Foi publicada em 23 de agosto de 2024 a Resolução nº 19/2024 da Autoridade Nacional de Proteção de Dados (ANPD), que aprova o aguardado Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, conforme previsto na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD).
A norma define procedimentos e regras para a transferência internacional de dados para países que possuam proteção adequada, reconhecida pela autoridade reguladora, ou quando o controlador comprovar garantias de conformidade com a legislação brasileira por meio de cláusulas contratuais ou normas corporativas globais.
A coleta internacional de dados, definida como a obtenção de dados pessoais diretamente por um agente localizado no exterior, não configura uma transferência internacional, embora deva seguir as disposições da Lei Geral caso se enquadre no âmbito de abrangência do art. 3º da Lei.
A transferência de dados para fora do país só pode ocorrer para fins legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com tais fins. Além disso, deve estar amparada em uma das hipóteses legais previstas nos arts. 7º e 11 da LGPD e utilizar um mecanismo válido, como uma decisão de adequação reconhecida pela ANPD, cláusulas contratuais ou normas corporativas globais.
A Autoridade Nacional de Proteção de Dados pode reconhecer que o nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional é equivalente ao da legislação brasileira, conforme previsto na LGPD e no Regulamento.
Na avaliação do nível de proteção, serão considerados critérios como: as normas gerais e setoriais do país de destino ou organismo internacional; a natureza dos dados; a observância dos princípios de proteção de dados e dos direitos dos titulares; as medidas de segurança adotadas; as garantias judiciais e institucionais existentes, incluindo a presença de um órgão regulador independente; e outras circunstâncias específicas relativas à transferência.
A ANPD também levará em consideração os riscos e benefícios da decisão de adequação, os impactos no fluxo internacional de dados, além das relações diplomáticas, comércio e cooperação internacional.
A prioridade será dada a países ou organismos que ofereçam tratamento recíproco ao Brasil e que possam facilitar o livre fluxo de dados entre as partes. O procedimento para emissão da decisão de adequação pode ser iniciado pelo Conselho Diretor ou por solicitação de determinadas entidades de direito público, sendo instruído pela área técnica competente e sujeito à deliberação final pelo Conselho. A decisão será publicada por meio de Resolução no site da ANPD.
As cláusulas-padrão contratuais, aprovadas pela Autoridade Nacional, estabelecem garantias mínimas e condições válidas para transferências internacionais de dados. O Anexo II do Regulamento contém o texto das cláusulas-padrão, permitindo acomodar a posição do exportador e do importador, seja como controlador, seja como operador. Para que a transferência seja válida, o texto das cláusulas deve ser adotado integralmente, sem alterações,
em um instrumento contratual firmado entre as partes, podendo estar em um contrato específico ou mais amplo, desde que as cláusulas-padrão não sejam modificadas.
O controlador deve garantir transparência ao titular, fornecendo, se solicitado e observados os segredos comercial e industrial, a íntegra das cláusulas contratuais utilizadas e publicando, em seu site na Internet, informações claras e acessíveis sobre a transferência internacional de dados, como detalhes sobre a forma, duração e finalidade específica, país de destino e os direitos do titular.
A ANPD pode reconhecer como equivalentes as cláusulas-padrão de outros países ou organismos internacionais, desde que sejam compatíveis com as disposições da legislação brasileira.
A decisão de equivalência deverá considerar se as cláusulas são compatíveis com a LGPD e se garantem nível de proteção de dados equivalente ao das cláusulas-padrão nacionais, bem como os riscos e benefícios, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, comércio e cooperação internacional.
O controlador poderá solicitar à Autoridade Nacional a aprovação de cláusulas contratuais específicas para transferências internacionais de dados, desde que comprovem garantias de cumprimento dos princípios e direitos previstos na legislação brasileira.
Essas cláusulas serão autorizadas quando as cláusulas-padrão se mostrarem inviáveis devido a circunstâncias comprovadamente excepcionais. Nessas situações, é obrigatório que elas prevejam a aplicação da legislação brasileira e a submissão à fiscalização pela ANPD, que avaliará a compatibilidade das cláusulas específicas com a LGPD.
A avaliação incluirá a garantia de um nível de proteção de dados equivalente ao das cláusulas-padrão nacionais, além da análise dos riscos e benefícios, bem como os impactos no fluxo internacional de dados, nas relações diplomáticas, no comércio e na cooperação internacional.
A prioridade será dada a cláusulas que possam ser utilizadas por outros agentes em circunstâncias similares. De qualquer forma, nas cláusulas submetidas à aprovação, o controlador deve adotar, sempre que possível, a redação das cláusulas-padrão e justificar a necessidade das cláusulas específicas.
Por fim, as normas corporativas globais são mecanismos vinculantes para transferências internacionais de dados entre organizações de um mesmo grupo ou conglomerado empresarial. Elas serão válidas para transferências entre as organizações ou países abrangidos por essas normas, que devem estar associadas a um programa de governança em privacidade que atenda às exigências da Lei Geral. O art. 27 do Regulamento traz o conteúdo mínimo que deverá ser observado pelas normas corporativas globais.
Os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas contratuais têm um prazo de até 12 meses, a partir da publicação, para incorporar as cláusulas-padrão aprovadas pela ANPD em seus contratos.
Nosso time de especialistas está acompanhando o tema e fica à disposição para eventuais esclarecimentos.