Insights > Client Alert

Client Alert

ANPD aprova o Regulamento de Transferência Internacional de Dados

26 de agosto de 2024

Foi publicada no Diário Oficial da União do dia 23 de agosto de 2024 a Resolução CD/ANPD n.º 19/2024, que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais.

O regulamento entrou em vigor na data de sua publicação, e os agentes de tratamento que utilizam cláusulas contratuais para a realização das transferências internacionais terão um prazo de até 12 meses para adequar seus contratos com a devida incorporação das cláusulas-padrão.

 

Objetivo e escopo

O regulamento estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados:

  • para países e organismos internacionais que proporcionem grau de proteção de dados pessoais adequado, conforme o reconhecimento da adequação pela ANPD; ou
  • quando o controlador oferecer e comprovar garantias de cumprimento da LGPD mediante:
    • cláusulas contratuais específicas para determinada transferência;
    • cláusulas-padrão contratuais; ou
    • normas corporativas globais.

Porém, o regulamento não exclui a possibilidade de realizar a transferência internacional com base em outros mecanismos previstos no artigo 33 da LGPD que não dependam de regulamentação, desde que sejam atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.

 

Caracterização da transferência internacional

A transferência internacional será caracterizada quando houver a transferência de dados pessoais de um agente exportador para um agente importador localizado em país estrangeiro.

Quando o dado pessoal tiver sido coletado no exterior, não será caracterizada a transferência internacional de dados, embora as disposições da LGPD sejam aplicáveis a esses casos quando for verificada uma das hipóteses previstas no artigo 3º da LGPD.

 

Bases legais para a transferência internacional

A transferência internacional de dados somente poderá ser realizada para atender propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em uma das hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, atrelada a um mecanismo válido de realização da transferência internacional.

 

Avaliação do nível de proteção de dados

  • Critérios para a avaliação:
    • normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional;
    • a natureza dos dados;
    • a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na LGPD;
    • a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares;
    • a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais;
    • outras circunstâncias específicas relativas à transferência;
    • os riscos e os benefícios proporcionados pela decisão de adequação;
    • os impactos da decisão sobre o fluxo internacional de dados, as relações diplomáticas, o comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.

A decisão de adequação será proferida por meio de resolução do Conselho Diretor e publicada na página da ANPD na Internet.

 

Cláusulas-padrão contratuais

As cláusulas-padrão elaboradas e aprovadas pela ANPD, e disponibilizadas como anexo ao regulamento, estabelecem garantias mínimas e condições válidas para a realização das transferências internacionais quando esse for o mecanismo de transferência utilizado.

Essas cláusulas-padrão deverão ser aderidas na sua totalidade e sem alteração do texto disponibilizado, mediante instrumento contratual firmado entre o exportador e o importador, e poderão integrar:

  • contrato celebrado para reger, especificamente, transferências internacionais de dados; ou
  • contrato com objeto mais amplo, inclusive mediante a assinatura de termo aditivo pelo exportador e pelo importador envolvidos na operação de transferência internacional de dados.

 

Transparência aos titulares

O controlador deverá disponibilizar ao titular, caso seja solicitada, a íntegra das cláusulas utilizadas para a realização da transferência internacional, observados os segredos comercial e industrial, em até 15 (quinze) dias, salvo se a ANPD estipular outro prazo em regulamentação específica.

O controlador também deverá publicar em seu website um documento em português contendo, ao menos, informações sobre:

  • a forma, a duração e a finalidade específica da transferência internacional;
  • o país de destino dos dados transferidos;
  • a identificação e os contatos do controlador;
  • o uso compartilhado de dados pelo controlador e a finalidade;
  • as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e
  • os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.

 

Cláusulas-padrão contratuais equivalentes

A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas-contratuais publicadas junto ao regulamento.

A decisão sobre a proposta de equivalência levará em consideração, entre outras circunstâncias relevantes:

  • Se as cláusulas-padrão contratuais são compatíveis com as disposições da LGPD e do regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais.
  • Os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, as relações diplomáticas, comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.

As cláusulas-padrão contratuais reconhecidas como equivalentes serão aprovadas por meio de resolução do Conselho Diretor e publicadas na página da ANPD na Internet.

 

Cláusulas contratuais específicas

Quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito devidamente comprovadas pelo controlador, o controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no regulamento.

A análise da ANPD levará em consideração, entre outras circunstâncias relevantes:

  • Se as cláusulas específicas são compatíveis com as disposições da LGPD e do regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais.
  • Os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos quanto ao fluxo internacional de dados, as relações diplomáticas, comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.

 

Normas corporativas globais

As normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas.

Essas normas possuem caráter vinculante em relação aos membros do grupo que as subscreverem, e devem estar vinculadas à implementação de um programa de governança em privacidade que atenda às condições mínimas presentes no § 2º do art. 50 da LGPD.

O regulamento também dispõe sobre informações mínimas que deverão ser endereçadas pelas normas corporativas globais, como:

  • a descrição das transferências internacionais de dados, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados;
  • a identificação dos países para os quais os dados podem ser transferidos; e
  • a estrutura do grupo ou conglomerado de empresas com a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais.

 

As equipes de Privacidade, Tecnologia e Cibersegurança, e de Telecomunicações, Mídia e Tecnologia (TMT) do Demarest Advogados estão acompanhando de perto o desenvolvimento do tema e permanecem à disposição para prestar quaisquer esclarecimentos.