. The regulation of cross-border data flows.
International Data Privacy Law, 2011. Tradução nossa. p. 182.

Assim, diante desse arcabouço de situações e a partir da análise de esquemas regulatórios

que influenciaram o debate internacional da proteção de dados pessoais, Svantesson13
identificou uma série de componentes e princípios acerca da matéria e que serão detalhados
abaixo.

13 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data
Privacy Law, 2011. p. 182.

Página 6 de 14
2.1.1. O componente autorregulatório
No trato de questões relacionadas à transferência internacional de dados, o componente
autorregulatório pode ser percebido pela observação do modelo norte-americano.
Assim, tal componente é constituído quando associações comerciais ou conglomerados
empresariais estabelecem, entre si, conjuntos de regras relativas à criação de diretrizes sobre
como se dará a administração do ciclo de vida dos dados, o que inclui a transferência de
informações, coleta, processamento e exclusão14.
Ao tratar do assunto, Rubinstein15 assinala que tal modelo pode ser disposto de três formas
distintas:
1. um grupo de indústrias que emite diretrizes ou um código de conduta que
rege as práticas de privacidade dos membros;
2. aplicação pelo grupo da indústria, ou talvez um mecanismo de resolução
de disputas administrado por um terceiro independente, mas nenhum remédio
legal aplicável (além do poder inerente da FTC de processar as empresas por
práticas comerciais desleais e enganosas, incluindo deturpação de suas Políticas
de privacidade); e
3. regras processuais relacionadas à alteração de diretrizes existentes e
assuntos internos relacionados.
No entanto, tal conjuntura é vista por muitos como um modelo falho16, uma vez que não
tem criado incentivos para a participação adequada da indústria, além de oferecer mecanismos
ineficazes de cumprimento, fiscalização e transparência nos seus processos. É um componente
visto como uma tentativa de evasão à regulação governamental17, apesar de ser incentivado
pelo RGPD e pela LGPD, em alinhamento que seria conduzido pelas autoridades de proteção
de dados.

2.1.2. Componente do controle transfronteiriço

O componente do controle transfronteiriço pode ser percebido da leitura de sistemas como
os da União Europeia e o sugerido nas diretrizes da OCDE.
Está presente em legislações que apenas permitem que ocorram fluxos internacionais de
dados com terceiros que atendam os requisitos de adequação vigentes nas normas do país
exportador.
Nesse ponto, Svantesson18 conclui que qualquer modelo sólido de regulamentação de
fluxo de dados a nível internacional deve prover disposições sobre o controle transfronteiriço
de dados, uma vez que a transferência de dados envolve questões de controle por parte das
instituições governamentais.

14 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A journal
of Law and Policy, v. 6, Issue 3, 2010. p. 363.
15 Idem, tradução nossa.
16 Ibidem, p. 357.
17 RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes. A

Journal of Law and Policy, v. 6, Issue 3, 2010. p. 357.

18 SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International Data

Privacy Law, 2011. p. 191.

Página 7 de 14
 Por outro lado, afirma que restrições impostas ao fluxo de dados não podem restringir de
forma inadequada a necessidade da sociedade em torno das trocas informacionais.19

2.1.3. O componente da responsabilidade do exportador

O Princípio da Responsabilidade é uma característica marcante no modelo traçado pelo
Privacy Framework da APEC20. Todavia, disposições desse tipo, que impõem determinadas
responsabilidades ao exportador para uma adequada transferência de dados entre fronteiras,
existem desde a década de 70, a exemplo da Lei de Dados Sueca de 197321.
Segundo Svantesson22, a responsabilização do exportador pela forma como os dados são
utilizados por terceiros traz benefícios e deve ser encarada como uma camada necessária para
a adequada proteção de dados, uma vez que estabelece uma relação de cuidado e observação
aos procedimentos de segurança das partes que estão recebendo os dados, o que pode ser visto
como uma forma responsável de promover o fluxo transfronteiriço de dados23.
Por outro lado, é importante pontuar a necessidade da existência de regras que tratem do
ônus da prova em dispositivos que preveem a responsabilização do exportador, uma vez que tal
princípio sozinho não garante o controle do titular sobre a utilização dos seus dados entre
fronteiras. Isso pode servir como garantia de que, em casos de vazamentos de dados, o titular
dos dados não fique na posição vulnerável de ter que provar uma violação ocorrida no escopo
de outros países ou jurisdições24.

