Resumo
Em uma sociedade em constante busca de conhecimento e informação, onde os dados pessoais tornaram-se uma moeda de troca e um verdadeiro parâmetro de pesquisa e influência, a Lei Geral de Proteção de Dados surge como uma ferramenta que visa assegurar o direito à privacidade, à liberdade e ao livre desenvolvimento da pessoa natural. Em vista disso, propõe-se um estudo dos aspectos principais da LGPD, seus objetivos, fundamentos, conceitos relevantes e determinações, bem como, a verificação da influência dessa nova legislação nas Câmaras Arbitrais e procedimentos de Arbitragem Internacional. Será demonstrada a necessidade de proteção dos dados tratados pelas Câmaras Arbitrais e as principais legislações internacionais que influenciaram direta ou indiretamente na criação da Lei Geral de Proteção de Dados através de uma análise bibliográfica e comparativa. Por fim, serão verificadas ainda as principais medidas preventivas a serem adotadas para proteger os dados coletados no âmbito das arbitragens internacionais.
Palavras-chave: Lei Geral de Proteção de Dados. Tratamento de Dados. Arbitragem Internacional. Direito Internacional. Câmaras Arbitrais.
INTRODUÇÃO
Os procedimentos arbitrais são geralmente protegidos por sigilo, sendo resguardados os atos procedimentais e provas obtidas durante o procedimento, porém, é inegável que por trás de todo procedimento, seja entre pessoas físicas ou jurídicas, são coletados diversos dados pessoais. O crescimento das relações negociais internacionais alavancou também a utilização da Arbitragem Internacional como um mecanismo de resolução de eventuais conflitos decorrentes das relações contratuais. Essas relações muitas vezes englobam o cadastro de dados pessoais dos sujeitos envolvidos no procedimento arbitral: partes, advogados, árbitros, experts, testemunhas, dentre outros. Além disso, a própria dilação probatória poderá coletar dados referentes a terceiros por meio de depoimentos e provas documentais.
Todas essas informações coletadas são armazenadas em um banco de dados, normalmente no sistema interno de uma Câmara Arbitral. Diante desse cenário, é necessário resguardar os dados armazenados e fazer a devida adequação das Câmaras Arbitrais às exigências apontadas pela Lei Geral de Proteção de Dados que entrou em vigor em 18 de setembro de 2020.
Ao longo deste estudo serão abordados os aspectos gerais da LGPD, seus principais conceitos e princípios, bem como, será realizada uma análise comparativa entre a Lei Geral de Proteção de Dados e sua antecessora na Europa: a General Data Protection Regulation – GDPR. Serão elencadas também algumas das recomendações elaboradas pela do Protocolo de Cybersegurança na Arbitragem Internacional da International Council for Commercial Arbitration -ICCA, em parceria com a New York City Bar Association e o International Institute for Conflict Prevention & Resolution.
Outro aspecto abordado será a necessidade de adequação das Câmaras Arbitrais às disposições da LGPD, a observância aos critérios de transferência internacional de dados e as medidas que podem ser adotadas a fim de garantir a segurança dos dados coletados e assegurar o direito dos titulares.
ASPECTOS GERAIS DA LGPD
A troca de conhecimento e informações sempre foi uma atividade presente no comportamento humano, porém, atualmente, muito mais do que apenas dados, essas informações tornaram-se mercadorias valiosas. Os dados coletados em diversas plataformas têm transformado as informações pessoais em um verdadeiro produto, vendido com o intuito de identificar padrões, preferências e opiniões sob o pretexto de melhor adequar os serviços às necessidades de seus clientes.
Mas a partir do momento em que essa coleta de informações é tratada como mercadoria, o titular se torna o produto e não mais o cliente. Apesar de o tratamento de dados ser uma prática recorrente e necessária para o bom funcionamento de diversos setores da sociedade, é preciso estabelecer limites para o tratamento desses dados a fim de assegurar a privacidade do titular dessas informações.
Além disso, a tecnologia e a inovação tem sido aspectos essenciais para o desenvolvimento da sociedade contemporânea, de modo que, a globalização proporcionada pelo acesso à internet e o crescimento da troca de informações online, bem como, das redes sociais e aplicativos, intensificou a necessidade de proteção dos dados que são compartilhados pelos usuários.
