PL 5276-2016 (proteção de dados) - Nota Técnica - 2017.06.08 · indivíduo que "pode ser identificado a partir daqueles dados" ou de outros dados a que uma organização possa

1

PL 5276/2016 (proteção de dados) -NotaTécnicaSumárioIntrodução................................................................................................................................................21.[art.5º,Ieart.13,§1º]Adefiniçãodedadospessoaisdevesermenosamplaeosdadosanonimizadosdevemserclaramenteexcluídosdoescopodalei................32.[art.5º,IIIeart.11]Devemserprevistasexceçõesclarasàsformalidadesparaotratamentodedadossensíveis,emespecialquandooseutratamentoforvoltadoatrazer benefícios aos titulares ou quando os titulareshouveremvoluntariamentedisponibilizadoosdados........................................................53. A lei deve estimular meios suficientes e eficientes para promover o seucumprimento(accountability):.......................................................................................................93.1. [art. 50] A lei deve promover a implementação de programas de boaspráticasemprivacidade................................................................................................................93.2.[art. 52, IV-VII] A lei deve evitar sanções equivalentes ao bloqueio dofuncionamentodeempresasbaseadasnotratamentodedadosnopaís.............113.3. [art. 34, §1º] A regra da responsabilidade objetiva na hipótese detransferênciainternacionaldedadosédesnecessária.................................................12

4. [Art. 9º] A regra do consentimento livre, informado e inequívocodeveprevalecersobreregrasdeconsentimentoexpresso........................................................135.[art.3º]Oescopoterritorialdeaplicaçãodaleideveserdimensionadodemodoaevitarconflitosdeleieodesestímuloàsatividadesdeempresasmultinacionaisnopaís.....................................................................................................................................................156. [arts.33e34]A leidevepreverdiversasbases legaisparasas transferênciasinternacionaisdedados..................................................................................................................16

***

2

Introdução

O Brasil se encontra na posição única de elaborar uma lei que fortaleça epromovaaproteçãodedadospessoaiseainovação,demaneiraconvergenteenãocontraditória.

Desdeoiníciodasuaelaboraçãoem2010atéotextoenviadoaoCongresso,esteprojeto de lei evoluiu em vários pontos. São excelentes exemplosnesse sentidooreconhecimento da liberdade de expressão, de comunicação e de opinião, dodesenvolvimentoeconômicoetecnológico,dalivreiniciativaedalivreconcorrência,deformaconvergentecomadefesadoconsumidor,comofundamentosdadisciplinada proteção de dados (art. 2º),o reconhecimento dos interesses legítimos doresponsável como uma das bases para o tratamento dos dados (art. 7º, IX) e avalorizaçãoàadoçãoderegrasdeboaspráticasorganizacionais(art.50).

Apesar desses importantes avanços, ainda são necessários alguns ajustes aotextodoprojetodeleiafimdequeelesealinheaindamaiscomafunçãosocialeoimpactoeconômicoquealegislaçãosobreproteçãodedadospessoaisviráaocuparnoordenamentobrasileiro.OBrasilpodeedeveencontrarseumodelopróprio,quecoloque o país em posição de liderança na proteção de dados pessoais e napromoçãodainovaçãonaregiãolatino-americanaealémdela-e,maisdoqueisso,que atenda às necessidades e especificidades do país sem a tentação de copiarmodelosmenosvanguardistasequeaindanãotenhamsidotestadoscomêxito.

Umaleideproteçãodedadoscomprometidacomapromoçãodainovaçãoecomodinamismodaeconomiaedasociedadebaseadaemdadosdeveconterconceitosclaros e diretos, que possam ser facilmente compreendidos e aplicados, e deveadotarumaabordagembaseadaemprincípiosenaneutralidadetecnológicacomoformade semanter relevanteeviva comopassardo tempo, semaprescriçãoderegrasadstritasa tecnologiasqueexistemhojeepodemdeixardeexistiramanhã.Deve ainda, como comentaremos em maior detalhe a seguir, prever uma gamasuficientementeampladebaseslegaisparaotratamentoeatransferênciadedados,sem deixar de garantir as salvaguardas, a proteção e a experiência fluida einformada (user experienceou UX) dos titulares de dados nesses processos. Paratanto,aleidevepreverdiversosfundamentoslegaisparatratamentodedados,quevãodo consentimento inequívocoao legítimo interesse, equepossam - cadaumadelas-aplicar-sedeformapragmáticaecontextual,permitindo,aumsótempo,umaampla gama de usos benéficos dos dados na era da informação e a proteção dosindivíduostitularesdosdados.Aleidevetambémpreverumamplolequedebaseslegaisválidasparaas transferências internacionaisdedados,quereflitamesejamcapazes de dialogar com todos os outros mecanismos de transferênciasinternacionaisemvigor,permitindoassimofluxodedados,queéprimordialtantoparaaeconomiamodernacomoparaoprogressodasociedade.

Listamos e comentamos abaixo seis pontos prioritários do PL que podem seraprimoradosnessesentido.

3

1.[art.5º,Ieart.13,§1º]Adefiniçãodedadospessoaisdevesermenosampla e os dados anonimizados devem ser claramente excluídos doescopodalei

OPL5276caracterizacomodadopessoalqualquer"dadorelacionadoapessoa

natural identificada ou identificável, inclusive números identificativos, dadoslocacionais ou identificadores eletrônicos quando estes estiverem relacionados auma pessoa". A definição é excessivamente ampla e exemplificativa, trazendoquestionamentosadicionaisàquelesquetratamasespéciesdedadosexemplificadasnadefiniçãoemuitopossivelmenteinibindoquenovasempresasenovosmodelosdeusodetaisdadosparafinssociaise/oueconômicossedesenvolvamnopaís.

Aosepensarnadefiniçãode"dadospessoais"éprecisolembrarquenemtodasasinformações"referentesa"umapessoasãocriadasetratadasdamesmamaneiraoutêmomesmovalorparatodosresponsáveisouoperadores(nostermosdoart.3º,VIeVII).Maisdoquebuscarumadefiniçãoamplaeproibitivadedadospessoais,oincentivolegalaprogramasdecumprimentodalei(accountability)—comooPLS330deformabastantevanguardistaensaiouemseuart.50—temdemonstradoumefeitopráticomuitomaissignificativoeeficaz,ejáéumarealidadeempaísescomooMéxicoeaColômbia,porexemplo.

