Regulamento sobre Transferências Internacionais de Dados da ANPD
Em agosto, a ANPD publicou a Resolução nº 19/2024, que regula as transferências internacionais de dados pessoais no Brasil.
Do que se trata? Uma transferência internacional de dados ocorre quando dados pessoais são enviados para outro país ou para organismo internacional do qual o Brasil seja membro.
Exemplos? Compartilhamento de bancos de dados de RH entre matriz e subsidiárias, a terceirização de serviços de atendimento ao cliente para empresas estrangeiras, o armazenamento de dados em servidores localizados fora do Brasil, etc.
Há prazo para adaptação? Sim, 12 meses. Empresas que realizem transferências internacionais deverão adequar seus processos dentro do prazo estabelecido.
Quais são os requisitos gerais para que transferências internacionais possam ocorrer?
1. Devem atender a finalidades legítimas, específicas e comunicadas ao titular dos dados.
2. Devem ser amparadas por uma base legal válida da LGPD, como o consentimento do titular ou o interesse legítimo do controlador.
3. Devem ser realizadas com um dos mecanismos válidos reconhecidos pela ANPD, que são: (i) uma decisão de adequação, (ii) cláusulas-padrão contratuais, (iii) cláusulas contratuais específicas ou (iv) regras corporativas globais.
Decisão de Adequação
A ANPD pode reconhecer que países ou organizações internacionais garantem um nível adequado de proteção de dados. A decisão é baseada na análise de fatores como:
Legislação de proteção de dados do país destinatário;
Garantias institucionais e judiciais disponíveis para os titulares de dados.
Quando uma decisão for emitida pela ANPD, transferências para aquele país poderão ocorrer sem necessidade de mecanismos adicionais. Até o momento, nenhuma decisão de adequação foi publicada pelo órgão.
Cláusulas Contratuais Padrão
As cláusulas-padrão contratuais são pré-definidas pela ANPD, conforme modelo no Anexo II da Resolução. O texto das cláusulas, nesses casos, deverá ser adotado sem alterações. Elas poderão ser inseridas em contratos específicos para transferências internacionais ou adendos a contratos mais amplos entre as partes envolvidas.
Como medida de transparência, o controlador dos dados deverá publicar, em seu site, documento acessível com informações sobre a forma, duração e finalidade das transferências, incluindo o país de destino, além de fornecer a identificação e os dados de contato do controlador, garantindo que os titulares saibam seus direitos e possam exercê-los.
Cláusulas Contratuais Específicas
Apenas em casos excepcionais, nos quais seja inviável a utilização de cláusulas-padrão, os controladores podem solicitar à ANPD a aprovação de cláusulas contratuais específicas, que devem garantir níveis de proteção compatíveis com a LGPD. A ANPD publicará em seu site as cláusulas contratuais específicas quando estas puderem ser usadas por outros agentes de tratamento, respeitando os segredos comercial e industrial.
Regras Corporativas Globais
As regras corporativas globais são normas internas que regulam as transferências de dados dentro de um mesmo grupo empresarial. Essas regras deverão ser aprovadas pela ANPD e deverão ser acompanhadas por um programa de governança de privacidade que atenda aos requisitos da LGPD. Deverão, para tanto, incluir a descrição detalhada das transferências que cobrem, os países envolvidos, e as medidas de segurança implementadas.
***
Enquanto as novas exigências trazem desafios significativos, são também oportunidades para organizações aprimorarem suas práticas de governança de dados, aumentando a confiança dos clientes e assegurando operações internacionais transparentes.