De acordo com FRAZÃO, TEPEDINO e OLIVA:
Com o acelerado desenvolvimento tecnológico e a consolidação de espaços públicos virtuais, a gestão da informação sobre si próprio tornou-se expressão fundamental do indivíduo. Por conseguinte, revela-se impossível cogitar a proteção integral à liberdade, à privacidade e ao desenvolvimento da pessoa natural sem que se lhe garanta eficaz defesa e controle de seus próprios dados – o que se traduz na expressão autodeterminação informativa. (FRAZÃO; TEPEDINO; OLIVA, 2019, p. 677/678)
A Lei Geral de Proteção de Dados surge com o intuito de atender aos aspectos jurídicos dessas novas demandas que são apresentadas pela Pós-Modernidade.
O Art. 1° da referida lei apresenta em termos gerais o objeto a ser regulado por ela e o objetivo da criação da LGPD:
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018, Art.1º)
O objetivo da Lei Geral de Proteção de Dados é, portanto, assegurar o direito de privacidade e liberdade dos usuários, assim como, garantir o livre desenvolvimento da pessoa natural, resguardando seus dados pessoais.
Vale ressaltar que a lei abrange tanto os dados tratados por meio digital quanto por meios não- digitais, tratados por pessoas físicas ou jurídicas, de direito público ou privado, devendo ser observada em todo o território nacional.
Segundo COSTA:
Em uma Era na qual reputação e credibilidade são julgadas tão rapidamente quanto o dedilhar dos limitados caracteres dos aplicativos de smartphones, e diante da flagrante fragilidade dos usuários da internet perante o tratamento e a manipulação dos seus dados, a preservação da privacidade, ancorada pela então frágil autodeterminação informativa, esta entendida como a faculdade de que toda e qualquer pessoa possa determinar os limites do uso de seus dados pessoais ganha aos poucos a proteção estatal. Ainda que a preocupação pela privacidade remonte à Antiguidade, é na sociedade moderna que o embate entre o avanço tecnológico e a invasão da vida privada carece cada vez mais de proteção, fazendo com que as legislações nacionais primem por legislar quanto à coleta, ao armazenamento, ao uso e à transmissão dos dados pessoais. (COSTA, 2019, p. 4)
No que diz respeito à abrangência da lei, o Art.3° da LGPD elenca também a possibilidade de aplicação da lei a dados em tratamento em outros países, desde que, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, o tratamento de dados de indivíduos localizados no território nacional; ou ainda de dados que tenham sido coletados no território nacional, sendo assim considerado se a pessoa titular dos dados estiver no Brasil no momento da coleta.
O Art.5° da LGPD apresenta alguns conceitos extremamente relevantes para a abordagem da matéria, sendo essencial ressaltar alguns deles: o conceito de dado pessoal, tratamento, banco de dados, titular, controlador, operador, encarregado e agentes de tratamento.
O dado pessoal é toda informação relativa a uma pessoa identificada ou identificável, há ainda o dado pessoal sensível que diz respeito à aspectos raciais e étnicos, sexuais, dados referentes à saúde, genéticos ou biométricos, ou dados referentes a filiação a organizações religiosas, políticas, filosóficas ou sindicatos. Existe também o dado anonimizado que se refere ao caso em que não é possível identificar, através dos meios disponíveis no momento do tratamento, a pessoa natural titular da informação.
O tratamento consiste em toda operação realizada com dados pessoais, desde a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.
Outros conceitos importantes são os sujeitos envolvidos na operação de tratamento de dados. O titular é a pessoa a quem os dados tratados se referem, o controlador é o sujeito a quem compete as decisões acerca do tratamento desses dados, podendo ser tanto pessoa natural quanto jurídica, de direito público ou privado.
Há ainda o operador, aquele que de fato realiza o tratamento dos dados em nome do controlador, havendo também, o encarregado, a pessoa indicada para ser um canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados. Já a atuação conjunta do controlador e operador forma o conjunto de sujeitos denominados como agentes de tratamento.