O critério para definir dado pessoal deveria estar atrelado ao potencial de taldado efetivamente identificar uma pessoa determinada, podendo afetar a suaprivacidade. Nos Estados Unidos, por exemplo, o conceito de "informaçãopessoalmente identificável" (personally identifiable informationou PII) é usadolargamente e parte da correlação entre umdado e a identificação de uma pessoadeterminada. A lei de Singapura, por sua vez, também oferece um exemplointermediário de definição de dados pessoais como uma informação sobre umindivíduoque"podeseridentificadoapartirdaquelesdados"oudeoutrosdadosaqueumaorganizaçãopossarazoavelmenteteracesso.

Nem tododadomeramente "relacionadoa"umapessoa carregaopotencialdeidentificar tal pessoa. Por exemplo, a informação de que uma pessoa gosta deesportes ou de literatura pode ser considerado um dado "relacionado a"umapessoa, porém, isoladamente, esse tipo de informação é incapaz de efetivamenteidentificarumapessoanaturaloudeafetardequalquermodoasuaprivacidade,e,portanto,nãodeveriaserconsideradoumdadopessoal. Justamenteporissoéqueos dados anônimos e anonimizados— assim entendidos os dados relativos a umtitularquenãopossaseridentificado,conformeoart.5º, IVdoPL5276—devemserclaramenteretiradosdoâmbitodeaplicaçãodalei,conformeomodeloadotadonoPLS330,porexemplo,emseuart.2º,§3º,IV.

Assim, em consonância com outros projetos de lei sobre proteção de dadospessoaisemtramitaçãonaCasa,comooPL4060/2012,sugerimosemendaaoincisoIdoart.5ºdemodoqueadefiniçãodedadopessoalsejaaseguinte:

4

I - dado pessoal: qualquer informação que permita a identificaçãoprecisadeumapessoa;

Pelosmesmosmotivos,sugerimosaexclusãodo§1ºdoart.13:

§1ºPoderãoserigualmenteconsideradoscomodadospessoaisparaosfins desta Lei os dados utilizados para a formação do perfilcomportamental de uma determinada pessoa natural, ainda que nãoidentificada.

Alémdisso,emboraoPL5276tenhacaminhadobemaodefiniroschamados

dadosanonimizados(art.5º,IV)eestabelecerlinhasgeraissobreoseuregime(art.13), ele não foi claro o suficiente sobre a exclusão dessa categoria de dados doâmbitodeaplicaçãodaleiousobreosincentivosdadesanonimização—oPLS330,porexemplo, foimuitomaisdidáticonessesentido.Estimularaanonimizaçãodosdadospor todosaquelessubmetidosà lei (sejampessoasnaturaisou jurídicas,dedireitopúblicoouprivado),conforme,porexemplo,adiretrizdo§4ºdoart.11doprojeto, é uma forma bastante efetiva de proteger o direito à liberdade e àprivacidadedostitularesquea leipretenderresguardar,segundoseuart.1º.Parapromoveresseincentivo,emvezdeprevermecanismosexecutivos,comoodispostono §3º do art. 13, o projeto deveria sermais explícito quanto à possibilidade deconsideraranônimosnãosóosdadosquenãopossamserrevertidos"comesforçosrazoáveis",mastambémaquelescujotratamentosebaseieemobrigaçãocontratual,administrativaoulegaldeanonimização.

Por essesmotivos, sugerimos os seguintes ajustes aos arts. 4º e 13 do PL5276:

Art.4º.Estaleinãoseaplicaaotratamentodedados:I-realizadoporpessoanaturalparafinsexclusivamentepessoais;II - realizado para fins exclusivamente jornalísticos, artísticos, literários ouacadêmicos;III -realizadoparafinsexclusivosdesegurançapública,dedefesanacional,de segurança do Estado ou de atividades de investigação e repressão deinfraçõespenais;ouIV - anonimizados, desde que não seja razoavelmentepossívelidentificarotitularouqueosresponsáveispelotratamentoestejamsobobrigação contratual, administrativa ou legal de manter os dadosanonimizados.

5

Art.13.Osdadosanonimizadosserãoconsideradosdadospessoais,paraosfinsdestaLei,quandooprocessodeanonimizaçãoaoqualforamsubmetidosforrevertido,ouquando,comesforçosrazoáveis,puderserrevertido.§1ºPoderãoserigualmenteconsideradoscomodadospessoais,paraosfinsdesta Lei, dados utilizados para a formação do perfil comportamental deuma determinada pessoa natural, ainda que não identificadadesde quepermitamasuaidentificaçãoprecisa.§2ºO órgão competente poderá dispor sobre padrões e técnicas utilizadasem processos de anonimização e realizar verificações acerca da suasegurança,respeitadaalivreiniciativaeossegredosdenegócio;§3ºOcompartilhamentoeousoquesefazdosdadosanonimizadosdeveserobjetodepublicidadeede transparência,respeitadaalivreiniciativaeosegredodenegócio,semprejuízo do órgão competente poder solicitar aoresponsável relatório de impacto à privacidade referente aos riscos dereversãodoprocessodeanonimizaçãoedemaisaspectosdeseutratamento.

2. [art. 5º, III e art. 11]Devem ser previstas exceções claras àsformalidadesparaotratamentodedadossensíveis,emespecialquandooseutratamentoforvoltadoatrazerbenefíciosaostitularesouquandoostitulareshouveremvoluntariamentedisponibilizadoosdados

OPL5276caracterizacomodadossensíveisos"dadospessoaissobreaorigemracialouétnica,asconvicçõesreligiosas,asopiniõespolíticas,afiliaçãoasindicatosouorganizaçõesdecaráterreligioso,filosóficooupolítico,dadosreferentesàsaúdeouàvidasexual,bemcomodadosgenéticosoubiométricos",eexige,emseuart.11,requisitos mais formais para o seu tratamento, especialmente consentimentoexpressoeemseparado.

Assim como a definição de dados pessoais, a de dados sensíveis édemasiadamente ampla e não prevê qualquer tipo de parâmetro ou avaliação derisco para sua caracterização, trazendo questionamentos adicionais àqueles quetratam as espécies de dados exemplificadas na definição, e muito possivelmenteinibindonopaísaexploraçãodetaisdadosparafinspositivosedesejáveis.

