ANPD regulamenta transferência internacional de dados
O Regulamento estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados à luz da LGPD e o conteúdo das cláusulas contratuais padrão
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 23 de agosto de 2024, a Resolução nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, conforme estabelecido na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD).
O Regulamento é resultado de iniciativa regulatória iniciada em 2022 pela ANPD, que envolveu tomada de subsídios, consulta pública e audiência pública.
Com a expansão das operações globais, a publicação deste Regulamento representa um passo importante para fortalecer e viabilizar os fluxos de dados entre países, ao passo que também busca assegurar proteção aos direitos dos titulares no Brasil.
Objetivo e escopo
O Regulamento define procedimentos e regras para a transferência internacional de dados, seja para países com proteção adequada reconhecida pela ANPD ou quando o controlador comprovar garantias de conformidade com a LGPD, por meio de cláusulas contratuais ou normas corporativas globais. O Regulamento não exclui a possibilidade de transferências com base em outros mecanismos previstos no artigo 33 da LGPD, desde que atendidos os requisitos legais e as especificidades do caso concreto.
Caracterização da transferência internacional de dados
A transferência internacional de dados é caracterizada quando dados pessoais são transferidos de um agente exportador, localizado no Brasil, para um agente importador, localizado em outro país.
A coleta internacional de dados, definida como a obtenção de dados pessoais do titular efetuada diretamente por um agente localizado no exterior, não configura uma transferência internacional, embora deva seguir as disposições da LGPD, caso se enquadre no escopo territorial estabelecido no artigo 3º desta Lei.
Tanto o controlador quanto o operador devem adotar medidas eficazes para garantir e comprovar o cumprimento das normas de proteção de dados e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e ao mecanismo de transferência internacional utilizado.
Hipótese legal e mecanismo de transferência
A transferência internacional de dados só pode ocorrer para fins legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Além disso, deve estar amparada em uma das hipóteses legais previstas nos artigos 7º e 11 da LGPD e utilizar um mecanismo válido, como uma decisão de adequação reconhecida pela ANPD, cláusulas contratuais, ou normas corporativas globais, os quais são detalhados a seguir.
Decisão de adequação
A ANPD pode reconhecer, por meio de decisão de adequação, que o nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional é equivalente ao da legislação brasileira, conforme a LGPD e o Regulamento.
Na avaliação do nível de proteção, serão considerados critérios como:
- As normas gerais e setoriais do país de destino ou organismo internacional;
- A natureza dos dados;
- A observância aos princípios de proteção de dados e aos direitos dos titulares;
- As medidas de segurança adotadas;
- As garantias judiciais e institucionais existentes, incluindo a presença de um órgão regulador independente;
- Outras circunstâncias específicas relativas à transferência.
Além desses critérios, também serão levados em consideração:
- Os riscos e benefícios da decisão de adequação;
- Os impactos no fluxo internacional de dados;
- As relações diplomáticas, o comércio e a cooperação internacional.
A prioridade será dada a países ou organismos que ofereçam tratamento recíproco ao Brasil e que possam facilitar o livre fluxo de dados entre as partes.
O procedimento para emissão da decisão de adequação pela ANPD pode ser iniciado pelo Conselho Diretor ou por solicitação de determinadas entidades de direito público, sendo instruído pela área técnica competente e sujeito à deliberação final pelo Conselho. A decisão de adequação será publicada por meio de Resolução no site da ANPD.
O processo instaurado no âmbito da ANPD para reconhecimento do Brasil como país adequado por outro país ou organismo internacional deve observar os mesmos procedimentos.
Cláusulas-padrão contratuais
As cláusulas-padrão contratuais, aprovadas pela ANPD, estabelecem garantias mínimas e condições válidas para transferências internacionais de dados.
O Anexo II do Regulamento estabelece o texto das cláusulas-padrão contratuais, permitindo acomodar a posição do exportador e do importador, seja como controlador, seja como operador.
Para que a transferência seja válida, o texto das cláusulas deve ser adotado integralmente, sem alterações, em um instrumento contratual firmado entre o exportador e o importador, podendo estar em um contrato específico ou mais amplo, desde que as cláusulas-padrão não sejam modificadas.
