A Autoridade Nacional de Proteção de Dados (“ANPD”) fez publicar, na última sexta-feira (23.08.2024), a Resolução nº 19/2024 (“Resolução”), que dispõe sobre os procedimentos e regras aplicáveis às operações de transferência internacional de dados, além do conteúdo de cláusulas-padrão contratuais.
A Resolução entrou em vigor na data de sua publicação e os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais, no prazo de até 12 (doze) meses.
Diante da iniciativa da ANPD de regulamentar operações de transferência internacional de dados pessoais, nosso time de proteção de dados elaborou boletim explicativo com algumas das principais novidades trazidas pela Resolução:
O que é Transferência Internacional de Dados?
A transferência internacional de dados ocorre quando há a transferência de dados pessoais do Brasil, por um agente exportador, para um país estrangeiro ou organismo internacional, por meio de um agente importador, ou vice-versa. Esta transferência deve estar em consonância com os mecanismos e requisitos existentes no Capítulo V da Lei Geral de Proteção de Dados (“LGPD” ou “Lei”).
Na prática, a transferência internacional de dados ocorre quando agentes em países diferentes compartilham informações de pessoas naturais identificadas ou identificáveis para fins legítimos, específicos, explícitos e bem-informados ao titular dos dados, devendo sempre manter a compatibilidade com essas finalidades.
Importante destacar que o mero transporte de informações pela rede, coleta direta de dados pessoais por agente estrangeiro, não se caracteriza ou se confunde com transferência internacional de dados, visto que existe uma quantidade significativa de dados que trafegam pela internet por meio de provedores situados em territórios internacionais, por exemplo. Esta coleta internacional de dados deve seguir as disposições da LGPD, caso esteja dentro do limite territorial disposto no artigo 3º da referida Lei.
Objetivo e Importância da Resolução
A Resolução traz diretrizes para que a transferência de dados internacionais seja realizada de forma segura e conforme os direitos dos titulares previstos na LGPD, criando um fluxo internacional de dados com mais confiança.
A Resolução estabelece procedimentos e regras para países e organismos internacionais que tenham grau de proteção de dados pessoais adequado, mediante reconhecimento da ANPD, ou quando o controlador oferecer e comprovar garantias de cumprimento dos princípios por meio de: (i) cláusulas contratuais específicas; (ii) cláusulas-padrão contratuais; e (iii) normas corporativas globais.
Diretrizes Relevantes e Requisitos
A transferência internacional de dados deve seguir as seguintes diretrizes:
- Garantia de cumprimento dos princípios, direitos do titular e nível de proteção com a LGPD, independentemente do país que estejam localizados os dados pessoais objeto da transferência;
- Adoção de procedimentos simples, interoperáveis e compatíveis com normas internacionais;
- Promoção do livre fluxo internacional de dados com confiança e do desenvolvimento social, econômico e tecnológico – sempre observando os direitos dos titulares;
- Responsabilização e prestação de contas, mediante cumprimento dos direitos dos titulares;
- Implementação de medidas efetivas de transparência, fornecendo informações claras, precisas e facilmente acessíveis pelos titulares, observando os segredos comerciais e industriais; e
- Adoção de boas práticas e medidas de prevenção e segurança adequadas e compatíveis com a natureza dos dados.
Não somente, mas para que ocorra a transferência internacional de dados, a Resolução dispõe sobre requisitos gerais para o controlador, como verificar se a operação de tratamento (i) caracteriza transferência internacional de dados; (ii) submete-se à legislação nacional de proteção de dados pessoais; e (iii) está amparada em hipótese legal e em mecanismos de transferência internacional válidos.
Decisão de Adequação
A decisão de adequação é o reconhecimento, pela ANPD, da equivalência do nível de proteção de dados pessoais de um país ou organismo internacional. Como critérios para este estudo de equivalência, serão consideradas:
- As normas gerais em vigor com impacto sobre proteção de dados pessoais no país de destino ou organismo internacional;
- A natureza dos dados pessoais;
- A observância dos princípios gerais de proteção de dados pessoais e direitos previstos na LGPD;
- As medidas de segurança adotadas para minimizar impactos;
- Existência de garantias judiciais e institucionais para proteção dos dados pessoais; e
- Outras circunstâncias específicas diante de cada caso concreto.
Para emissão da decisão de adequação, o procedimento pode ser instaurado por decisão do Conselho Diretor da ANPD, de ofício ou após solicitação das pessoas jurídicas envolvidas. Além disso, o procedimento deve ser acompanhado pela área técnica competente da ANPD e, após manifestação da Procuradoria Federal Especializada, será objeto de deliberação final pelo Conselho Diretor, conforme Regimento Interno da ANPD.
Cláusulas Contratuais
Considerando os mecanismos de transferência internacional de dados regulamentados pela Resolução, as cláusulas-padrão contratuais estabelecem garantias mínimas e condições válidas para realização de transferências internacionais de dados, conforme inciso II, alínea “b”, do artigo 33 da LGPD.
As cláusulas-padrão contratuais deverão integrar um contrato celebrado para reger especificamente o assunto de transferência internacional de dados ou contrato com objeto mais amplo. O controlador deve cumprir com a transparência e, caso solicitado, disponibilizar ao titular a íntegra das cláusulas acordadas, bem como deve publicar em sua página na Internet informações detalhadas sobre a operação de transferência internacional dos dados.
A ANPD poderá reconhecer a equivalência de cláusulas padrão-contratuais de outros países ou organismos internacionais, mediante instauração de procedimento específico, da forma como exposto na Resolução.
No mesmo sentido, o controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas quando não for possível ser realizada a transferência internacional de dados por meio de cláusulas-padrão contratuais, em razão de circunstância excepcionais devidamente comprovadas.
A ANPD disponibilizou, como Anexo II à Resolução, cláusulas que deverão integrar contrato celebrado para reger a transferência internacional de dados ou objeto mais amplo.
Normas Corporativas Globais
Conforme exposto na Resolução, as normas corporativas globais são destinadas às transferências internacionais de dados pessoais entre organizações de um mesmo grupo econômico, com caráter vinculante em relação aos membros do grupo que as subscrevem. Estas normas devem conter, no mínimo:
- Descrição pormenorizada das transferências internacionais de dados aos quais o instrumento se aplica;
- Identificação dos países relacionados;
- Estrutura do grupo econômico;
- Determinação da natureza vinculante da norma corporativa global;
- Delimitação de responsabilidades pelo tratamento;
- Indicação dos direitos dos titulares de fácil acesso;
- Regras sobre o processo de revisão de normas; e
- Comunicação à ANPD em caso de alterações significativas.
Importante destacar que as normas corporativas globais são obrigatoriamente vinculadas à implementação de programa de governança sobre proteção de dados pessoais, conforme as condições da LGPD, e devem ser aprovadas previamente pela ANPD.
Para acessar a íntegra da nova Resolução da ANPD, favor acessar: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396.
Em caso de dúvidas, a equipe de direito de proteção de dados do Mello Torres Advogados encontra-se à disposição, por meio dos dados de contato abaixo:
Fabricio A. Cardim de Almeida – fabricio.cardim@mellotorres.com.br
Gláucia Gomes Menato – glaucia.menato@mellotorres.com.br
Marianna Morelli Laurini – marianna.laurini@mellotorres.com.br
Gustavo Amaral Santos Köhnen – gustavo.kohnen@mellotorres.com.br
Ivan Lago Mariotto – ivan.mariotto@mellotorres.com.br
