Foi publicada recentemente a Resolução ANPD nº 19, de 23/08/2024, da Autoridade Nacional de Proteção de Dados (ANPD), que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. O texto regulamenta os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), estabelecendo procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais, bem como disciplinando mecanismos contratuais para a realização de transferências internacionais de dados pessoais. 

Conforme o texto, já em vigor, bem como termos da LGPD, cabe ao controlador verificar se a operação de tratamento caracteriza transferência internacional de dados, se existe submissão à legislação nacional de proteção de dados pessoais e se está amparada em hipótese legal e em mecanismo de transferência internacional válidos. 

O operador prestará auxílio ao controlador mediante o fornecimento das informações de que dispuser e que se demonstrarem necessárias. Devem ambos adotar medidas eficazes e que sejam capazes de comprovar o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de maneira compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado. 

Lembrando que a transferência internacional de dados somente poderá ser realizada e deve se limitar ao atendimento de propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em uma das hipóteses legais previstas no art. 7º ou no art. 11° da LGPD.  

Na sequência, a Resolução determina que a ANPD poderá reconhecer, por meio de decisão de adequação, se o nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional é equivalente ao da legislação brasileira, conforme a LGPD e o Regulamento. A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração quesitos, como: 

• As normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional; 

• A natureza dos dados; 

• A observância aos princípios de proteção de dados e aos direitos dos titulares; 

• A adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; 

• As garantias judiciais e institucionais existentes, incluindo a presença de um órgão regulador independente; 

• Outras circunstâncias específicas relativas à transferência. 

Além desses critérios, para a avaliação do nível de proteção de dados pessoais, também serão considerados: 

• Os riscos e benefícios da decisão de adequação; 

• Os impactos da decisão sobre o fluxo internacional de dados, as relações diplomáticas, o comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais. 

A ANPD priorizará a avaliação do nível de proteção de dados de países estrangeiros ou organismos internacionais que garantam tratamento recíproco ao Brasil, e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países e organismos internacionais.  

No tocantes às cláusulas, constituem mecanismos de transferência internacional as cláusulas-padrão contratuais, que estabelecem garantias mínimas e condições válidas para a realização da transferência. Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos no prazo de até 12 meses. Para que a transferência seja válida, o texto das cláusulas deve ser adotado de forma integral, sem modificações em contrato firmado entre o exportador e o importador, podendo estar em um instrumento específico ou mais amplo, desde que as cláusulas-padrão não sejam alteradas.  

O controlador deve garantir transparência ao titular, incluindo: o fornecimento, se solicitado, sobre a íntegra das cláusulas contratuais utilizadas, observados os segredos comercial e industrial, e a publicação, em seu site, de uma página específica ou informações claras e acessíveis integradas à Política de Privacidade sobre a transferência internacional de dados, como detalhes sobre a finalidade, duração, país de destino e os direitos do titular. 

Em seguida, o texto traz também procedimentos para a aprovação de cláusulas contratuais específicas, sendo que a ANPD avaliará se são compatíveis com a LGPD e se garantem um nível de proteção de dados equivalente ao das cláusulas-padrão contratuais nacionais, bem como os riscos e benefícios, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, o comércio e a cooperação internacional. 

Por fim, a Resolução ainda trata sobre as normas corporativas globais que se constituem como mecanismos vinculantes para transferências internacionais de dados entre organizações de um mesmo grupo ou conglomerado empresarial. Válidas para transferências entre as organizações ou países abrangidos por essas normas, devem estar associadas a um programa de governança em privacidade que atenda às exigências da LGPD, detalhando as transferências de dados.  

Ademais, a norma corporativa global deve também prever obrigação de notificação imediata à entidade responsável, sempre que um membro do grupo ou conglomerado de empresas, situado em outro país, esteja submetido a uma determinação legal que impeça o cumprimento das normas corporativas, ressalvada a hipótese de expressa proibição legal de realizar essa notificação. 

 

Considerações finais 

A Ambipar ESG auxilia sua empresa a implementar um programa de governança e oferece ferramentas robustas de cibersegurança prontas para atender às normativas mais recentes. Entre em contato para entender melhor.

 

Gabriela Viana | Analista ESG