Um exemplo de tecnologia que poderia ser inibida no país é a do assistentevirtual capaz de notificar as pessoas quando estiverem prestes a compartilharimagens sensíveis online, sejam fotos ou imagens de documentos sensíveis, comodados fiscais ou cartões de crédito (http://www.vocativ.com/418862/ai-privacy-

6

assistants-expose-sensitive-info/). Isto é, uma tecnologia que se baseia notratamentodedadossensíveisparaprotegeraspessoasquantoàsuaexposição.Umoutroexemplodousosocialepositivodedadosquepoderiamestarabarcadosportaldefiniçãoampladedadossensíveisequepoderiaserinibidonopaíséousodebig data para compreender e traçar estratégias efetivas em questões de saúdepúblicadamaiorrelevância-porexemplo,nocasodeepidemiasatingindograndesáreasgeográficas,comooEbolaouoZika,alémdocasodesucessodo“RobôLaura”,recentementeapresentadonaComissãodeSeguridadeSocialeFamíliadestaCasa,quepermitiuumareduçãodrásticanonúmerodemortesdecorrentesde infecçãohospitalar noHospitalNossa SenhoradasGraças, emCuritiba, garças aouso e aoprocessamento inteligente de dados (http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-permanentes/cssf/noticias/audiencia-debater-sobre-software-de-tecnologia-de-prevencao-e-combate-a-infeccao-generalizada).

Graçasàpossibilidadedetratartaisdadosreferentesàsaúdedemodoflexíveleresponsáveléquesepode,porexemplo,ajudarorganizaçõesnão-governamentaisafazerasinformaçõesadequadassobreprevençãoetratamentochegaremàspessoascertas, nos focos das epidemias, ajudando-as a proteger suas famílias ecomunidades.Porúltimo,casoselevassemaoextremoosrequisitosparaousodedadossensíveis,jamaispoderíamosterlidosobreocasorecentededuascriançasde4 anos de idade que salvaram a vida damãe que estava desacordada ao usar asdigitaisdela(dadosbiométricos)paraacionaraassistentevirtualSirideseucelulare chamar a central de segurança de seu país(http://www.huffingtonpost.co.uk/entry/twins-4-use-iphone-assistant-siri-to-save-unconscious-mothers-life_uk_58d5049ce4b03692bea47ac0).

Dadaadificuldadederegulamentar,naleigeraldeproteçãodedados,aquestãodosdadosconsideradossensíveisseminibirosseususospositivos,diversospaísesfizeramaopção legislativadenãoabordaro temaemseusdiplomasgerais sobreproteção de dados— éo caso, por exemplo, do Canadá, de Singapura e de HongKong. Assim, mesmo que lei brasileira, diferentemente desses países, decidadisciplinaracategoriade"dadossensíveis",éprecisocuidarparaqueosrequisitoseoconsentimentoparaotratamentodessesdadosnãosejamproibitivosapontode,na prática, inviabilizar no país o uso benéfico desses dados, com as salvaguardasapropriadas.Alémdisso, a listadedadossensíveisno inciso IIdoart.3ºdeveserclaramente fechada, e não exemplificativa ou aberta a interpretações expansivas,que podem minar a inovação. A propósito, um estudo recentedaPricewaterhouseCoopers (PwC) demonstrou como as pessoas reconhecem ovalor do compartilhamento de dados sensíveis para fins positivos: por exemplo,57% responderam que compartilhariam seus dados para ajudar nodesenvolvimentodeavançosnamedicina,e62%,quecompartilhariamseusdadospara ajudar na elaboração de soluções para aliviar o trânsito em suas cidades(http://www.pwc.com/us/en/industry/entertainment-media/publications/consumer-intelligence-series/assets/pwc-botme-booklet.pdf).Idealmente,a leideveriareconhecerdeformaclaraosusosbenéficosdosdadosconsideradossensíveis(pense-senosavançosdaáreadesaúdeemédicanesse sentido, apenas como um exemplomaismarcante), e garantir que o Brasil

7

poderácontinuarsendopalcodessesavanços,graçasàpossibilidadedetratardadossensíveis de acordo com salvaguardas protetivas e diversas bases legais para otratamento desses dados.O art. 11 do PL 5276 inicia um bom caminho nestesentido, mas, conforme as sugestões a seguir, ainda pode dar mais espaço aotratamentobenéficoeresponsáveldosdadossensíveis.

A lei de proteção de dados da África do Sul, por exemplo, traça uma série deexceçõesàproibiçãodotratamentodedadossensíveis,incluindooscasosemque"aobtenção do consentimento pareça impossível ou implique um esforçodesproporcional", a finalidade do tratamento seja "de interesse público e otratamentosejanecessárioàfinalidadeemquestão","sejamasseguradasgarantiassuficientes para assegurar que o tratamento não prejudique de formadesproporcional a privacidade do indivíduo em causa", e "asinformações tenhamsido deliberadamente tornadas públicas pela pessoa em causa", além de diversasoutrasexceçõesrazoáveiseflexíveis,queademaisprotegemostitularesdosdados.

Ao lado disso e especificamente quando se trata de dados sociais referentes àorientação religiosa, política ou sexual, ou à convicção filosófica, à procedêncianacional,àorigemracialouétnica,ouaindaàparticipaçãoemmovimentospolíticose sociais, é preciso ter muita cautela para não inibir a sua livre manifestação,conformeasseguradopelaConstituição,nostermosdoart.5º(incisosVI,VIIIeIX)dentreoutrosdispositivos,deformaquealeideproteçãodedadosdevereconhecere respeitaraexpressãode tais convicçõesquando foremespontâneae livrementefornecidas pelos titulares como manifestação de sua liberdade de expressão,consciência ou crença, que constituem a base do ativismo e exercício pleno dacidadania.

Combasenisso,sugerimosquearedaçãodoincisoIIIdoart.5ºedoart.11sejaemendadacomosesegue:

Art.11.Évedadootratamentodedadospessoaissensíveis,exceto:I - com fornecimento de consentimento livre, inequívoco, informado,expressoeespecíficopelotitular;a) mediante manifestação própria, distinta da manifestação deconsentimentorelativaaoutrosdadospessoais;b)cominformaçãopréviaeespecíficasobreanaturezasensíveldosdadosaseremtratados,comalertaquantoaosriscosebenefíciosenvolvidosemseutratamento.II-semfornecimentodeconsentimentodotitular,nashipótesesdosincisosIIaIVeVIaIXdoart.7º,ouquandootitularouseurepresentantelegalnão tiverem voluntariamentedisponibilizado os dados,como