2.1.4. Os quatro princípios fundamentais da regulação da

transferência internacional de dados
Diante dos componentes analisados acima, Svantesson25 estabelece quatro importantes
princípios para a regulação da transferência internacional de dados:
• Princípio da regulação dos fluxos de dados a partir de um viés tecnológico
neutro: A razão para a efetivação de uma abordagem tecnológica neutra é garantir
que novas leis não precisem ser aprovadas toda vez que uma nova tecnologia for
desenvolvida. Dessa forma, a importância de tal princípio reflete no fato de que as
normas prevejam os riscos impostos pela inutilidade de regras desatualizadas e
aplicáveis a contextos inadequados26.
• Princípio do controle transfronteiriço: Toda e qualquer regulação que verse
sobre a transferência internacional de dados deve prever disposições que permitam
o controle do exportador sobre os métodos de adequação para que a parte receptora
possa receber os dados exportados. Tais disposições devem levar em consideração
questões como (i) o consentimento do titular dos dados para a transferência; (ii)
situações onde a transferência de dados é exigida por lei, o que dá mais segurança
jurídica as partes que estão exportando os dados; (iii) permissibilidade das
transferências de dados internacionais quando isso for de importância vital para o

19 Idem.
20
OECD. APEC privacy framework. Dez. 2005. Disponível em: [https://bit.ly/2NvqzKj]. Tradução
nossa. Acesso em: 10.09.2018.
21 Ibidem, p. 193.
22 Idem.
23 SVANTESSON, Dan Jerker B. Op. cit., p. 193.
24 Idem.
25 SVANTESSON, Dan Jerker B. Op. cit., p. 194.
26 Idem.

Página 8 de 14
 indivíduo ou o público em geral, mesmo em casos onde não seja possível obter o
consentimento do titular antes da transferência; (iv) permitir o fluxo de dados quando
a proteção de dados for fornecida no local para o qual os dados são exportados, o
que pode estimular tais atores a desenvolver políticas sólidas de privacidade e
encorajar os exportadores a dar prioridade aos locais de processamento de dados
que protejam tais dados de maneira adequada27.
• Princípio do não abuso: Ao estruturar um framework para a proteção dos fluxos
internacionais de dados, as legislações devem levar em consideração a finalidade do
processamento, o seu contexto, o grau de propagação e as consequências prováveis
que tal fluxo pode ocasionar ao titular dos dados, de forma a avaliar se tais fatos
podem ser constituídos ou não como abuso aos direitos instituídos28.
• Princípio da Responsabilidade: Na regulação dos fluxos de dados
transfronteiriço, a responsabilidade do exportador deve funcionar como uma camada
adicional de proteção para o titular dos dados, não podendo ser encarada como uma
alternativa ao controle transfronteiriço. Da mesma forma, tal princípio deve trabalhar
lado a lado com disposições que levem em consideração o princípio do não abuso29.
Dessa forma, da leitura dos princípios propostos por Svantesson, é possível concluir que
a regulação da transferência internacional de dados deve ser desenvolvida a partir de um viés
tecnologicamente neutro, que leve em consideração que o fluxo de dados só deverá ocorrer a
partir da obediência a requisitos específicos, onde o direito dos indivíduos seja devidamente
respeitado. Além disso, de forma a manter o escopo de proteção, assegurar que o exportador
permaneça em uma posição de responsabilidade e que sejam realizadas avaliações de risco
periódicas para identificar se a transferência de dados pode trazer algum ônus ao titular.
Assim, a partir da apresentação desse guia de componentes e princípios reunidos por
Svantesson, foi possível analisar o arcabouço conceitual impresso nas recentes regras para o
fluxo internacional de dados pessoais.
Desse modo, passaremos a uma breve introdução do Regulamento Geral de Proteção de
Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais do Brasil
(LGDP), para, finalmente, analisar as semelhanças e diferenças entre os dois instrumentos no
tocante ao tema da transferência internacional de dados pessoais.

3. Breve introdução ao Regulamento Geral de Proteção de Dados

Europeu (RGDP) e a Lei Brasileira de Proteção de Dados Pessoais
(LGPD)
O Regulamento Geral de Proteção de Dados Pessoais da União Europeia foi aprovado em
27 de abril de 2016, revogando assim, a Diretiva 95/46/CE.
Dessa forma, tal Regulamento trouxe inovações que começaram a valer a partir de 25 de
maio de 2018. Seu direcionamento procurou unificar a proteção de dados na União Europeia
com uma regra que fosse válida para todos os Estados-Membro, sem a necessidade de
internacionalização das regras para que fosse válida em cada localidade. Tal situação representa
uma evolução no contexto regulatório da privacidade e proteção de dados, pois até então, na