O controlador deve garantir transparência ao titular, incluindo:
- Fornecer, se solicitado, a íntegra das cláusulas contratuais utilizadas, observados os segredos comercial e industrial;
- Publicar no seu site, em uma página específica ou integradas à Política de Privacidade, informações claras e acessíveis sobre a transferência internacional de dados, como detalhes sobre a finalidade, duração, país de destino, e os direitos do titular.
Cláusulas-padrão contratuais equivalentes
A ANPD pode reconhecer como equivalentes as cláusulas-padrão contratuais de outros países ou organismos internacionais, desde que sejam compatíveis com as disposições da LGPD. Essa é uma inovação da LGPD em relação a outras normas de proteção de dados ao redor do mundo, como o Regulamento Geral de Proteção de Dados (GDPR), e que tenderá a auxiliar os agentes de tratamento a terem mais consistência em suas práticas globais.
A decisão de equivalência irá considerar:
- Se as cláusulas são compatíveis com a LGPD e garantem nível de proteção de dados equivalente ao das cláusulas-padrão contratuais nacionais;
- Os riscos e benefícios, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, o comércio e a cooperação internacional.
Cláusulas contratuais específicas
O controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas para transferências internacionais de dados, desde que comprovem garantias de cumprimento dos princípios e direitos previstos na LGPD.
Essas cláusulas são permitidas quando as cláusulas-padrão não são viáveis devido a circunstâncias excepcionais, devendo também prever a aplicação da legislação brasileira e submissão à fiscalização da ANPD.
A ANPD avaliará:
- Se as cláusulas específicas são compatíveis com a LGPD e se garantem nível de proteção de dados equivalente ao das cláusulas-padrão contratuais nacionais;
- Os riscos e benefícios, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, o comércio e a cooperação internacional.
A prioridade será dada a cláusulas que possam ser utilizadas por outros agentes em circunstâncias similares.
Nas cláusulas submetidas à aprovação da ANPD, o controlador deve:
- Adotar, sempre que possível, a redação das cláusulas-padrão;
- Justificar a necessidade das cláusulas específicas.
Normas corporativas globais
As normas corporativas globais são mecanismos vinculantes para transferências internacionais de dados entre organizações de um mesmo grupo ou conglomerado empresarial.
Elas são válidas para transferências entre as organizações ou países abrangidos por essas normas, que devem estar associadas a um programa de governança em privacidade que atenda às exigências da LGPD.
Além disso, as normas corporativas globais devem detalhar as transferências de dados, estabelecendo:
- Descrição das transferências internacionais de dados, incluindo categorias de dados, operação de tratamento, finalidades, hipótese legal e tipos de titulares;
- Identificação dos países para os quais os dados podem ser transferidos;
- Estrutura do grupo ou conglomerado de empresas, com lista de entidades vinculadas, papéis no tratamento e dados de contato;
- Determinação da natureza vinculante das normas corporativas globais para todos os integrantes do grupo, incluindo funcionários;
- Delimitação de responsabilidades no tratamento de dados, indicando a entidade responsável;
- Indicação dos direitos dos titulares e meios para seu exercício;
- Regras para o processo de revisão das normas corporativas e previsão de submissão à aprovação da ANPD;
- Comunicação à ANPD em caso de alterações nas garantias de proteção de dados, especialmente se um membro do grupo estiver sujeito a leis de outro país que impeçam o cumprimento das normas.
Essas normas devem incluir a obrigação de notificar a entidade responsável caso um membro do grupo esteja sujeito a leis que impeçam o cumprimento das normas, salvo em casos de proibição legal de notificação.
Vigência e adaptação às cláusulas-padrão contratuais
O Regulamento entrou em vigor na data de sua publicação.
Os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas contratuais têm um prazo de até 12 meses, a partir da publicação, para incorporar as cláusulas-padrão aprovadas pela ANPD em seus contratos.
Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.
Podcast
Você também pode ouvir o episódio do Único podcast sobre esse tema (disponível em inglês).