8

manifestaçãodesualiberdadedeexpressão,consciênciaoucrença.emqueforindispensávelpara:a)cumprimentodeumaobrigaçãolegalpeloresponsável;b) tratamento e uso compartilhado de dados necessários à execução,pela administração pública, de políticas públicas previstas em leis ouregulamentos;c) realizaçãodepesquisahistórica, científicaouestatística, garantida,semprequepossível,aanonimizaçãodosdadospessoaissensíveis;d)exercícioregulardedireitosemprocessojudicialouadministrativo;e)proteçãodavidaoudaincolumidadefísicadotitularoudeterceiro;ouf) tutela da saúde, com procedimento realizado por profissionais daáreadesaúdeouporentidadessanitárias.§1º Aplica-se o disposto neste artigo a qualquer tratamento de dadospessoaiscapazderevelardadospessoaissensíveis.§2ºO tratamentodedadospessoais sensíveisnãopoderá ser realizadoemdetrimentodotitular,ressalvadoodispostoemlegislaçãoespecífica.§3ºAmenosqueotitulartenhaconsentidoadequadamente,odispostona alínea "c" do inciso IIno inciso IV do art. 7ºnão se aplica caso asatividades de pesquisa estejam vinculadas a qualquer das seguintesatividades:I-comercial;II-deadministraçãopública,quandoapesquisanãoforaatividadeprincipaloulegalmenteestabelecidadoórgão;ouIII-relativaàinvestigaçãocriminalouinteligência.§4ºNashipótesesdoparágrafoanterior,semprequepossível,serágarantidaaanonimizaçãodosdadospessoais.§5ºNoscasosdeaplicaçãododispostonasalíneas"a"e"b"doincisoIInosincisosIIeIIIdoart.7ºpelosórgãosepelasentidadespúblicas,serádadapublicidadeàreferidadispensadeconsentimento,nostermosdoart.24.

9

3. A lei deve estimular meios suficientes e eficientes para promoveroseucumprimento(accountability):

Mais do que buscar uma definição ampla e proibitiva de dados pessoais, oupreversançõesdraconianasepouco inovadoras— comoasquepodemequivaleraobloqueiodeserviçoslegítimosouàresponsabilizaçãoobjetiva(semculpa)—,oincentivo legal a programas de cumprimento da lei (accountability) temdemonstradoumefeitopráticomuitomais significativono sentidodeestimular aadoção duradoura e sustentável demelhores práticas para a proteção dos dadospessoais.IncentivosdessanaturezajásãoumarealidadeempaísescomooMéxico,a Colômbia e a Austrália, por exemplo, e o PL 5276 andou bem nesse sentido aoestimular osprogramas corporativos de boas práticas previstos em seu art. 50,conformepassamosacomentaremmaiordetalhe.

3.1.[art.50]AleidevepromoveraimplementaçãodeprogramasdeboaspráticasemprivacidadeA implementação de programas de boas práticas em privacidade,

individualmente ou no âmbito de grupos de empresas, prevista no art. 50 do PL5276éumgrandeavançodoprojeto.Estedispositivopreviuodesenvolvimentodeprogramas que incluem condições de organização, regime de funcionamento,procedimentos, normas de segurança, padrões técnicos e obrigações específicaspara os diversos envolvidos no tratamento de dados, além de ações educativas emecanismosinternosrelacionadosaotratamentodedadospessoais.

Esse avançopode sermais efetivo casoo art. 50, já numprimeiromomento edadasasespecificaçõestraçadasnosincisosVIIeIXnoart.5º,esclarecessequeseaplica igualmente aos responsáveis e operadoresnas operaçõesde tratamentodedados—nãosóporqueambospodemsebeneficiardosprogramasdeboaspráticas,mastambémporquepodemmaximizarosbenefícioseaproteçãoparaostitularesdedadosmedianteasuaimplementação.

Paraaprimoraraavaliaçãoderiscoprevistaparaessesprogramas,o§1ºdoart.50poderia considerar, alémdaprobabilidade e da gravidadedos riscosdedanosaosindivíduos,ospotenciaisbenefíciosdotratamentodosdadosparaseustitulares.Emboraotratamentodedados,comoqualqueratividade,possaacarretarriscos,emmuitos casos podem ser tomadas medidas adequadas para mitigá-los, e assimampliar os benefícios decorrentes do tratamento. Assim, deve-se incentivar aincorporaçãodanoçãode"mitigaçãoderiscos"comoumaboapráticaquefazpartedaavaliaçãoderisco.

Como um aprimoramento final, o PL 5276 também poderia incorporarincentivos específicos para que se implementem programas de boas práticasefetivos, sejaparamitigar aspenasprevistas em lei oupara criarmecanismosde

10

presunção de cumprimento da lei — facilitando, por exemplo, os casos detransferênciasinternacionaldedados,oudiminuindoafrequênciadeauditoriasderotina ou o escopo de eventuais investigações. Essas já são práticas reconhecidaspor autoridades de fiscalização e proteção de dados de diferentes países, como oMéxicoeaColômbia,epodemserespecificamenteprevistasoutornadasmaisclarasnalei.

Combasenessasconsiderações,sugerimosasseguintesemendasaosarts.50e52,§1º:

Art.50.Osoperadoreseresponsáveis pelo tratamentode dados pessoais,individualmente ou por meio de associações, poderão formular regras deboas práticas que estabeleçam as condições de organização, o regime defuncionamento, os procedimentos, as normas de segurança, os padrõestécnicos, as obrigações específicas para os diversos envolvidos notratamento, as ações educativas, os mecanismos internos de supervisão emitigaçãoderiscoseoutrosaspectosrelacionadosaotratamentodedadospessoais.§1ºAoestabelecerregrasdeboaspráticas,oresponsávelpelotratamentoeooperador levarão em consideração a natureza, o escopo e a finalidade dotratamento dos dados e a probabilidade e a gravidade dos riscos dedanos,assim como os benefíciosaos indivíduos decorrentes dotratamentodeseusdados.§2º As regras de boas práticas serão disponibilizadas publicamente eatualizadasepoderãoserreconhecidasedivulgadaspeloórgãocompetente.§3ºA adoçãode regrasdeboaspráticas efetivas gera, junto ao órgãocompetente,apresunçãoemfavordocumprimentodestaLeiporpartedosrespectivosresponsáveiseoperadores.Art.52.As infrações realizadas por pessoas jurídicas de direito privado àsnormas previstas nesta Lei ficam sujeitas às seguintes sançõesadministrativasaplicáveispeloórgãocompetente:[...]§1º As sanções serão aplicadas fundamentadamente, isolada oucumulativamente,deacordocomaspeculiaridadesdocasoconcretoecoma

11

gravidade e a natureza das infrações, a natureza dos direitos pessoaisafetados, a existência de reincidências, a situação econômica do infrator, aadoçãoderegrasdeboaspráticas,nostermosdoart.50destaLei,eosprejuízoscausados.

