LGPD e a Teia Global dos Dados: Responsabilidades de Empresas Nacionais, Estrangeiras com Escritório e o “Estrangeiro Invisível”

1. Introdução

No ecossistema atual da informática, onde o “as a service” e a infraestrutura em nuvem apagaram as fronteiras geográficas, o vazamento de dados deixou de ser apenas uma falha de firewall para se tornar um problema jurídico de alta complexidade. Para os profissionais de TI e segurança da informação, entender a Lei Geral de Proteção de Dados (Lei 13.709/2018) não é mais uma exclusividade do departamento jurídico; é um requisito técnico para arquitetura de sistemas.

Neste artigo, vamos dissecar como a LGPD se aplica a três perfis distintos de empresas que lidam com dados de cidadãos brasileiros, focando nas implicações de um incidente de vazamento:

1. Empresas sediadas no Brasil.
2. Empresas sediadas no exterior, mas com escritórios representativos no Brasil.
3. Empresas sediadas no exterior sem qualquer representação física no Brasil.

A pergunta que norteia este estudo é: em caso de vazamento, quem responde? E como o profissional de TI deve agir em cada cenário?

2. O Pilar da Extraterritorialidade

Diferente do Marco Civil da Internet, que tinha uma abordagem mais territorialista, a LGPD é explicitamente extraterritorial. O artigo 3º da lei afirma que ela se aplica a qualquer operação de tratamento realizada em território nacional, ou cujo objetivo seja oferecer ou fornecer bens ou serviços ou tratar dados de indivíduos localizados no Brasil.

Isso significa que, para a lei, a localização do datacenter é menos relevante do que a intencionalidade do negócio em relação ao público brasileiro.

3. Análise por Perfil de Empresa
4. A) Empresas sediadas no Brasil:

O Cenário: A empresa possui CNPJ ativo, sede física, servidores (próprios ou em nuvem) e está formalmente estabelecida no país.

Responsabilidade em caso de vazamento:

Aqui a responsabilidade é direta, solidária e objetiva em muitos casos. A empresa é considerada o Controlador (quem decide o que fazer com os dados). Em caso de incidente de segurança que leve a vazamento acidental ou ilícito, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções que vão desde advertências até multas de até 2% do faturamento (limitado a R$ 50 milhões por infração).

Visão do profissional de TI:

Para esse grupo, a LGPD exige a implementação de medidas técnicas específicas (Art. 46). O profissional de TI deve garantir:

• Relatórios de Impacto: Documentar a arquitetura de segurança.
• Plano de Resposta a Incidentes: A ANPD exige notificação em prazo razoável. O fórum de TI precisa debater ferramentas de DLP (Data Loss Prevention) e SIEM (Security Information and Event Management) que permitam a detecção e comunicação ágil do vazamento.

1. Empresas estrangeiras com escritório representativo no Brasil

O Cenário: Empresas como Google, Microsoft, ou grandes bancos internacionais. Possuem matriz fora, mas uma subsidiária ou filial no Brasil (CNPJ local). Os dados muitas vezes são replicados para datacenters no exterior.

Responsabilidade em caso de vazamento:

Juridicamente, a LGPD considera a subsidiária brasileira como corresponsável (solidária). Mesmo que o vazamento ocorra em um servidor na sede global (ex: EUA), a ANPD pode autuar a pessoa jurídica estabelecida no Brasil.

Visão do Profissional de TI:

A complexidade aqui é o compartilhamento internacional de dados. O profissional de TI precisa garantir que existam cláusulas contratuais padrão (SCCs) ou mecanismos de adequação que justifiquem a transferência dos dados para fora.

• Desafio Técnico: Em caso de vazamento, o time de TI local muitas vezes tem visibilidade limitada sobre a infraestrutura global. A Lei obriga a comunicação entre os controladores. É fundamental que os logs de acesso e os sistemas de monitoramento do exterior sejam acessíveis ao escritório brasileiro para que o prazo de notificação (que pode ser de até 72h em leis similares, como a GDPR) seja cumprido.

1. Empresas estrangeiras sem escritório representativo no Brasil

O Cenário: O “inimigo invisível” da segurança da informação. São startups de SaaS, plataformas de e-commerce internacionais, ou grandes big techs que atendem brasileiros via internet, mas não possuem um funcionário sequer em solo brasileiro.

