Regulamento sobre transferência internacional de dados
Autor
1 de setembro de 2024, 13h27
Foi publicada no último 23 de agosto, pela Autoridade Nacional de Proteção de Dados, a Resolução CD/ANPD nº 19/2024, que aprova o Regulamento sobre Transferência Internacional de Dados. Esta tem como objetivo regulamentar as transferências internacionais de dados pessoais e apresentar modelos de clausulas-padrão para serem utilizados na atividade.
Entre os principais pontos está que a transferência internacional de dados pessoais só pode ocorrer quando estiver amparada por uma base legal prevista na LGPD e por um dos seguintes mecanismos de transferência internacional: países com proteção adequada, cláusulas e normas contratuais, garantias de proteção e necessidades específicas.
A transferência é permitida para países que oferecem um nível de proteção adequado aos dados pessoais, conforme decisão de adequação a ser emitida pela ANPD e pode ser realizada com base em cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas aprovadas pela autoridade. Também é permitida quando o controlador oferece e comprova garantias de cumprimento dos princípios, direitos do titular e regime de proteção de dados previstos na lei, utilizando mecanismos como selos, certificados e códigos de conduta emitidos regularmente.
Ela é possível quando necessária para: a cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, conforme instrumentos de direito internacional; o cumprimento de uma obrigação legal ou regulatória; a execução de um contrato no qual o titular seja parte e o exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
A ANPD aprovou o conteúdo das cláusulas-padrão contratuais que podem ser incorporadas em contratos que envolvem a transferência internacional de dados. As empresas têm o prazo de 12 meses para ajustar seus contratos e, para a validade desse mecanismo, é necessário a adoção integral e sem alteração do texto disponibilizado pela autoridade.
A íntegra das cláusulas utilizadas deverá ser disponibilizada aos titulares, em caso de solicitação nesse sentido, em um prazo de até 15 dias, observados os segredos comerciais e industriais. E os controladores devem publicar em sua página da internet um documento detalhado sobre a transferência internacional de dados. Essas informações podem estar integradas à política de privacidade e deverão incluir, entre outras informações, o país de destino dos dados e a identificação completa e os contatos do controlador.
Uso de cláusulas padrão de outros países
A ANPD também poderá reconhecer a equivalência de cláusulas padrão contratuais de outros países ou de organismos internacionais, por meio de procedimento próprio e específico da autoridade.
Sobre as cláusulas contratuais específicas, o controlador pode solicitar à ANPD a aprovação, seguindo o processo descrito no regulamento. Estas devem prever a aplicação da LGPD à transferência internacional de dados e sua submissão à fiscalização da autoridade, que analisará as cláusulas considerando sua compatibilidade com a lei e os riscos e benefícios da aprovação, incluindo impactos sobre o fluxo internacional de dados e relações internacionais do Brasil.
Depois, publicará, em seu sítio eletrônico, a relação das cláusulas contratuais específicas aprovadas, com indicação do respectivo requerente e data da aprovação. Além disso, caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
As normas corporativas globais podem ser usadas para transferências de dados entre empresas do mesmo grupo e devem ser obrigatórias para os membros que as subscrevem. Estas devem detalhar as operações de transferência internacional de dados, incluindo as categorias de dados, as finalidades do tratamento e os países para os quais os dados podem ser transferidos. E também identificar a estrutura do grupo empresarial, as responsabilidades de cada entidade no tratamento de dados e fornecer informações sobre como os titulares de dados podem exercer seus direitos.
Para serem válidas, as normas corporativas globais devem ser submetidas à aprovação da ANPD, que avaliará se elas oferecem garantias suficientes de proteção de dados conforme a LGPD. Além disso, tais cláusulas devem estar associadas a um programa de governança em privacidade conforme a lei. A autoridade publicará, em seu sítio eletrônico, a relação das normas corporativas globais aprovadas, com indicação do respectivo requerente e data da aprovação. E caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
Encontrou um erro? Avise nossa equipe!