3.2.[art.52,IV-VII]AleideveevitarsançõesequivalentesaobloqueiodofuncionamentodeempresasbaseadasnotratamentodedadosnopaísAs sanções previstas entre os incisos IV e VII do art. 52 (bloqueio dos dados

pessoais, suspensão de operação de tratamento de dados pessoais, cancelamentodosdadospessoaisesuspensãodofuncionamentodebancodedados),naprática,podem equivaler ao bloqueio no país das atividades de empresas baseadasmajoritariamente no tratamento de dados. Dentre os afetados por tais medidasdesproporcionais estão não apenas plataformas que possibilitam a aproximaçãoentreempresaseclientesefetivosepotenciaisouacomunicaçãoentreaspessoas,como também bancos de dados públicos e privados, plataformas decompartilhamento de informações urbanas e de dados de transporte, plataformasdetransporteoudehospedagemcompartilhada,empresasfinanceirasoudecrédito,empresas baseadas na agricultura de precisão, empresas de tecnologia médica,enfim, um amplo espectro da indústria — sendo que os maiores prejudicadosmuitasvezessãoospróprioscidadãos.

Apenas para citar o exemplo da Internet, como um relatório recente da ONGAccess Now demonstra, nos últimos anos os atos de bloqueio parcial ou total daInternet têmocorridoemdiversospaíses, comoa Índia, o IraqueeUganda.Essesatosdebloqueioviolamdiretamenteodireitofundamentaldaspessoasdereceberetransmitir informações, impedindoqueelassecomuniquemcomseus familiareseamigosemsituaçõescorriqueirasoudeemergência,alémdecausarumindesejávelimpactonegativonaeconomiadospaísesafetadospelosbloqueios.Segundodadosda pesquisa divulgada pela ONG Access Now, os bloqueios totais ou parciais daInternettêmumarelaçãoestreitacomas leisdospaíses, tendomaioreschancedeacontecerempaísescomleisretrógradas,muitoamplasoupoucotransparentes.Demodoaevitarosexcessosquedispositivos tendentesapermitirobloqueiodeatividades econômicas legítimas no país podem ensejar, sugerimos que sejamexcluídososincisosIV,V,VIeVIIdoart.52doPL5276:

Art.52. As infrações realizadasporpessoas jurídicasdedireitoprivadoàsnormas previstas nesta Lei ficam sujeitas às seguintes sançõesadministrativasaplicáveispeloórgãocompetente:I-multasimplesoudiária;II-publicizaçãodainfração;III-anonimizaçãodosdadospessoais;

12

IV-bloqueiodosdadospessoais;V-suspensãodeoperaçãodetratamentodedadospessoais;VI-cancelamentodosdadospessoais;VII-suspensãodefuncionamentodebancodedados.

3.3. [art. 34, §1º] A regra da responsabilidade objetiva na hipótese detransferênciainternacionaldedadosédesnecessária

A regra de responsabilidade objetiva estabelecida na parte final do §1º do

art. 34 contraria não apenas a regra geral sobre a responsabilidade civilestabelecida no Código Civil Brasileiro (art. 927, caput, "Aquele que, por atoilícito,causardanoaoutrem,ficaobrigadoarepará-lo"),segundoaqualsóquemefetivamente causa dano deve ser considerado responsável e obrigado aoressarcimento,comotambémaregrageralderesponsabilidadeeressarcimentodedanosaplicávelaotratamentodedadospessoaiserigidanoart.42dopróprioPL ("Todo aquele que, em razão do exercício de atividade de tratamento dedadospessoais,causaraoutremdanopatrimonial,moral,individualoucoletivo,é obrigado a repará-lo"), que é (e deveria mesmo ser) uma regra deresponsabilidadesubjetiva.

Entendemos que a regra de responsabilidade subjetiva já é suficiente paracobrirashipótesesdetransferênciainternacionaldedados,sujeitandodeformadireta o responsável pelo tratamento a reparar qualquer dano que venha acausar a outrem, em razão do exercício das atividades de tratamento, quer setratededanopatrimonial,moral,individualoucoletivo.Mesmoqueassimnãoseentenda,deve-seteremmentequeoscasosdetransferência(internacionalounão) de dados já encontra um regime de responsabilidade intensificado pelaprevisãodaresponsabilidadesolidáriaentrecedenteecessionário,conformeoart. 44dopróprioprojetode lei, e da inversãodo ônusdaprova, conformeoParágrafoÚnicodoart.42doprojeto—oquemaisaindareforçaoargumentopela dispensa do encargo da responsabilidade objetiva nas transferênciasinternacionaisdedados.

Mesmo que assim não se entenda e a regra da responsabilidade objetivaprevaleçaparaastransferênciasinternacionaisdedadoscomoregrageral,seriaimportante que o PL 5276 incorporasse incentivos específicos para aimplementação de programas de boas práticas efetivos, sejam elesimplementados conformedispostono art. 50 oumediante selos, certificados ecódigos de conduta organizacionais emitidos por terceiros qualificados eaprovados pela autoridade competente, confirme o art. 34. Essesmecanismosserviriam não apenas para facilitar as transferências internacionais de dados,como também para criar um ambiente institucional de maior confiança eresponsabilidade para que essas transferências ocorram. Reconhecendo esse

13

benefício,aleideveriapreverhipótesesdeexclusãoou,aomenos,atenuaçãodaresponsabilidade objetivamente auferida nas transferências internacionaisquando as partes envolvidas adotem aqueles programas de boas práticas ousejam assinaladas por aqueles selos, certificados e códigos de condutaorganizacionais emitidospor instituiçõesqualificadase/ou internacionalmentereconhecidas.Essasjásãopráticasreconhecidasporautoridadesdefiscalizaçãoe proteção de dados de diferentes países, como o México e a Colômbia, e,enquantomecanismos atenuantes ou excludentes da responsabilidade, podemserespecificamenteprevistasou tornadasmais clarasna lei.Vale lembrarquemesmo diplomas do direito brasileiro que reconhecem a regra daresponsabilidade objetiva, como o Código de Defesa do Consumidor, preveemexpressamente hipóteses excludentes de responsabilidade, como os casos deculpaexclusivadavítimaoufatodeterceiro(CDC,art.12,§3º,IIIeart.14,§3º,II).

Assimsendo,sugerimosqueapartefinaldo§1ºdoart.34sejaremovida:

§ 1º O órgão competente poderá elaborar cláusulas contratuaispadrão ou homologar dispositivos constantes em documentos quefundamentem a transferência internacional de dados, que deverãoobservar os princípios gerais de proteção de dados e os direitos dotitular, garantida a responsabilidade solidária do cedente e docessionário,independentementedeculpa.

4.[Art.9º]Aregradoconsentimentolivre,informadoeinequívocodeveprevalecersobreregrasdeconsentimentoexpresso

Aregrageraldoconsentimentolivre,informadoeinequívocotrazidapeloPL

5276 é um importante e necessário avanço, garantindo a um só tempo a plenamanifestação do consentimento e a não exigência de modos rígidos para a suamanifestação,oqueseriaincompatívelcomodinamismodosnegóciosbaseadosnousodaInternet.