A LGPD tem como princípios: a finalidade que determina que os dados coletados deverão ser usados apenas para o fim específico informado ao titular; a adequação da forma de tratamento utilizada à sua finalidade; a necessidade, devendo o tratamento restringir-se ao mínimo de informações necessárias para cumprir a finalidade; o livre acesso do titular às suas informações; a qualidade dos dados coletados; a segurança; transparência; a prevenção; a não-discriminação; responsabilização e a prestação de contas.
O Art. 18 da LGPD lista ainda alguns dos direitos do titular, sendo estes o direito de obter do controlador dos dados a confirmação da existência de tratamento, o acesso aos dados tratados, a correção de dados que eventualmente estejam incompletos ou desatualizados, a anonimização, bloqueio ou eliminação de dados desnecessários, a portabilidade desses dados para outro fornecedor de produto ou serviço, informação sobre as entidades com as quais o controlador compartilhou esses dados, a revogação do consentimento e informações sobre a possibilidade de não dar o consentimento e as consequências de uma eventual negativa.
Em face do exposto, é possível verificar que o principal intuito desta legislação é proteger os dados pessoais dos titulares a fim de assegurar o direito à privacidade constitucionalmente estabelecido no Art. 5, X da Constituição Federal. A LGPD surge com o intuito de impedir a comercialização desenfreada de dados pessoais, visando preservar o direito ao livre desenvolvimento do indivíduo a fim de que este não seja transformado em um mero produto em meio à sociedade da informação.
LEGISLAÇÕES INTERNACIONAIS E ESTRANGEIRAS SOBRE PROTEÇÃO DE DADOS
A necessidade de proteção dos dados pessoais é um fator que não se limita ao território nacional, mas que tem se evidenciado mundialmente, gerando então o surgimento de diversas legislações e protocolos internacionais que buscam regular a matéria.
Com a expansão das relações pessoais, comerciais, negociais e jurídicas para além das fronteiras nacionais, surgiu a necessidade de observar, nas transações internacionais, as leis acerca do tratamento de dados.
Em decorrência disto, a criação da LGPD foi fortemente influenciada por outros dispositivos internacionais e estrangeiros que já vinham sendo implementado em outros países, uma dessas legislações foi a General Data Protection Regulation – GDPR, adotada pela União Europeia para proteger os dados pessoais referentes a seus cidadãos.
A criação da GDPR uniformizou os critérios para tratamento de dados em toda a União Européia, gerando uma forte pressão internacional a fim de que os demais países, inclusive o Brasil, se adequassem e implementarem normas mais rígidas de tratamento de dados para dar continuidade a suas relações comerciais com a Europa:
Além das questões éticas, a pressão internacional exercida pela General Data Protection Regulation (GDPR) da União Europeia (UE) foi uma motivação, definindo que apenas organizações de países com um nível maior ou igual de rigor para proteção de dados em legislação podem armazenar dados pessoais dos cidadãos da União Européia, impactando, por exemplo, diretamente os negócios brasileiros. (CARVALHO; OLIVEIRA; CAPPELI; MAJER, 2019, p.1)
A GDPR entrou em vigor em 25 de maio de 2018 sendo aplicável a todos os países membros da União Europeia e surgiu como uma verdadeira revolução acerca do conceito de privacidade ao regular o tratamento de dados pessoais de todos os cidadãos da União Europeia independentemente de onde esses dados serão tratados (GODDARD, Michel, 2017, p.703, tradução nossa).3
Existem claras semelhanças entre a GDPR e a LGPD que evidenciam o uso da legislação europeia como uma fonte de inspiração na elaboração da Lei Geral de Proteção de Dados, tal fato é constatado, por exemplo, na conceituação legal de alguns termos.
Tanto a LGPD em seu Art.5, inciso I quanto à GDPR em seu Art. 4 (1) definem dados pessoais como qualquer informação relativa a uma pessoa natural identificada ou identificável. Já o termo tratamento, conceituado no Art.5, X da LGPD e no Art.4°(2) da GDPR, apresenta algumas divergências entre as duas leis, sendo importante ressaltar que ambas apresentam um rol de operações realizadas com dados pessoais que se enquadram no conceito, levantando divergências acerca da taxatividade ou não desse dispositivo.
Ambas as legislações, na redação do conceito de tratamento de dados passam a ideia de um rol meramente exemplificativo:
Art. 5º Para os fins desta Lei, considera-se:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;” (BRASIL, LGPD, 2018, Art. 5º)
Art. 4º Para fins desta lei, considera-se:
(2) processamento’ significa qualquer operação ou conjunto de operações realizado em dados pessoais ou em conjuntos de dados pessoais, por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilizando, alinhamento ou combinação, restrição, apagamento ou destruição; (UNIÃO EUROPÉIA, GDPR, 2018, Art. 4º-2, tradução nossa).4
Essa inexatidão no conceito de tratamento de dados pode criar um cenário de enorme insegurança para os agentes de tratamento que precisam enquadrar-se nos parâmetros legais. Com um rol tão extenso e ampliável é preciso haver uma cuidadosa observância das medidas necessárias para proteção de dados pessoais.
Outra comparação necessária diz respeito aos princípios norteadores de ambas as legislações em análise. A LGPD em seu Art. 6 elenca 10 princípios que devem ser observados, já a GDPR em seu Art. 5 enumera 8 princípios, apesar de haver algumas divergências entre uma lei e outra, muitos desses institutos se correspondem em ambas as legislações.
O princípio da finalidade apresenta-se em ambas as leis com a mesma nomenclatura, já a adequação, prevenção e necessidade presentes na LGPD apresentam-se reunidos na GDPR como um mesmo princípio: a minimização de danos. O princípio do livre acesso, previsto na legislação brasileira não encontra um correspondente na lei adotada pela União Europeia.
A qualidade dos dados é nomeada na GDPR como o instituto da exatidão dos dados tratados, já os conceitos de não-discriminação e transparência foram reunidos em um único princípio: o da justiça e transparência. O conceito de segurança do tratamento de dados é nomeado na legislação Europeia como integridade e confidencialidade. No que concerne à responsabilidade e prestação de contas previsto pela LGPD, na GDPR consta apenas o princípio da prestação de contas.
Vale ressaltar que a GDPR adota um princípio que não foi incorporado à legislação brasileira: o instituto da limitação de armazenamento, que consiste na limitação do armazenamento dos dados por tempo não superior ao necessário para os fins os quais os dados são processados. Abre-se a exceção por períodos mais longos desde que os dados sejam processados para fins exclusivamente de interesse público, pesquisa científica, histórica ou fins estatísticos, devendo ser adotadas as medidas preventivas previstas pela GDPR.
Além da influência direta da GDPR, especificamente no que concerne à proteção de dados no âmbito da Arbitragem Internacional, a Lei Geral de Proteção de Dados foi precedida também por um protocolo elaborado pelo International Council for Commercial Arbitration -ICCA, em parceria com a New York City Bar Association e o International Institute for Conflict Prevention & Resolution por meio do Working Group on Cybersecurity in International Arbitration que traçou diretrizes gerais para melhorar a cibersegurança nos procedimentos arbitrais.
Esse protocolo tem o status de soft law, uma vez que, foi elaborado por organismos não- estatais visando traçar parâmetros gerais e orientações sobre proteção de dados:
Em síntese, normas não-estatais devem ser compreendidas como normas emanadas por entes não estatais e que não são consideradas vinculantes. Para fim do estudo sobre processo arbitral, são normas não estatais os instrumentos elaborados por organizações
internacionais, instituições arbitrais e entidades destinadas ao estudo e ao desenvolvimento da arbitragem. Podem ter a forma de leis-modelo, diretrizes, regulamentos, resoluções, regras, checklists, notas, códigos de conduta, entre outros, com a finalidade de organizar o procedimento arbitral, ou certos aspectos desse procedimento, e não possuem caráter mandatório ou vinculante. (MANGE; 2014, p. 194)
O Protocolo da ICCA de Cibersegurança na Arbitragem Internacional não tem como intuito estabelecer uma forma específica de proteção de dados no procedimento arbitral, mas oferece diretrizes, princípios gerais que podem ser considerados pelas partes e pelo Tribunal Arbitral, resguardada a autonomia da vontade das partes e a independência dos árbitros para julgar quais medidas seriam necessárias frente às circunstâncias de cada caso.
