10 de setembro de 2024 •
Nova Resolução sobre Transferência Internacional de Dados
A Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou a Resolução CD/ANPD nº 19, em 23 de agosto de 2024 (“Resolução”), que estabelece as diretrizes para a transferência internacional de dados e aprova o conteúdo obrigatório das cláusulas-padrão contratuais, visando garantir a segurança e a conformidade com a Lei Geral de Proteção de Dados (“LGPD”).
Destaque-se os principais pontos objeto da Resolução:
Caracterização da transferência internacional
A transferência internacional de dados é a operação de tratamento de dados pessoais por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a outro agente de tratamento localizado em país estrangeiro ou organismo internacional do qual o país seja membro.
Bases Legais e Mecanismos de Transferência
Para que a transferência internacional seja lícita, ela deve atender propósitos legítimos, específicos, explícitos e informados ao titular, e desde que fundamentada em uma base legal prevista na LGPD e amparada em um dos seguintes mecanismos de transferência internacional: (i) países com proteção adequada aos dados pessoais, nos termos de decisão de adequação a ser emitida em procedimento próprio pela ANPD; (ii) cláusulas e normas contratuais; (iii) garantias de proteção (cumprimento dos princípios, direitos do titular e regime de proteção de dados); e (iv) atender as seguintes necessidades específicas: cooperação jurídica internacional entre órgãos públicos; cumprimento de obrigação legal ou regulatória; execução de um contrato no qual o titular seja parte; e exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
Cláusulas-Padrão Contratuais
A ANPD aprovou o conteúdo de cláusulas-padrão contratuais que estabelecem garantias mínimas e condições válidas para a realização das transferências internacionais quando esse for o mecanismo de transferência utilizado. que podem ser incorporadas em contratos que envolvem a transferência internacional de dados.
Para a validade desse mecanismo, é necessária a adoção integral e sem alteração do texto disponibilizado como anexo à Resolução, mediante instrumento contratual firmado entre o exportador e o importador, que poderá ser um contrato específico celebrado para reger a transferências internacionais de dados ou um contrato com objeto mais amplo.
Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aos seus respectivos instrumentos contratuais no prazo de até 12 meses.
Transparência ao titular dos dados pessoais transferidos
O controlador é obrigado a garantir transparência ao titular dos dados, fornecendo, quando solicitado, a íntegra das cláusulas contratuais que fundamentaram a transferência internacional. Além disso, deve publicar em seu site informações sobre o destino, a finalidade e a duração da transferência, assegurando total clareza sobre o tratamento dos dados pessoais. A conformidade com esse requisito é fundamental para preservar a confiança do titular e evitar penalidades.
Cláusulas Contratuais Equivalentes e Específicas
O controlador poderá solicitar a análise e aprovação de cláusulas contratuais pela ANPD em duas hipóteses: (i) para reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas previstas no anexo da Resolução – cláusulas equivalentes; e (ii) impossibilidade de transferência internacional por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas – cláusulas específicas.
Em ambas as hipóteses, deverão ser adotados procedimentos específicos previstos no Regulamento.
Para que as cláusulas contratuais sejam reconhecidas como equivalentes e para validade das cláusulas específicas, as cláusulas-padrão contratuais devem ser compatíveis com as disposições da LGPD e assegurar nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais. Além disso, serão analisados pela ANPD os riscos e os benefícios proporcionados pela aprovação, bem como os impactos sobre o fluxo internacional de dados, as relações diplomáticas, comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.
Regras Corporativas Globais
Regras corporativas globais (BCR, em inglês) podem ser utilizadas para transferências internacionais de dados entre empresas do mesmo grupo, e possuem efeito vinculante para os membros do grupo que as subscreverem e devem estar vinculadas à implementação de um programa de governança em privacidade conforme a LGPD.
Para validade, as normas devem detalhar as operações de transferência internacional de dados, incluindo as categorias de dados, as finalidades do tratamento, e os países para os quais os dados podem ser transferidos, bem como a estrutura do grupo empresarial, as responsabilidades de cada entidade no tratamento de dados, e fornecer informações sobre como os titulares de dados podem exercer seus direitos. A ANPD analisará referidas informações e avaliará se as normas corporativas globais oferecem garantias suficientes de proteção de dados nos termos da LGPD.
O CSMV segue assessorando seus clientes na adoção de medidas necessárias para adequação às novas exigências e fica à disposição para quaisquer esclarecimentos.