Beatrice Yokota, Thomas Greco e Gabriela Alves
Em 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD 19/2024 que aprova e traz, em seu Anexo I, o Regulamento de Transferência Internacional de Dados no Brasil (“Regulamento”). O Regulamento é um avanço na normativa relacionada à Lei Geral de Proteção de Dados (“LGPD”), uma vez que disciplina temas relacionados às operações de transferências internacionais, promovendo maior segurança jurídica para o tratamento de dados pessoais fora do Brasil.
Uma transferência internacional de dados é caracterizada quando um agente de tratamento localizado no Brasil ou em país estrangeiro (“exportador”) transfere dados pessoais para agente de tratamento localizado em país estrangeiro ou organismo internacional (“importador”). Os arts. 33 e seguintes da LGPD estabelece os casos em que transferências desse tipo podem ser feitas e o Regulamento, por sua vez, disciplina dois desses casos, quais sejam:
- transferências internacionais para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado (arts. 33, I e 34); e
- transferências internacionais em hipóteses em que o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, com base em utilização de mecanismos (i) contratuais, (i.a.) incluindo cláusulas-padrão, (i.b.) cláusulas contratuais específicas, (ii) normas corporativas globais, e (iii) selos, certificados e códigos de conduta regularmente emitidos (art. 33, II, 35 e 36);
No que se refere a transferências para países ou organismos internacionais definidos como adequados, o Regulamento estabelece o processo para que a ANPD avalie a adequação do país de destino ou organismo internacional. De forma geral, a ANPD deverá analisar se as normas de proteção de dados pessoais aplicáveis estão em conformidade com os princípios e direitos previstos na LGPD, bem como se existem garantias judiciais e institucionais locais para o respeito aos direitos de proteção de dados pessoais. Importante ressaltar que decisões de adequação emitidas por autoridades de outros países não têm validade no Brasil e até o momento, a ANPD não realizou nenhuma avaliação desse tipo.
Já, com relação a transferências internacionais por meio de utilização de mecanismos contratuais, o Regulamento disciplina a utilização de cláusulas-padrão, cláusulas contratuais específicas e normas corporativas globais.
O Anexo II do Regulamento traz o texto das cláusulas-padrão contratuais que poderão ser utilizadas pelos agentes de tratamento para a realização de transferências internacionais. Para ser válida, a transferência pressupõe a adoção integral e sem alteração do texto constante do Anexo II. Caso as cláusulas-padrão não sejam aplicáveis em razão de circunstâncias excepcionais, o Regulamento estabelece que o controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas para a realização de transferências internacionais. Sem prejuízo, as cláusulas contratuais específicas deverão oferecer garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados da LGPD.
Agentes de tratamento que utilizam cláusulas contratuais para a realização de transferências internacionais de dados têm um prazo de 12 meses, contados a partir da data da publicação do Regulamento (23 de agosto de 2024), para adequar seus contratos com a devida incorporação das cláusulas-padrão.
Por fim, as normas corporativas globais poderão ser utilizadas como mecanismo para transferências de dados apenas entre empresas do mesmo grupo e devem ser obrigatórias para os membros que as subscrevem. Essas normas deverão detalhar as operações de transferência internacional de dados, incluindo as categorias de dados, as finalidades do tratamento e os países para os quais os dados podem ser transferidos, além de identificar a estrutura do grupo empresarial, bem como as responsabilidades de cada entidade no tratamento de dados. Para serem válidas, contudo, as normas corporativas globais devem ser submetidas à aprovação da ANPD por meio do Sistema Eletrônico de Informações (“SEI”). Além disso, tais normas devem estar associadas a um programa de governança em privacidade conforme o disposto na LGPD.
No último dia 24 de setembro de 2024, houve o lançamento, pela ANPD, de uma página especifica dedicada à Transferência Internacional de Dados, na qual controladores e operadores de dados encontram orientações detalhadas sobre como realizar peticionamentos eletrônicos e sobre como tramitam pedidos de análise dos mecanismos de transferências. A página, ainda, servirá como um repositório das decisões do Conselho Diretor da ANPD. De acordo com a ANPD, a ideia é garantir maior transparência, além de orientar e facilitar o entendimento de empresas e cidadãos sobre os mecanismos que regem a movimentação de dados pessoais para fora do território nacional. Por fim, a página oferece recursos, como um guia prático para peticionamentos eletrônicos e uma seção de Perguntas Frequentes (FAQ), que explica de forma clara as normas e procedimentos relacionados ao Regulamento.
Para acessar a íntegra da Resolução 19/2024 da ANPD e obter mais detalhes sobre suas disposições, clique aqui.
Para acessar a página dedicada à Transferência Internacional de Dados, clique aqui.
O presente artigo possui finalidade meramente informativa e sem caráter de aconselhamento jurídico. As informações contidas neste artigo não devem ser utilizadas ou aplicadas indistintamente a fatos ou circunstâncias concretas sem consulta prévia a um advogado. As opiniões contidas neste artigo são as expressadas pelo(s) respectivo(s) autor(es) e podem não necessariamente refletir a opinião do escritório ou dos clientes do escritório; e estão sujeitas a alteração sem ulterior notificação.