Responsabilidade em caso de vazamento:

Aqui está a maior zona cinzenta da LGPD. Embora a lei se aplique (extraterritorialidade), a execução da penalidade é desafiadora.

• Se não há representante no Brasil, a ANPD tem dificuldade para notificar formalmente a empresa.
• A lei exige que empresas estrangeiras que tratam dados de brasileiros nomeiem um encarregado (DPO) e, em algumas interpretações, um representante legal no Brasil. Se isso não é feito, em caso de vazamento massivo, as penalidades esbarram em questões de soberania e tratados internacionais.

Visão do profissional de TI:

Para o profissional de segurança que trabalha em uma empresa nesse perfil (ou que está avaliando contratar uma), o risco é de natureza contratual e reputacional.

• Blocklisting: Empresas sem representação que sofrem vazamentos podem ter seus domínios bloqueados por decisão judicial (como prevê o Marco Civil), inviabilizando o negócio no país.
• VPN e Proxies: Muitas dessas empresas tentam mascarar o tratamento de dados usando estruturas de engenharia reversa. O técnico deve evitar armazenar dados sensíveis (saúde, biometria, financeiro) em jurisdições que não possuem acordos de cooperação com o Brasil (como os EUA em relação à Cloud Act vs. LGPD), pois a recuperação judicial desses dados em caso de vazamento é quase impossível.

4. O Papel do Profissional de TI na Governança

Para o fórum de informática, é essencial destacar que a LGPD transformou o profissional de TI em um agente de compliance. As três situações acima demonstram que não basta ter um firewall de última geração; é necessário ter:

1. Mapeamento de Fluxo de Dados: Saber exatamente onde os dados estão armazenados e quem tem acesso.
2. Contratos com Fornecedores (Subprocessadores): Se a empresa (brasileira ou estrangeira com escritório) contrata AWS, Azure ou Google Cloud, ela deve exigir cláusulas de confidencialidade e notificação imediata de incidentes.
3. Anonimização vs. Pseudoanonimização: Em caso de vazamento, dados tratados com técnicas robustas de anonimização (irreversível) podem não ser considerados “dados pessoais” pela lei, reduzindo a gravidade do incidente.

5. Conclusão

A responsabilidade sobre vazamento de dados não respeita mais a localização física do servidor, mas sim a localização do titular dos dados. Para as empresas brasileiras, o risco é imediato e as multas são palpáveis enquanto para as estrangeiras com escritório no Brasil, a estrutura de TI global precisa estar integrada à local e, finalmente, para as estrangeiras sem escritório, o risco maior é o bloqueio operacional no país.

Para nós, profissionais de informática, o recado é claro: estamos entrando na era em que a configuração de um bucket S3 (que ficou público por engano) ou a permissão excessiva em um banco de dados não é mais apenas um “vacilo técnico”, mas sim um ato que pode gerar multas milionárias e responsabilização penal (em casos de dolo) para a empresa e seus gestores.

Bibliografia Temática

Para aprofundamento técnico e jurídico, recomendo as seguintes obras e documentos:

Legislação e Documentos Oficiais:

• BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF.
• ANPD. Guia Orientativo para Agentes de Tratamento e Encarregados. Autoridade Nacional de Proteção de Dados, 2023.
• ANPD. Relatório de Atividades e Regulamentação sobre Transferências Internacionais de Dados.

Livros e Referências Técnicas:

• PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva, 2020.
• DONEDA, Danilo. A Proteção de Dados Pessoais no Direito Brasileiro. In: A LGPD e o Direito Civil. Rio de Janeiro: Forense, 2021.
• MENDES, Laura Schertel; DONEDA, Danilo; RODRIGUES JR., Otavio Luiz. Comentários à Lei Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2022.

Artigos e Periódicos de Informática e Segurança:

• BRASIL. Marco Civil da Internet (Lei 12.965/2014) – Art. 11 (Localização de dados) e Art. 12 (Sanções).
• INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO (ITI). Recomendações de Segurança para Adequação à LGPD.
• Fóruns especializados: International Association of Privacy Professionals (IAPP) – Artigos sobre a interação entre a Cloud Act (EUA) e a LGPD (Brasil) no contexto de vazamento de dados por empresas sem sede no país.