ANPD publica Regulamento sobre a Transferência Internacional de Dados

ANPD publica Regulamento sobre a Transferência Internacional de Dados

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 23 de agosto de 2024, a Resolução CD/ANPD n° 19/2024, que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais (Regulamento).

O Regulamento estabelece procedimentos e regras para autorizar a realização de transferências internacionais de dados pessoais, dentre eles, mecanismos contratuais e diretrizes para o reconhecimento de adequação de outros países ou organismos internacionais pela ANPD.

Principais novidades

A primeira contribuição do Regulamento é conceitual. A ANPD delimitou o significado de “transferência” (a transmissão, compartilhamento ou disponibilização de acesso a dados pessoais entre agentes de tratamento), “transferência internacional” (a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país é membro) e “coleta internacional” (quando um agente de tratamento localizado no exterior coleta dados de um titular).

A partir disso, o Regulamento esclarece que a coleta internacional dos dados pessoais diretamente do titular, por meio de um site, por exemplo, não configurará transferência internacional de dados. O art. 8º, § 1º, também informa as situações em que a LGPD não será aplicável em caso de tratamento de dados provenientes do exterior.

Outro conceito relevantíssimo é o de “mecanismo de transferência internacional de dados”, que faz referência às hipóteses previstas no artigo 33 da LGPD. Isso porque, embora também seja uma atividade de tratamento de dados pessoais, a transferência internacional não pode ser justificada apenas na base legal que autoriza o tratamento “geral” dos dados pessoais: é necessário indicar, também, o mecanismo que autoriza a transferência internacional em si.

O Regulamento atribui ao controlador a responsabilidade por verificar se uma determinada transferência (i.) é internacional, (ii.) está sujeita à LGPD e (iii.) está amparada em alguma hipótese legal e em mecanismo de transferência internacional válidos. Contudo, são introduzidos dois novos conceitos para fins de aplicação da legislação de proteção de dados que não se confundem com os já conhecidos “operador” e “controlador”. Quando se trata de transferência internacional de dados, a ANPD também olhará para o “exportador”, que é o agente de tratamento que envia os dados para o exterior (e poderá ser um controlador ou operador) e para o “importador”, que recebe os dados no exterior (e igualmente pode ser um controlador ou operador).

Quais foram os mecanismos de Transferência Internacional Regulamentados?

1. Decisão de Adequação

Trata-se de um importante mecanismo para permitir o livre fluxo internacional de dados, que dispensa, por exemplo, o uso de cláusulas-padrão contratuais, caso o importador esteja em um país ou seja um organismo internacional reconhecido pela ANPD. A aplicabilidade desse mecanismo dependerá, todavia, da publicação de uma decisão da ANPD reconhecendo a adequação de países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto no ordenamento jurídico brasileiro.

Para tanto, o Regulamento estabelece os procedimentos e critérios para o reconhecimento da adequação. Os trâmites da decisão de adequação incluem análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução. Dentre os pontos a serem considerados está o fato de a legislação aplicável ao importador estabelecer aos agentes de tratamento obrigações de implementação de medidas de segurança adequadas, bem como a existência e o funcionamento de um órgão regulador independente, com competência para assegurar o cumprimento das normas de proteção de dados.

2. Cláusulas-padrão Contratuais

Este mecanismo tende a ser o mais utilizado enquanto a ANPD não proferir decisões de adequação. A ANPD optou por um modelo rígido de cláusulas-padrão, de modo que a validade da transferência internacional amparada nesse mecanismo dependerá do uso da minuta anexada ao Regulamento sem nenhuma alteração de texto (que também não poderá ser modificado ou contrariado por outros instrumentos contratuais firmados entre o exportador e o importador).

Se o mecanismo adotado pelo agente de tratamento para realizar transferências internacionais for a estruturação de cláusulas contratuais, será necessário incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus instrumentos contratuais, no prazo de até doze meses.

Contudo, a ANPD também previu a possibilidade de reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou organismos internacionais. O procedimento para esse reconhecimento também pode ser instaurado a requerimento dos interessados, o que poderia evitar a revisão de múltiplos contratos já celebrados com base nas cláusulas-padrão da União Europeia ou ASEAN (Associação das Nações do Sudeste Asiático), por exemplo.

Por fim, nota-se que o Regulamento introduziu medidas de transparência relacionadas às cláusulas-padrão, determinando que o controlador deve disponibilizar ao titular a íntegra das cláusulas utilizadas para a realização da transferência internacional e publicar em sua página de internet informações sobre transferências internacionais, como o país de destino dos dados transferidos. Por isso, será importante atualizar políticas de privacidade.

3. Cláusulas Contratuais Específicas

O controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas, desde que ofereçam e comprovem garantia de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.

Atenção: estas cláusulas foram regulamentadas como um mecanismo residual, que somente podem ser aprovadas quando o controlador comprovar que a transferência de dados não puder ser realizada pelas cláusulas-padrão contratuais.

4. Normas corporativas globais

Transferências internacionais de dados pessoais entre empresas do mesmo grupo ou conglomerado podem ser fundamentadas no uso de “normas corporativas globais”, mecanismo previsto na LGPD. Porém, é preciso atenção: as normas corporativas globais devem ser aprovadas pela ANPD (e submetidas à nova aprovação sempre que alteradas). A relação de normas corporativas globais aprovadas será publicada no sítio eletrônico da ANPD, em conjunto com a relação das cláusulas contratuais específicas.

O texto integral da Resolução nº 19 da ANPD está disponível neste link.

A equipe de Proteção de Dados & Cibersegurança do Souto Correa está à disposição para fornecer mais informações sobre o assunto e auxiliar na adequação ao novo Regulamento.

Sou assinante
Sou assinante