LGPD na transferência internacional de dados

ANPD regulamenta aplicação da LGPD na transferência internacional de dados

Prazo para a adaptação dos contratos é de 12 meses

A transferência internacional de dados pessoais foi regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD). Ontem, foi publicada a Resolução nº 19 com 24 cláusulas padrão, que devem atualizar os contratos firmados com empresas que ficam em outros países e recebem dados de companhias no Brasil.

Transferência Internacional de Dados e Cláusulas-Padrão Contratuais - Regulamentação

A Resolução CD/ANPD nº 19/2024, publicada na DOU de 23/08/2024, aprova o Regulamento de Transferência Internacional de Dados e o Conteúdo das Cláusulas-Padrão Contratuais.

O Regulamento de Transferência Internacional de Dados tem como objetivo estabelecer os procedimentos e as regras aplicáveis às operações de transferência internacional de dados:

a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709/2018, mediante reconhecimento da adequação pela ANPD; ou

b) quando controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709/2018, na forma de:

b.1) cláusulas contratuais específicas para determinada transferência;

b.2) cláusulas-padrão contratuais; ou

b.3) normas corporativas globais.

Este Regulamento não exclui a possibilidade da realização de transferência internacional de dados com base nos demais mecanismos previstos no art. 33 da Lei nº 13.709/2018, que não dependam de regulamentação, desde que atendidas as especificidades do caso concreto e sigam os requisitos legais aplicáveis.

Essa transferência será realizada em conformidade com o disposto na Lei nº 13.709/2018 e na Resolução CD/ANPD nº 19/2024, observadas as seguintes diretrizes:

a) garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência, inclusive após o término do tratamento e nas hipóteses de transferências posteriores;

b) adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais;

c) promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares;

d) responsabilização e prestação de contas, mediante a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento dos princípios dos direitos do titular e do regime de proteção de dados pessoais previstos na Lei nº 13.709/2018, inclusive, da eficácia dessas medidas;

e) implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização da transferência, observados os segredos comercial e industrial; e

f) adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.

Transferência Internacional de Dados

O controlador verificará se a operação caracteriza-se como uma transferência internacional de dados e submete-se à legislação nacional de proteção de dados pessoais; e se está amparada por hipótese legal e em mecanismo de transferência internacional válidos.

O operador prestará auxílio ao controlador mediante o fornecimento das informações de que dispuser e que se demonstrarem necessárias para identificação se a operação de tratamento tem transferência internacional.

O controlador e o operador adotarão medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado.

Caracteriza-se transferência internacional de dados quando o exportador transfere dados pessoais para o importador e a coleta internacional de dados não caracteriza transferência internacional e observa a legislação da proteção de dados pessoais.

Ressaltamos que para transferência internacional de dados deverá ser observada a legislação de proteção de dados e sua regulamentação; como também a aplicação dos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no território nacional.

A transferência internacional de dados somente poderá ser realizada para atender aos propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e limitada ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

A ANPD reconhecerá a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais e levará em consideração:

a) as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional;

b) a natureza dos dados;

c) a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares;

d) a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares;

e) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e

f) outras circunstâncias específicas relativas à transferência.

Além dessas medidas, também serão considerados consideração os riscos e os benefícios proporcionados pela decisão de adequação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados; e os impactos da decisão sobre o fluxo internacional de dados, as relações diplomáticas, o comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.

Cláusulas-Padrão - Contratuais, Equivalentes e Específicas

As cláusulas-padrão contratuais estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados e sua adoção visa garantir salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, incluindo as determinações da ANPD.

A validade da transferência internacional de dados, quando amparada pela adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto, mediante instrumento contratual firmado entre o exportador e o importador.

O controlador deverá disponibilizar ao titular, em caso de solicitação, a íntegra das cláusulas utilizadas para a realização da transferência internacional de dados, observados os segredos comercial e industrial; o prazo para atendimento dessa solicitação é de 15 dias, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD. Deverá publicar em sua página, na internet, documento contendo as informações em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados, e poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou a instrumento equivalente.

A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas-padrão contratuais e essas cláusulas-padrão constituem mecanismo válido para a realização de transferências internacionais de dados.

O controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas, que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados; e somente serão aprovadas quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador. Deverão prever a aplicação da legislação nacional de proteção de dados pessoais à transferência internacional de dados e a sua submissão à fiscalização da ANPD.

A ANPD priorizará a aprovação de cláusulas específicas que também possam ser utilizadas por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares.

Prazo para Adequação

Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais, no prazo de até 12 meses, contado da data de publicação da Resolução CD/ANPD nº 19/2024.

Normas Corporativas Globais

As normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem; constitui mecanismo válido para realizar transferências internacionais de dados pessoais apenas para as organizações ou países abrangidos pelas normas corporativas globais; deverão estar vinculadas à implementação de programa de governança em privacidade; e deverão ser submetidas à aprovação da ANPD.

Pedido de Reconsideração

Caberá pedido de reconsideração das decisões do Conselho Diretor, devidamente fundamentado, no prazo de 10 dias úteis, contado da ciência oficial pelo interessado, na forma do art. 12 do Anexo da Resolução CD/ANPD nº 1/2021, nos procedimentos instaurados para emissão de decisão de adequação; reconhecimento de equivalência de cláusulas-padrão contratuais; ou aprovação de cláusulas contratuais específicas e normas corporativas globais.

Para maiores informações, entre em contato conosco: