Fique por dentro – Transferência Internacional de Dados para o CNU (LGPD)

Estude Transferência Internacional de Dados para o CNU 2025!

Olá, tudo bem? Hoje faremos um resumo sobre a Transferência Internacional de Dados, visando ao CNU (Concurso Nacional Unificado), com base na Lei 13.709/2018 (LGPD).

O edital do CNU (o “ENEM dos concursos”) foi lançado e destrinchado em 09 blocos temáticos do CNU 2025, conforme as suas respectivas “áreas de conhecimento”.

Foram disponibilizadas 3.652 vagas para este próximo certame, sendo 2.480 imediatas e 1.172 para formação de cadastro reserva, com salários variando de R$4.804,89 a R$16.413,35.

Portanto, vamos ao que interessa!

Tratamento de Dados Pessoais pelo Poder Público para o CNU (LGPD)

Considerações iniciais e previsão legal

A Constituição Federal de 1988 foi alterada em 2022 pela Emenda Constitucional nº 115/2022, a qual incluiu no artigo 5º o inciso LXXIX, que passou a prever que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Embora antes dessa Emenda a proteção de dados já fosse uma realidade no Brasil, a partir dela o legislador-constituinte alçou essa proteção a um status constitucional e, além disso, de direito fundamental.

Atualmente, a legislação responsável por disciplinar o tratamento de dados no País é a Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), sobre a qual iremos falar agora.

Tratamento de dados pessoais

Antes de falarmos sobre a transferência internacional de dados, é importante saber alguns conceitos trazidos pela própria LGPD. 

A LGPD conceitua o dado pessoal como sendo a informação relacionada a pessoa natural identificada ou identificável (art. 5º, inc. I). 

Já o enquanto o dado pessoal sensível consiste no dado pessoal que seja sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, inc. II).

O tratamento consiste em toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, inc. X).

Compartilhamento de dados pessoais

O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais.

Nessa esteira, o Supremo Tribunal Federal entende que deve haver rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais (STF, ADI 6649, Tribunal Pleno, Relator Ministro Gilmar Mendes, julgado em 15-09-2022)

Transferência internacional de dados pessoais

Vamos agora ver as hipóteses de transferência internacional de dados, foco principal deste nosso artigo para o CNU!

Hipóteses previstas (rol taxativo)

O artigo 33 da LGPD é o responsável por prever as hipóteses de transferência internacional de dados pessoais:

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Note que o artigo 33 traz um ROL TAXATIVO de hipóteses de transferência internacional de dados pessoais, ou seja, que só poderá ocorrer naqueles casos ali especificados.

Inciso I (nível de proteção de dados)

De todos os incisos acima vistos, com certeza o inciso I é o que é mais destrinchado pela própria LGPD.

Com efeito, para os fins do inciso I, a LGPD prevê que os órgãos públicos da Administração Direta e as entidades da Administração Indireta poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

No entanto, esse requerimento deve guardar pertinência com as competências legais.

Para a avaliação desse nível de proteção, a autoridade nacional levará em consideração 

(i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; 

(ii) a natureza dos dados; 

(iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei; 

(iv) a adoção de medidas de segurança previstas em regulamento; 

(v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e 

(vi) outras circunstâncias específicas relativas à transferência.

Inciso II 

Nas alíneas do inciso II do artigo 33 da LGPD, fala-se em transferência internacional quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

Você deve estar se perguntando o que são essas cláusulas, normas, selos, certificados, códigos, … A resposta vai depender da definição e da verificação da autoridade nacional, conforme artigo 35 da LGPD:

Note que a “definição do conteúdo” refere-se às cláusulas-padrão, enquanto a “verificação” refere-se às demais garantias. 

Para a verificação, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios da LGPD. Ainda, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.

A autoridade nacional poderá designar organismos de certificação para isso, os quais permanecerão sob sua fiscalização nos termos definidos em regulamento. Além disso, a autoridade nacional também poderá revisar os atos realizados por organismo de certificação e, caso em desconformidade com a LGPD, esses atos serão submetidos a revisão ou anulados.

As garantias suficientes também serão analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 da Lei. Por fim, as alterações nas garantias apresentadas como suficientes deverão ser comunicadas à autoridade nacional.

Inciso IX do art. 33 

O inciso IX do artigo 33 permite a transferência internacional de dados pessoais “para atender às hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei”.

O inciso II do art. 7º prevê a hipótese de tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória pelo controlador.

Já o inciso V do art. 7º prevê esse tratamento quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

Por fim, o inciso VI do art. 7º autoriza o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/1996 (Lei de Arbitragem).

Considerações finais

Portanto, pessoal, esse foi nosso breve resumo sobre a Transferência Internacional de Dados, visando ao CNU (Concurso Nacional Unificado), com base na Lei 13.709/2018 (LGPD).

Como vimos, a transferência internacional de dados pessoais somente é permitida nos casos previstos no artigo 33 da LGPD, sendo necessária, ainda, a avaliação do nível de proteção de dados do país estrangeiro ou do organismo internacional.

Nosso tempo aqui é breve e não conseguimos, claro, esgotar o assunto. Portanto, não deixe de revisar o tema em seu material de estudo e praticar com diversas questões.

Até a próxima!

Saiba tudo sobre o novo CNU!

Quer saber tudo sobre concursos previstos?
Confira nossos artigos!

Leia também: