Foi publicado nesta sexta-feira, dia 23 de agosto de 2024, a Resolução CD/ANPD n 19/2024 que aprova o Regulamento sobre Transferência Internacional de Dados. A Resolução, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), tem como objetivo regulamentar as transferências internacionais de dados pessoais e apresentar modelos de clausulas-padrão para serem utilizados na atividade.
Fernando Bousso, especialista em governança de dados do b/luz advogados, destaca os principais pontos desta resolução. Para ele o regulamento estabelece que a transferência internacional de dados pessoais só pode ocorrer quando estiver amparada por uma base legal prevista na LGPD e por um dos seguintes mecanismos de transferência internacional: países com proteção adequada, cláusulas e normas contratuais, garantias de proteção e necessidades específicas.
A transferência é permitida para países que oferecem um nível de proteção adequado aos dados pessoais, conforme decisão de adequação a ser emitida pela ANPD e pode ser realizada com base em cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas aprovadas pela ANPD. Também é permitida quando o controlador oferece e comprova garantias de cumprimento dos princípios, direitos do titular e regime de proteção de dados previstos na LGPD, utilizando mecanismos como selos, certificados e códigos de conduta emitidos regularmente.
Ela é possível quando necessária para: a cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, conforme instrumentos de direito internacional; o cumprimento de uma obrigação legal ou regulatória; a execução de um contrato no qual o titular seja parte e o exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
Bousso também explica que a ANPD aprovou o conteúdo das cláusulas-padrão contratuais que podem ser incorporadas em contratos que envolvem a transferência internacional de dados. De acordo com ele, as empresas têm o prazo de 12 meses para ajustar seus contratos e, para a validade desse mecanismo, é necessário a adoção integral e sem alteração do texto disponibilizado pela ANPD.
A íntegra das cláusulas utilizadas deverá ser disponibilizada aos titulares, em caso de solicitação nesse sentido, em um prazo de até 15 dias, observados os segredos comerciais e industriais. E os controladores devem publicar em sua página da internet um documento detalhado sobre a transferência internacional de dados. Essas informações podem estar integradas à Política de Privacidade e deverão incluir, entre outras informações, o país de destino dos dados e a identificação completa e os contatos do controlador.
“A ANPD também poderá reconhecer a equivalência de cláusulas padrão contratuais de outros países ou de organismos internacionais, por meio de procedimento próprio e específico da ANPD”, completa o especialista em governança de dados do b/luz advogados.
Sobre as cláusulas contratuais específicas, o controlador pode solicitar à ANPD a aprovação, seguindo o processo descrito no regulamento. Para ser aprovada, as cláusulas específicas devem prever a aplicação da LGPD à transferência internacional de dados e sua submissão à fiscalização da ANPD. Esta analisará as cláusulas considerando sua compatibilidade com a LGPD e os riscos e benefícios da aprovação, incluindo impactos sobre o fluxo internacional de dados e relações internacionais do Brasil. Depois publicará, em seu sítio eletrônico, a relação das cláusulas contratuais específicas aprovadas, com indicação do respectivo requerente e data da aprovação. Além disso, caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
De acordo o advogado, as normas corporativas globais podem ser usadas para transferências de dados entre empresas do mesmo grupo, e devem ser obrigatórias para os membros que as subscrevem.
“Estas devem detalhar as operações de transferência internacional de dados, incluindo as categorias de dados, as finalidades do tratamento e os países para os quais os dados podem ser transferidos. E também devem identificar a estrutura do grupo empresarial, as responsabilidades de cada entidade no tratamento de dados e fornecer informações sobre como os titulares de dados podem exercer seus direitos”, diz.
Para serem válidas, as normas corporativas globais devem ser submetidas à aprovação da ANPD, que avaliará se elas oferecem garantias suficientes de proteção de dados conforme a LGPD. Além disso, tais cláusulas devem estar associadas a um programa de governança em privacidade conforme a LGPD. A ANPD publicará, em seu sítio eletrônico, a relação das normas corporativas globais aprovadas, com indicação do respectivo requerente e data da aprovação. Além disso, caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