O Protocolo da ICCA ressalta a importância de que, uma vez estipuladas as medidas para proteção de dados, estas devem ser devidamente observadas por todos os envolvidos no procedimento arbitral, como dispõe o Princípio 3:
As partes, árbitros e instituições administradoras devem garantir que todas as pessoas direta ou indiretamente envolvidas em uma arbitragem em seu nome estejam cientes e sigam quaisquer medidas de segurança da informação adotadas em um processo, bem como o impacto potencial de quaisquer incidentes de segurança (ICCA, 2020, p. 1, tradução nossa)5
A não observância das medidas de segurança adotadas pode gerar punições para aquele que eventualmente dê causa a um vazamento de informações e incidentes de segurança da informação podem gerar uma alocação dos custos entre as partes, conforme prevê o Princípio 13 do Protocolo da ICCA:
Em caso de violação das medidas de segurança da informação adotadas em procedimento arbitral ou na ocorrência de incidente de segurança da informação, o tribunal arbitral poderá, a seu critério: (a) alocar os custos relacionados entre as partes; e / ou (b) impor sanções às partes (ICCA, 2020, p. 3, tradução nossa).6
Para que sejam determinadas as medidas de proteção de dados adequadas a cada caso, o Protocolo sugere no Princípio nº 6 alguns fatores a serem considerados pelas partes, pela Câmara Arbitral e pelo Tribunal Arbitral: o perfil de risco da arbitragem; as práticas existentes de segurança da informação, infraestrutura e capacidade das partes; os encargos, custos e recursos; a proporcionalidade em relação ao tamanho, valor e perfil de risco da controvérsia e a eficiência do procedimento arbitral.
O instituto traz ainda uma lista das principais áreas de vulnerabilidade que precisam ser observadas e fortalecidas para garantir a maior proteção dos dados pessoais coletados durante um procedimento arbitral, como dispõe o Princípio nº 7 do Protocolo da ICCA:
Princípio 7 Ao considerar as medidas específicas de segurança da informação a serem aplicadas em uma arbitragem, devem ser consideradas as seguintes categorias:
-
gestão de ativos;
-
controles de acesso;
-
criptografia;
-
segurança das comunicações;
-
segurança física e ambiental;
-
segurança das operações; e
-
gestão de incidentes de segurança da informação. (ICCA, 2020, 2, tradução nossa)7
Diante disto, é possível verificar que, em todo o mundo, a proteção de dados, sejam eles armazenados em meio físico ou virtual, tem sido alvo de muitos questionamentos e estudos, havendo ainda um cenário de incerteza mesmo nos países que já regulamentaram a matéria. Assim como o modo de compartilhar informações está em constante mudança, a proteção dessas informações é uma atividade dinâmica e extremamente necessária. Nenhuma legislação foi capaz de trazer uma resposta definitiva acerca da segurança de dados, mas é evidente o crescimento desse setor no estudo do Direito.
A NECESSIDADE DE PROTEÇÃO DE DADOS NAS CÂMARAS DE ARBITRAGEM
A Lei de Arbitragem em seu Art. 10 estabelece a necessidade de qualificação das partes compromitentes, a fim de que haja identificação dos contratantes. A esse respeito o douto professor Carlos Alberto Carmona delineia:
O primeiro inciso do Art.10 preocupou-se com a qualificação, tão completa quanto possível, das partes compromitentes. O objetivo da regra sob análise é apenas o de deixar fora de qualquer dúvida a identificação dos contratantes. (CARMONA, 2009, p.198)
Essa qualificação dos sujeitos envolvidos no procedimento arbitral enquadra-se exatamente no conceito de dado pessoal apresentado pela LGPD, uma vez que, ao longo do procedimento arbitral serão coletadas diversas informações relativas às partes devidamente identificadas.
Vale salientar que, ainda que o procedimento envolva pessoas jurídicas, algumas das informações coletadas podem referir-se especificamente a pessoas naturais ocupantes de cargos
diretivos das empresas envolvidas, enquadrando-se, nesses casos, no conceito de dado pessoal protegido pela LGDP.