27 Ibidem, p. 195.
28 Ibidem, p. 196.
29
Ibidem, p. 197.

Página 9 de 14
Diretiva 95/46/CE, cada Estado-Membro da União Europeia necessitava internalizar na sua
legislação doméstica, e isto acabava por suscitar diferentes garantias à proteção de dados nos
países europeus.30
Todavia, mesmo com o advento da revogação, o Regulamento manteve muitos dos
princípios da Diretiva 95/46/CE, a saber: “(3) (...) harmonizar a defesa dos direitos e das
liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados
e assegurar a livre circulação de dados pessoais entre os Estados-Membros”.31
Apesar disso, trouxe consigo um vasto rol de modificações, que se refletiram em
disposições que procuraram lidar com as questões trazidas pelos novos modelos surgidos pelo
advento da economia digital, bem como o desenvolvimento de novas tecnologias e como elas
se relacionam com os indivíduos. O Regulamento pode ser considerado, portanto, um
aperfeiçoamento legislativo no contexto da UE, que já possuía uma ampla cultura e
jurisprudência em privacidade e proteção de dados.
Por outro lado, a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) foi
sancionada no dia 13 de agosto de 2018, pelo Presidente da República do Brasil, e começará a
vigorar após o seu período de vacatio legis, que corresponde ao intervalo de 18 meses após a
sua sanção.
Para tanto, a Lei foi fruto de um processo legislativo introduzido em 2010, por meio de
consulta pública promovida pelo Ministério da Justiça e, por conseguinte, da propositura do PL
5.276/2016, anexado ao PL 4.060/2012, na Câmara dos Deputados que, a posteriori,
transformou-se no PLC 53/2018 aprovado no Senado Federal32.
A LGPD altera a Lei 12.965/2016 (Marco Civil da Internet), estruturando todo um
arcabouço jurídico voltado para a proteção dos dados pessoais dos cidadãos brasileiros. Dentre
as suas disposições, trata de estabelecer regras claras sobre todo o manejo dos dados pessoais
por entidades de todos os setores, além de fomentar o desenvolvimento econômico e a inovação
tecnológica no cenário nacional.33
Tendo em vista que no Brasil o tema da proteção de dados é tratado de forma esparsa na
legislação, o que acontecerá à partir da entrada em vigor da LGPD será a complementação ou
substituição de institutos antigos da jurisdição brasileira que não ofereciam garantias adequadas
aos direitos nela tutelados.
Assim, a estruturação de uma Lei Geral de Proteção de Dados Pessoais no contexto
brasileiro pode ser entendida como um vetor fundamental na promoção da segurança jurídica
nas transações que envolvem dados, uma vez que unifica regras e cria padrões a serem seguidos
na seara da privacidade e proteção de dados pessoais, levando o Brasil a um outro patamar na
matéria de privacidade e proteção de dados, mais adequado ao contexto internacional,
especialmente da OCDE, e mais similar ao da UE.

30
POLIDO, Fabrício Bertini Pasquot; et al. GDPR e suas repercussões no direito brasileiro:
Primeiras impressões de análise comparativa. Instituto de Referência em Internet e Sociedade, 2018.
p. 34.
31 União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de

abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre
a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:
[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.
32 JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota.

Disponível em: [https://bit.ly/2LcR61P]. Acesso em: 15.09.2018.

33 Idem.

Página 10 de 14
4. Comparativo entre a LGPD e o RGPD no tocante ao capítulo da
transferência internacional de dados pessoais
A LGPD e o RGPD são dois instrumentos normativos que possuem escopos similares no
que diz respeito à aplicação do componente do controle transfronteiriço, tendo em vista que,
via de regra e sem necessidade de autorização específica, apenas permitem a ocorrência de
fluxos internacionais de dados pessoais com terceiros que atendam aos requisitos de adequação
vigentes nas suas respectivas normas.
No caso do RGPD, a aprovação de que um país está adequado, tem a ver com a
identificação, por parte da Comissão Europeia, de que o país terceiro protege os direitos dos
titulares dos dados pessoais, tanto no que diz respeito aos direitos humanos e liberdades
fundamentais, como às legislações setoriais e gerais pertinentes. Ademais, o país terceiro deverá
ter em funcionamento uma ou mais autoridades de supervisão independentes, bem como será
levado em consideração os compromissos internacionais assumidos por este.34
Para a LGPD, a aprovação da adequação de um país terceiro passará pelo crivo da
autoridade nacional, que levará em consideração: (i) as normas gerais e setoriais da legislação
em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a
observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos
nesta Lei; (iv) a adoção de medidas de segurança previstas em regulamento; (v) a existência de
garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais.35
No caso de ausência de um nível adequado, um rol de situações é apresentado na LGPD
e no RGPD, de modo a permitir que a transferência de dados aconteça. No fluxograma abaixo
é possível visualizar os critérios necessários para a transferência internacional acontecer quando
da ausência de nível adequado de proteção de dados, bem como as semelhanças e diferenças
entre a LGPD e o RGPD no tocante a esta questão:

Figura 2 – Quadro comparativo entre a LGPD e o RGPD no tocante ao capítulo da

transferência internacional de dados.36

Fonte: Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.