Entende-se que o consentimentoexpressodeve ser prestado por meiosformais,comcláusulasdestacadasemanifestaçãoporescritodotitulardosdados.Jáoconsentimento inequívoco,acertadamenteerigidopeloprojetocomoregrageralpara a manifestação do consentimento para o tratamento de dados pessoais, éentendidocomoumadeclaraçãooucomportamentoafirmativo,ouaindacomoumaausênciadecomportamentonegativodotitular,epodeserprestadodeformaeficazecompletamentehábilaprotegerosdireitoseinteressesdostitularesdedadosaotempo em que também se compatibiliza com o dinamismo do uso da Internet. Oconsentimento inequívocopodeserprestadonãoapenaspormeiodedeclaraçõesem cláusula destacada e por escrito pelo titular, como também por meioseletrônicosedeclaraçõesorais, incluindomarcarumaalternativa("tickingabox")

14

ao visitar um website, optar por determinadas configurações técnicas para oprocessamento de dados e informações pessoais, ou qualquer outra forma dedeclaração ou conduta que inequivocamente indique a aceitação ou ausência deoposiçãodotitularquantoaotratamentodosseusdadospessoais.Oconsentimentoinequívoco — diferentemente do expresso — ajuda a evitar práticas altamenteindesejáveiseprejudiciaisàexperiênciadosusuáriosdaInternet,comoachamada"fadiga do consentimento"causada pelo excesso de requisições formais deprestação de consentimento expresso, que acaba resultando na prestação malinformadadoconsentimento,emgraveprejuízoaostitulares.

Alémdisso,umaleisobreproteçãodedadosseriaamplamenteaplicávelnopaís,atingindootratamentodedadospessoaisfeitosejaporpessoanatural,sejaporpessoajurídicadedireitopúblicoouprivado(art.1º),sejamosdadoscoletadospormeiosfísicos,digitaisoupormeiodousodaInternet.MasoMarcoCivildaInternetpoderiaviraserinterpretadocomoleiespecíficanoquedizrespeitoaotratamentodedadosmedianteousodaInternetnoBrasile,combasenisso,algunspoderiamargumentarpelaprevalênciadaregradoconsentimentoexpressodoart.7º,VIIeIXdoMarcoCivil,dadaasuaespecificidadenocasodotratamentodedadosrealizadosmedianteousodaInternet.

Essa interpretação poderia levar a uma situação absurda em que oconsentimentonecessárioparao tratamentodedados feitomedianteomeiomaisdinâmico e propenso à inovação, como é a Internet, seria mais rígido (livre,informado e expresso, devendo necessariamente ocorrer de forma destacada dasdemaiscláusulascontratuais,conformeoart.7º,VIIeIXdoMarcoCivildaInternet)doqueoexigívelparaotratamentodedadosporoutrosmeios(livre, informadoeinequívoco,podendoserfornecidonãosóporescritocomoporqualqueroutromeioqueocertifique,combasenoart.9ºdoPL5275/2016).

Para evitar esse risco, sugerimos que o caputdo art. 9º do PL 5276 sejaemendado para dispor de modo expresso que a regra do consentimento livre,informadoeinequívocoseaplicainclusiveaotratamentodedadosfeitomedianteousodaInternet,comexpressarevogaçãodosdispositivosemcontráriodispostosnoMarcoCivildaInterneteemseudecretoregulamentador.Paratantoeemnomedasegurançajurídica,sugerimostambémabaixoainclusãodoart.57aoprojeto,comexpressa menção à revogação dos dispositivos em contrário no Marco Civil e noDecreto8.771/2016:

Art. 9º. O consentimento previsto no art. 7º, inciso I, inclusivequandoo tratamento sedermedianteousoda Internet, deveráser livre, informado e inequívoco e fornecido por escrito ou porqualqueroutromeioqueocertifique.Art. 57.Esta lei revoga as disposições em contrário,especificamente os incisos VII, VIII, IX e X do artigo 7º da Lei

15

Federal nº 12.965/2014 e os artigos 13 e 14 do Decreto nº8.771/2016.

5. [art. 3º] O escopo territorial de aplicação da lei deve serdimensionado de modo a evitar conflitos de lei e o desestímulo àsatividadesdeempresasmultinacionaisnopaís

Conforme seu texto atual, o projeto de lei potencialmente se aplicaria aresponsáveis (nos termos do art. 5º, VIII) com sede fora do Brasil.O maisaconselhável é bem delimitar esse escopo territorial de modo que a lei só sejaaplicávelaresponsáveiscomsedenoBrasilequandootratamentodosdadosviseespecificamenteaosdadosdepessoas comresidêncianoBrasil.Assim,deveestarmais claro na lei que, por exemplo, ela não deve se aplicar ao processamento dedados de estrangeiros (pessoas sem residência no Brasil) por operadores (nostermosnoart.5º,IX)comsedenoBrasilemnomederesponsáveisestrangeiros,domesmomodoque não se aplicaria ao processamento de dados de brasileiros queutilizemportaisonlinesemdomíniobrasileiro(porexemplo,comdomínio .com,enão .br). Dessa forma, responsáveis e operadores podem ter mais certeza esegurança jurídica sobre as suas obrigações e consequentemente também ostitularesdosdadosterãomaiscertezaarespeitodaleiqueprotegeosseusdados.

Impor a lei brasileira de proteção de dados a responsáveis estrangeiroscriaria impedimentos significativos para a indústria brasileira de serviços de TI,bem como para outros operadores com sede no Brasil que prestem serviços aclientesglobais.OperadorescomsedenoBrasilqueprocessamdadosemnomedeseusclientesestrangeirosdevemsercapazesdeatenderaosrequisitosdalegislaçãoestrangeirarelevante, istoé,da legislaçãoaplicávelaosdadosno localemquesãocoletados.Porexemplo,seumoperadorbrasileiroprocessadadosemnomedeumcontrolador belga, o operador brasileiro deve ser capaz de aplicar a lei belgarelevanteaessesdados—semabarreiradeenfrentarseuspontosdeconflitocoma leibrasileira. IssonãosignificaqueesseprocessadorcomsedenoBrasil estariacompletamente livredaaplicaçãoplenada lei (jáquea leibelgaseriaplenamenteaplicável à sua operação) ou que o Brasil se tornaria um local de forumshoppingpara operadores maliciosos. Mesmo nesses casos, esses mesmosoperadores poderiam se submeter, no mínimo, às regras brasileiras sobreprogramasdeboaspráticas (art. 50), se assimprevistona lei brasileira comoumrequisito mínimo para mitigar pontos de conflito com leis de proteção de dadosestrangeiras e, ainda assim, garantir um grau de adequação suficiente e razoávelcomodireitobrasileiro.