Como resultado dessa necessidade de qualificação e coleta de informações, as Câmaras Arbitrais possuem um enorme banco de dados acerca de seus clientes, árbitros, experts e testemunhas, seja por meio de um cadastro desses dados em seu sistema interno, seja através das provas coletadas no curso do procedimento arbitral, em decorrência disto, há a necessidade de regular o tratamento desses dados.
Em uma sociedade em que a reputação e a opinião pública são fatores tão relevantes para uma empresa quanto os seus próprios rendimentos, é preciso atentar para a adoção de ações preventivas para proteção de dados pessoais. As medidas de proteção de dados são tão necessárias quanto as ferramentas de compliance para afastar o envolvimento em atos anticoncorrenciais, as medidas para maior diversidade e inclusão, bem como, a preocupação com a consciência ambiental que atualmente são fatores extremamente relevantes para a imagem de uma empresa. A adoção dessas medidas já se tornou um fator diferencial na competitividade do mercado.
As Câmaras Arbitrais, tais quais as empresas privadas, devem grande parte de sua atuação ao prestígio a elas associado, de modo que, qualquer matéria capaz de interferir na credibilidade dessas instituições, precisa ser devidamente analisada.
Atualmente já existem casos de ataques cibernéticos a Câmaras Arbitrais, cabendo destacar o caso ocorrido em 2015 na Permanent Court of Arbitration em Haia, na Holanda, na qual ocorreu um ataque cibernético ao site da Câmara Arbitral no curso de um procedimento entre a China e as Filipinas acerca do controle do Mar do Sul da China. Ocorre que a invasão do site possibilitou o acesso aos computadores dos diplomatas e advogados envolvidos no caso, de modo que a China contou com uma vantagem indevida.
O próprio Judiciário brasileiro vem sendo alvo de ataques cibernéticos que já invadiram o sistema do Superior Tribunal de Justiça em 03 de novembro de 2020, o que gerou a suspensão dos prazos processuais e sessões de julgamento (VALENTE; VITAL; 2020, p.1). De igual modo, o Tribunal Regional Federal da 1ª Região sofreu um ataque cibernético pelo qual um perfil anônimo na rede social Twitter assumiu a autoria no dia 27 de novembro de 2020 (JURINEWS; 2020, p.1)
Os ataques cibernéticos são uma realidade assustadora tanto no setor público quanto no privado e causam danos irreparáveis às organizações atacadas. No âmbito das Câmaras Arbitrais esse prejuízo pode ser ainda maior, compreendendo não apenas danos econômicos, como também, possibilitando a realização de quebras de confiança que comprometeriam a credibilidade da instituição e colocariam em dúvida a independência e a imparcialidade dos árbitros.
A necessidade de proteção dos dados nas Câmaras Arbitrais não se restringe ao âmbito do procedimento arbitral, abrangendo também as informações armazenadas para além do procedimento a fim de que essas não venham a ser acessadas ilegalmente e utilizadas para outras finalidades.
No ano de 2015, a Cambridge Analytica, uma firma britânica, acessou dados pessoais de 87 (oitenta e sete) milhões de usuários do Facebook para fazer a análise dessas informações e através delas e influenciar os eleitores nos Estados Unidos da América (ISAAK E HANNA, 2018, p.56/59). Outro caso importante ocorreu em 2014, no Brasil, no qual a empresa de telecomunicação Velox foi acusada de vender dados pessoais de seus clientes a terceiros, ilegalmente, sendo condenada a pagar multa de R$3,5 milhões (ZANATTA, 2015, p.447/470). Ambos os casos, demonstram que, por mais irrelevante que a informação aparente ser, esta precisa ser resguardada e deve atender aos limites da finalidade para a qual foi coletada, sendo sempre observado o consentimento do titular.
Outro fator indispensável à adequação das Câmaras Arbitrais à LGPD é o da transferência internacional de dados, entendida com a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
A LGPD regula o tema nos seus Artigos 33 a 36 e apresenta as hipóteses em que é autorizada a transferência internacional de dados:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
-
– para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
-
– quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
-
cláusulas contratuais específicas para determinada transferência;
-
cláusulas-padrão contratuais;
-
normas corporativas globais;
-
selos, certificados e códigos de conduta regularmente emitidos;[…](BRASIL, LGPD, 2018, 33)