34
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p.115.
35
BRASIL. Lei 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.
36
Quadro comparativo desenvolvido pelos autores com base no capítulo V da LGPD e da GDPR.

Página 11 de 14
 Na imagem acima pode-se perceber que a LGPD e o RGPD têm muito em comum,
quando tratam da estruturação de diretrizes para a transferência de dados pessoais em casos
onde o país terceiro não possui um nível adequado de proteção de dados. Neste ponto, as leis
apenas divergem em dois momentos, o primeiro diz respeito ao art. 49(1), g) da GDPR, que
prevê a possibilidade de transferência internacional de dados a partir de um registo que se
destine a provar um interesse legítimo, e o segundo está no fato de a transferência, no tocante
à LGPD, poder se dar a partir de decisão judicial, o que está previsto no seu art. 7º, VI.
Nos dois instrumentos é reconhecível a presença de capítulo específico quanto ao tema
transferência internacional de dados, no entanto, é de se observar também, da literalidade das
leis, a inexistência de uma definição sobre o que poderia ser considerado como transferência
para países terceiros.
Entretanto, nesse aspecto, é importante citar a jurisprudência do Tribunal de Justiça
Europeu no caso sueco Bodil Lindqvist (C-101/01), de novembro de 200337, onde determinado
indivíduo de um Estado-membro da União Europeia apenas imputou informações pessoais em
um site hospedado naquele Estado, para que a informação pudesse ser acessada por quaisquer
terceiro conectado à Internet. Neste caso, o Tribunal desconsiderou a possibilidade de
enquadrar essa operação como sendo uma transferência de dados pessoais para um país
terceiro.38
A partir desse caso, foi possível a construção de melhores respostas com relação ao que
poderia ser considerado ou não como uma transferência para países terceiros, o que permitiu
chegar à conclusão de que há efetivamente transferência quando uma troca internacional de
informações sobre indivíduos é realizada com a intenção de processar automaticamente essas
informações pessoais depois de terem sido transferidas, mesmo que a transferência original não
seja qualificada como processamento de dados pessoais. Ou seja, para fins da aplicação do
RGPD, a transferência não é o mesmo que o mero trânsito dos dados pessoais, uma vez que é
o processamento no país terceiro que completa a “transferência”.39
No caso da LGPD, a questão é mais nebulosa, tendo em vista a redação do seu art. 4º,
40
IV , que institui que a Lei não se aplica ao tratamento de dados pessoais em casos no qual o
tratamento dos dados for realizado fora do território nacional e que não seja (i) objeto de
comunicação; (ii) uso compartilhado de dados com agentes de tratamento; (iii) objeto de
transferência de dados com outro país, que não o originário, desde que tal país proporcione grau
adequado de proteção de dados previsto na Lei.
O fato é que, nesse dispositivo, a LGPD estatui um rol taxativo de tipos de transferência
onde a Lei não seria aplicável, porém, tais situações precisam ser complementadas, uma vez
que não restou claro o que pode ser considerado, por exemplo, como “tratamento de dados com
o objetivo de comunicação”. Portanto, como a LGPD ainda não entrou em vigor e ainda não
existe jurisprudência que solidifique o entendimento sobre tais situações, é possível afirmar que
existe um vácuo conceitual com relação ao que poderia ou não ser considerado como
transferência para países terceiros, o que pode ser tido como uma diferença substancial entre as
duas legislações, tendo em vista a direção que a mudança de interpretação de um conceito tão
basilar pode levar.

37
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017. p. 121.
38
Ibidem, p. 125.
39
Idem.
40
BRASIL. Lei Nº 13.709, de 14 de agosto de 2018. Brasília: Presidência da República, 2018.