Alémdisso,umaconsequênciaprováveldeumaregradejurisdiçãotalcomoatualmenteprevistonoart.3ºdoprojetoégerarconflitoscomasleisdeprivacidadedeoutrospaísesjáaplicáveisàsatividadesdeempresassediadasemseusterritóriosmasque atuamglobalmente e pretendem tambématuarnoBrasil, gerando assim

16

um desincentivo para que empresas estrangeiras venham a abrir escritórios noBrasil.Comisso,oBrasilpassaacontarcomaindamenosincentivosparaatrairasatividadesdeempresasglobais,afastandoapossibilidadedeprotagonismodopaísnomapa da inovaçãomundial. Regrasmais flexíveis sobre proteção de dados, aolado de outros aspectos jurídicos e extrajurídicos, têm sido apontadas porespecialistas no tema, como o professor da Universidade da Califórnia, AnupamChander,comoumadasgrandesresponsáveispelaexistênciadegrandescentrosdeinovaçãocomooValedoSilício(cf."HowlawmadetheSiliconValley",2014).

Outroriscoéque,combasenoprincípiodareciprocidade,consagradopeloDireitoInternacionalPúblicopararegerasrelaçõesentreosEstados,outrospaísesseaproveitemdoamploescopodeaplicaçãodaleideproteçãodedadosbrasileiraparatambémtentaraplicarsuasleisdeproteçãodedadosaatividadesdeempresasbrasileiras ou ao processamento de dados vinculados ao Brasil, ainda que as asrespectivasempresasnãotenhamsedeemtalpaísestrangeiro.Issoreforçariaaindamaiso riscodeconflitode leis, trazendomais instabilidadee insegurança jurídicaparaaoperaçãodeempresasmultinacionais.

Paraevitaroriscodeconflitodeleiseaconsequenteinsegurançajurídicaedesestímuloaosnegóciosquetaisconflitostêmopotencialdegerar,sugerimosquesejadadaaoart.3ºaseguinteredação:

Art. 3º.Esta Lei aplica-seao responsável pelo tratamento dedados pessoais, quer se trate de pessoa física ou jurídica, dedireitopúblicoouprivado,cujasedeestejalocalizadanoBrasil.§1o.Estaleitambémseaplicaaotratamentodedadosrealizadono exteriorquando a coleta, armazenamento ou utilização dosdados pessoais ocorrer em local onde seja aplicável a leibrasileiraporforçadetratadoouconvenção.§ 2o. Se a lei do país onde está sediado o responsável pelotratamento de dados pessoais garantir proteção igual ousuperior à lei brasileira, aplicar-se-á ao respectivo operadorsediadonoBrasilaleiestrangeiranoquecouber.

6. [arts. 33 e 34]A lei deve prever diversas bases legais paras astransferênciasinternacionaisdedados

A previsão de bases legais amplas para as transferências internacionais de

dados,comoreconhecimentodeumasériedemecanismoslegítimosparaalémdaregradaadequação,comooconsentimento,ocumprimentodecompromissos

17

assumidos em acordo de cooperação internacional e a tutela da vida e daincolumidadefísicadostitulares,dentreoutros,sãomarcasdamaturidadeedaneutralidadetecnológicadoPL5276.Éespecialmentebem-vindaaincorporaçãode mecanismos amplamente aceitos como as"cláusulas contratuais padrão","padrões corporativos globais" e "regras corporativas globais" (conhecidos naEuropa como "Binding Corporate Rules" ou "BCRs"), posicionando o Brasil nocenáriodastransferênciasinternacionaisdedados.

Contudo,mesmo as clausulas contratuais padrao e as normas corporativasglobais têmassuas limitações:asprimeirasnãosão flexíveisepodemresultaremcomplexidadesindesejáveis,easúltimaslimitam-seatransferênciasdentrode um grupo corporativo.Assim, para que o Capítulo sobre a TransferênciaInternacional de Dados do PL 5276 seja aindamais aprimorada e ecoe aindamais a natureza global dos fluxos de dados modernos e das atividadeseconômicas a ele atreladas, o art. 33 deve incluir a previsão de mecanismoscomo selos, certificados e códigos de conduta organizacionais emitidos porterceirosqualificadoseaprovadospelaautoridadecompetente—sãoopçõesjádisponíveis em outras jurisdições, com o benefício de não se limitarem àstransferênciasdentrodeummesmogrupocorporativo.

Umexemplomarcanteda adoçãodessesmecanismos éo sistemadoCross-Border Privacy Rule (CBPR), desenvolvido e adotado no âmbito doForo deCooperação Econômica Ásia-Pacífico (APEC), e as certificações da UniãoEuropeia,noâmbitodoGDPR,amboscomoobjetivodeassegurarmecanismosde transferência de dados que permitam transferências não apenas dentro deummesmogrupocorporativoglobal,mastambémentreempresasnãoafiliadas.O México também está dando passos nesse mesmo sentido e recentementecolocou em prática um mecanismo de auto-regulação com o objetivo de secompatibilizar com o sistema CBPR e permitir fluxos de dados ainda maisseguros e confiáveis(http://www.dof.gob.mx/nota_detalle.php?codigo=5346597&fecha=29/05/2014). Selos, certificados e códigos de conduta internacionalmente reconhecidosapoiamastransferênciasinternacionaisdedadoseestimulamqueelassedêemcomresponsabilidadeetransparência.

No que diz respeito ao requisito do projeto de que apenas o "órgãocompetente"autorizeessas regrascorporativasoucódigosdecondutaglobais,sugerimosquesejamodificadoparaestimularqueopróprioórgãocompetente(1) desenvolva "cláusulas padrão" cuja adoção independa de autorizaçãoespecífica; (2) reconheça regras e códigos internacionalmente aceitos sem anecessidade de autorização específica; e (3) permita que organismos decertificação reconhecidos prevejam essas regras corporativas ou códigos decondutaglobais,bemcomoaprovemeatestemaadequaçãodasorganizaçõesaeles, de maneira semelhante ao papel desempenhado pelos chamadosAccountabilityAgents no sistema APEC CBPR e de modo a evitar gargalos deaprovaçãonoâmbitodasautoridadescompetentes.Nãoérealistanemdesejávelimpor ao órgão competente um volume desproporcional de processos

18

administrativosparaaaprovaçãoespecíficadetransferênciasinternacionaisdedados—essesprocessosdeaprovaçãopréviaeespecíficadevem,naverdade,ser reduzidos ao mínimo necessário e reservados aos casos excepcionais queefetivamente demandem a atenção do órgão competente. Se assim não for, oórgão competente teria que alocar praticamente a totalidade de seu tempoprodutivoparaanalisarpedidoseprocessosdeaprovaçãodetransferênciasdedados, o que, definitivamente, não implicaria uma atuaçãomais estratégica doórgão, muito menos níveis de proteção significativamente maiores para ostitularesdosdados.

