Transferência internacional de dados ganha novas regras. Adeque-se em 12 meses ou enfrente riscos. Segurança jurídica e conformidade são essenciais para operar no mercado global de dados.
A Autoridade Nacional de Proteção de Dados (“Autoridade” ou “ANPD”) publicou no dia 23 de agosto de 2024 a Resolução CD/ANPD Nº 19 (“Resolução”), que aprovou o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais.
A autarquia estabeleceu procedimentos de transferência internacional de dados divididos em dois grupos: i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado, mediante reconhecimento da adequação pela ANPD e ii) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; ou c) normas corporativas globais.
A ANPD aproveitou a oportunidade para definir conceitos estruturais como “exportador”, “importador”, “coleta internacional de dados” e “grupo ou conglomerado de empresas” que, sem dúvida, irão auxiliar os agentes de tratamento a aplicar a Lei Geral de Proteção de Dados Pessoais (LGPD) de forma mais precisa, conferindo maior segurança jurídica às operações de tratamento.
A LGPD preconiza em seus arts. 33 e seguintes uma série de mecanismos para possibilitar a transferência internacional em formato legítimo. A maioria destes mecanismos pressupõe requisitos e a instauração de procedimentos que devem ser definidos pela ANPD. Neste sentido, a Resolução pretende regular alguns dos mecanismos de transferência internacional de dados, que são os principais e mais utilizados pelos agentes de tratamento, quais sejam:
Das cláusulas padrões contratuais
Visando facilitar o processo de transferência internacional de dados, a Autoridade Nacional de Proteção de Dados elaborou cláusulas padronizadas que, caso sejam adotadas pelo importador e exportador, não podem ser alteradas – vide Anexo II da Resolução.
A minuta definida pela ANPD é dividida em cláusulas que podem ser complementadas pelas partes (identificação, objeto da transferência, transferências posteriores, a responsabilidade das partes) e cláusulas mandatórias (finalidade, definições, legislação aplicável e fiscalização da ANPD, interpretação, transparência, direitos do titular, comunicação de incidentes de segurança, ressarcimento de danos, etc.).
O controlador deve, ainda, disponibilizar em 15 dias ao titular a íntegra das cláusulas utilizadas para a transferência, caso haja solicitação para tanto.
Das cláusulas contratuais específicas
Caso o controlador demonstre a impossibilidade de realizar a transferência internacional de dados através das cláusulas-padrão contratuais – em razão de circunstâncias excepcionais de fato ou de direito devidamente comprovadas –, poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas que ofereçam a garantia dos princípios dos direitos do titular e do regime de proteção de dados previstos na LGPD.
Das normas corporativas globais
De acordo com a ANPD, as normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que a subscrevem e devem ser submetidas à aprovação da Autoridade.
As referidas normas deverão estar vinculadas à implementação de programa de governança em privacidade que atenda às condições definidas na LGPD.
A Autoridade definiu ainda quais critérios mínimos deverão ser observados para elaboração das normas corporativas, como a descrição das transferências internacionais de dados, a identificação dos países envolvidos, a delimitação de responsabilidades pelo tratamento, indicação dos direitos dos titulares, entre outros.
Da “Decisão de Adequação”
Outro ponto que chama atenção no Regulamento e é um tema bastante esperado no cenário brasileiro de proteção de dados é o conceito de “Decisão de Adequação”, disciplinado no art. 10 e seguintes da Resolução. Nele, a Autoridade explica os critérios que serão avaliados para que um país ou organismo internacional seja reconhecido como uma entidade com nível adequado de proteção de dados pessoais.
Trata-se de um dos mais relevantes mecanismos de transferência internacional de dados, que possui como pressuposto facilitar as transferências e fomentar os negócios internacionais, inovação e competitividade, com a segurança jurídica adequada.
Serão levados em consideração pontos como: a) as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional, b) a natureza dos dados c) observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na LGPD, d) a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares, e) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais e f) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais.
A ANPD irá analisar garantias institucionais relevantes como a existência e o efetivo funcionamento de um órgão regulador independente, com competência para assegurar o cumprimento das normas de proteção de dados e garantir os direitos dos titulares.
A Autoridade priorizará a avaliação do nível de proteção de dados de países estrangeiros ou organismos internacionais que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países e organismos internacionais. Com isso, a ANPD se mostra atenta à relevância do mercado de dados no cenário econômico-diplomático internacional.
Do prazo para os agentes de tratamento
Os agentes de tratamento terão 12 meses, contados da data da publicação da Resolução, para se adequarem às novas diretrizes da Autoridade Nacional de Proteção de Dados em relação às transferências internacionais de dados pessoais.
Conclusão
Como se vê na Resolução, a Autoridade está preocupada em garantir conformidade, transparência e segurança jurídica nas operações de tratamento que envolvam a transferência internacional de dados pessoais.
Esse é um assunto mundialmente discutido e bastante sedimentado na legislação e regulamentos europeus, aos quais o Brasil tem se espelhado em matéria de proteção de dados.
Além disso, a Resolução é uma resposta à posição do Brasil no cenário internacional, que prescinde de normatizações e mecanismos que sejam favoráveis e fomentem as relações internacionais.
Em razão da Resolução, é importante que os controladores de dados revisem as suas cláusulas contratuais de transferência internacional, atualizando-as e adotando mecanismos de transferência que atendam à sua atividade fim e estejam em conformidade com a Resolução.
Baixe a versão pdf aqui: https://tinyurl.com/ytjvh6dt
O GCAA está à disposição para aperfeiçoar o Programa de Privacidade e Proteção de Dados de seus clientes e garantir que estejam em conformidade com as atuais regras e diretrizes da ANPD.
Para mais informações, contate-nos: contato@gcaa.com.br
Tae Young Cho
Camilla Chicaroni
Nariman Gonzales
Pedro Guerra Costa Aragão de Carvalho
Gonsales & Cho Advogados Associados
Rua Dr. Renato Paes de Barros, 618, 2º andar
Itaim Bibi, São Paulo, SP