Página 12 de 14
 Além da distinção citada acima, quanto ao componente da responsabilidade do
exportador, o RGPD prevê em seu artigo 45(1)41, um procedimento de avaliação periódica
capitaneado pela de adequação de países terceiros às suas normas, que deve acontecer, no
mínimo, de quatro em quatro anos, e que deverá levar em consideração todos os
desenvolvimentos pertinentes no país terceiro ou na organização internacional para a garantia
de um nível adequado de proteção de dados, o que não é abordado na LGPD.
Apesar do caráter restritivo, que tem por base determinações de cunho geográfico, as duas
normas possuem forte influência do Princípio da Responsabilidade, tendo em vista que as suas
disposições obrigam entidades fora dos seus territórios e países terceiros a manter proteção
contínua de dados pessoais transferidos para outras organizações, independentemente de sua
localização geográfica. Dessa forma, utilizam mecanismos contratuais entre os cedentes e os
importadores de dados, para estabelecer mecanismos de responsabilidade solidária entre esses.
Por outro lado, com a sanção da LGPD vieram os vetos aos artigos que dispunham sobre
a criação da ANPD (Autoridade Nacional de Proteção de Dados). O órgão havia sido pensado
no texto original da Lei para ser constituído com estrutura inovadora, contando com uma
Direção composta por três membros, além de um Conselho Nacional de Proteção de Dados e
da Privacidade, esfera de caráter multissetorial (representantes do governo, do setor privado, da
academia e da sociedade civil), formato moderno e que permite a construção de políticas
públicas de forma rica e democrática, como a criação de campanhas de conscientização à
sociedade e acompanhamento dedicado das atividades empresariais.
Assim, apesar de, nas duas regulações, existirem mecanismos que prezam pela autonomia
das partes, uma vez que estabelecem a possibilidade de criação de regras corporativas
vinculantes no caso de um país, entidade ou organização terceira que não tenha se adequado ao
mesmo nível de proteção presente nas normativas supracitadas, tais regras, ainda assim,
sujeitam-se ao ordenamento público, uma vez que as autoridades competentes, por fazer valer
tais Leis, podem interferir no conteúdo de tais dispositivos.
Em 28 de dezembro de 2018, foi publicada, no Diário Oficial da União, a Medida
Provısórıa 869, de 27 de dezembro de 2018, que, além de alterar alguns dispositivos da LGPD,
criou a Autoridade Nacional de Proteção de Dados (“ANPD”), desta vez vinculada diretamente
à Presidência da República, cujos contornos de sua estrutura ainda não estão claros, porém
diferem da ideia originalmente traçada, de um órgão similar ao CADE, vinculada ao Ministério
da Justiça.
Resta saber, por fim, como será interpretada pela UE a adequação do Brasil, tendo em
vista a forma que será dada à ANPD caso a Medida Provisória ganhe caráter efetivo após a
análise do Congresso Nacional.

Referências
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro:
Renovar, 2006.
EUR-LEX. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro
de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados

41
União Europeia. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de
abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre
a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016. Disponível em:
[https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.

Página 13 de 14
pessoais e à livre circulação desses dados. EUR-Lex. Disponível em: [https://bit.ly/2zXITrJ].
Acesso em: 10.09.2018.
JOTA. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Jota.
Disponível em: [https://bit.ly/2LcR61P]. Acesso em: 15.09.2018.
KUNER, Christopher. Regulation of Transborder Data Flows Under Data Protection and
Privacy Law. OECD Digital Economy Papers, n. 187, SSRN, 2011. Disponível em:
[https://bit.ly/2E3ZgXO]. Acesso em: 22.09.2018.
KURBALIJA, Jovan. Uma introdução à governança da internet. São Paulo: Comitê
Gestor da Internet, 2016.
MCKINSEY & COMPANY. Digital globalization: The new era of global flows. Mckinsey Global
Institute, Nova York, 2016. Disponível em: [https://mck.co/2k8ozxW]. Acesso em: 22.09.2018.
OECD. APEC privacy framework, dez. 2005. Disponível em: [https://bit.ly/2NvqzKj].
Tradução nossa. Acesso em: 10.09.2018.
OECD. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. OECD.
Tradução nossa. Disponível em: [https://bit.ly/1gaZQzY]. Acesso em: 22.09.2018.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. In: MORAES,
Maria Celina Bodin (Org.). Rio de Janeiro: Renovar, 2008.
RUBINSTEIN, Ira. Privacy and regulatory innovation: moving beyond voluntary codes.
A Journal of Law and Policy, v. 6, Issue 3, 2010.
SVANTESSON, Dan Jerker B. The regulation of cross-border data flows. International
Data Privacy Law, 2011.
USTARAN, Eduardo et al. European Data Protection: Law and Practice. IAPP, 2017.
p.115.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento europeu e do Conselho
de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE
(Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, maio 2016.
Disponível em: [https://bit.ly/2RC45KC]. Acesso em: 10.09.2018.

Página 14 de 14