ValeressaltarqueoForodeCooperaçãoEconômicaÁsia-PacíficoeaUniãoEuropeiatêmexploradomaneirasderacionalizarosprocessosdecertificaçãoeaprovaçãodeempresasqueprocurama"duplacertificação"nosdoissistemas,assimcomotêmexploradoformasdetornarasnovascertificaçõescomrelaçãoàGDPR compatíveis e interoperáveis em relação à CBPR. Tendo em vista essatendência,osmecanismossobretransferênciainternacionaldedadosprevistosna lei brasileira devemdesde já ser projetados demodo a que também sejaminteroperáveis em relação a estes e outros sistemas de cooperação similarespara transferências internacionais, para garantir que as empresas que tenhamrecebido aprovação sob um sistema não brasileiro possam alavancar suaaprovaçãonoBrasilevice-versa.

Benchmark internacional sobre transferência internacional de dados:

Tomando como exemplo o cenário internacional, é válido lembrar que países como os Estados Unidos, México, Canadá e Japão não impões restrições ex ante à transferência internacional de dados em suas lei gerais ou esparsas sobre proteção de dados.

A lei de proteção de dados do México incorpora grande parte da orientação do quadro de privacidade de APEC, prevendo mecanismos de "accountability" e reconhecendo a necessidade e o valor da transferências internacionais de dados pessoais. A legislação mexicana também aborda de forma clara as distintas obrigações e direitos existentes na medida em que os dados pessoais são transferidas entre "controladores" e "processadores" de dados", além da documentação necessária para garantir o cumprimento das exigências legais.

Da mesma forma, o Canadá, através do PIPEDA (Personal Information Protection and Electronic Documents Act), adota uma abordagem "de organização para organização", que não se baseia no critério de adequação para viabilizar as transferências internacionais de dados. O PIPEDA não proíbe as organizações no Canadá de transferir dados pessoais para uma organização em outra jurisdição para fins de tratamento de dados. As organizações são responsáveis pela proteção dos dados pessoais transferidos nos termos dos acordos de transferência que lhes dão base. A autoridade de proteção de dados canadense (Office of the Privacy Commissioner) pode investigar reclamações e auditar as práticas de transferências de dados pessoais das diferentes organizações.

19

Em suma, dada a variedade de mecanismos disponíveis para as transferências internacionais de dados, os regimes de privacidade locais devem se concentrar em reconhecer ferramentas alternativas de co-regulação, de modo que os custos de se observar as diferentes regras internacionais aplicáveis às transferências internacionais de dados sejam razoáveis e proporcionais.

Combasenessasconsiderações,sugerimosasseguintesemendasaoCapítulo

sobreaTransferênciaInternacionaldeDadosdoPL5276:

Art. 33.A transferência internacional de dados pessoais somente épermitidanosseguintescasos:I-parapaísesqueproporcionemníveldeproteçãodedadospessoaisaomenosequiparávelaodestaLei;II -quandoa transferência fornecessáriaparaa cooperação judicialinternacionalentreórgãospúblicosdeinteligênciaedeinvestigação,deacordocomosinstrumentosdedireitointernacional;III-quandoatransferênciafornecessáriaparaaproteçãodavidaoudaincolumidadefísicadotitularoudeterceiro;IV-quandooórgãocompetenteautorizaratransferência;V - quando a transferência resultar em compromisso assumido emacordodecooperaçãointernacional;VI - quando a transferência fornecessáriapara execuçãodepolíticapúblicaouatribuiçãolegaldoserviçopúblico,sendodadapublicidadenostermosdoart.24;ouV - quando o titular tiver fornecido o seu consentimento para atransferência, com informação prévia a específica sobre o caráterinternacionaldaoperação,comalertaquantoaosriscosenvolvidos.VI - quando o responsável pelo tratamento comprovar que atransferência se baseia em cláusulas contratuais padrãoaprovadas pelo órgão competente ou em regras e códigosinternacionalmenteaceitos;VII - quando o responsável pelo tratamento comprovar quedetémselos, certificados ou códigos de conduta e adequaçãoemitidos por organismos de certificação qualificados eaprovadospeloórgãocompetente.Parágrafoúnico.Oníveldeproteçãodedadosdopaísestrangeiroseráavaliadopeloórgãocompetente,quelevaráemconta:

20

I - as normas gerais e setoriais da legislação em vigor no país dedestino;II-anaturezadosdados;III-aobservânciadosprincípiosgeraisdeproteçãodedadospessoaisprevistosnestaLei;IV-aadoçãodemedidasdesegurançaprevistasemregulamento;V-asoutrascircunstânciasespecíficasrelativasàtransferência.Art.34.Aautorização referidano inciso IVdocaputdoart.33 seráconcedida quando o responsável pelo tratamento apresentargarantiassuficientesdeobservânciadosprincípiosgeraisdeproteçãoe dos direitos do titulare será dispensável nas hipóteses dosincisosVIeVIIdoart.33destaLei. apresentadasemcláusulascontratuais aprovadas pelo órgão competente para umatransferênciaespecífica, emcláusulas contratuaispadrãoouemnormascorporativasglobais,nostermosdoregulamento.§1ºOórgãocompetentepoderáelaborarcláusulascontratuaispadrãoou homologar dispositivos constantes em documentos quefundamentem a transferência internacional de dados, que deverãoobservar os princípios gerais de proteção de dados e os direitos dotitular, garantida a responsabilidade solidária do cedente e docessionário,independentementedeculpa.§2ºOsresponsáveispelotratamentoquefizerempartedeummesmogrupoeconômicoou conglomeradomultinacionalpoderão submeternormas corporativas globais à aprovação do órgão competente,obrigatórias para todas as empresas integrantes do grupo ou doconglomerado, a fim de obter permissão para transferênciasinternacionais de dados dentro do grupo ou do conglomerado semnecessidade de autorizações específicas, observados os princípiosgeraisdeproteçãoeosdireitosdotitular.§3ºNaanálisedecláusulascontratuais,dedocumentosoudenormascorporativas globais submetidas à aprovação do órgão competente,poderão ser requeridas informações suplementares ou realizadasdiligênciasdeverificaçãoquantoàsoperaçõesdetratamento.

21

§4ºAs garantias suficientes de observância dos princípios gerais deproteção e dosdireitos do titular referidasno caput serão, também,analisadasdeacordocomoprevistonos§1ºe§2ºdoart.45.