Autoridade Nacional de Proteção de Dados regulamenta a transferência internacional de dados pessoais no Brasil (Resolução nº 19)
Em 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução nº 19, que aprovou o Regulamento de Transferência Internacional de Dados, no qual são estabelecidos os procedimentos e regras das operações de transferência internacional de dados e o conteúdo das cláusulas-padrão contratuais, conforme previsto na Lei Geral de Proteção de Dados brasileira (Lei Federal nº 13.709/2018 – “LGPD”).
Tal Regulamento prevê as diretrizes para a transferência internacional de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado ao previsto na LGPD, desde que a adequação seja reconhecida pela ANPD, ou quando o controlador comprovar garantias de cumprimento da LGPD na forma de cláusulas contratuais ou normas corporativas globais. No entanto, o Regulamento não exclui a possibilidade da realização de transferência internacional de dados com base nos demais mecanismos previstos no art. 33 da LGPD, tais como selos, certificados e códigos de conduta emitidos regularmente, uma vez que as especificidades do caso concreto e os requisitos legais aplicáveis sejam observados.
Especificamente sobre as cláusulas-padrão contratuais, a ANPD elaborou e aprovou um modelo de cláusulas de acordo com a LGPD, que pode integrar um contrato celebrado para reger, de forma específica, sobre transferência internacional de dados, ou um contrato com objeto mais amplo, inclusive mediante assinatura de termo aditivo pelo importador e pelo exportador envolvidos na operação (como documento anexo ao contrato geral assinado pelas partes).
Porém, para que esse mecanismo seja válido, é necessário que o modelo da ANPD seja utilizado integralmente, sem quaisquer alterações. O Regulamento estipula, ainda, um prazo de 12 meses, a contar da publicação do Regulamento, para que as empresas que utilizam as cláusulas-padrão contratuais ajustem seus contratos a esse novo modelo de cláusula.
Com o intuito de preservar a publicidade, o controlador deverá disponibilizar em até 15 (quinze) dias ao titular de dados, quando solicitado, a íntegra das cláusulas utilizadas para a transferência, sendo respeitados os segredos comercial e industrial. Em paralelo, o controlador também deverá publicar em seu site documento contendo as informações, em português, sobre a realização de transferência internacional de dados, incluindo, por exemplo, o país de destino dos dados transferidos e a identificação e os contatos do controlador, dentre outras informações previstas no Regulamento. Alternativamente, tal documento pode ser integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou a um instrumento equivalente.
Ademais, importante destacar que a ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais provenientes de outros países ou organismos com as cláusulas-padrão elaborados pela ANPD por meio de um procedimento que poderá ser instaurado por decisão do Conselho Diretor, de ofício, ou a requerimento dos interessados.
Também será permitido aos controladores solicitarem à ANPD a aprovação de cláusulas contratuais específicas para realizar a transferência internacional de dados, conforme procedimento previsto no Regulamento, porém somente nos casos em que não seja possível utilizar as cláusulas-padrão contratuais.
As decisões da ANPD referentes ao Regulamento, tais como sobre as cláusulas-padrão contratuais que são consideradas equivalentes e sobre a adequação dos países, serão aprovadas por resolução do Conselho Diretor e publicadas no site oficial da ANPD.
Em relação às normas corporativas globais, o Regulamento estabelece os requisitos e o procedimento de aprovação de tais normas que podem ser utilizadas para autorizar as transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, as quais têm caráter vinculante em relação aos membros do grupo que as subscreverem. Essas normas deverão estar vinculadas à implementação de programa de governança em proteção de dados em conformidade com a LGPD, bem como observar os requisitos mínimos previstos no Regulamento, tais como a descrição das transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados.
Por fim, a transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, além de se basear em uma das hipóteses legais previstas nos artigos 7º e 11 da LGPD. Nesse sentido, o Regulamento prevê a responsabilidade do controlador de verificar essas questões e se a operação de tratamento caracteriza uma transferência internacional de dados, sem prejuízo do dever do operador de auxiliar o controlador fornecendo as informações necessárias sobre o assunto.
Em caso de dúvidas sobre o assunto acima, por favor, não hesitem em nos contatar.
Comentários