Publicações

Novidades da LGPD: novas regras para transferência internacional de dados pessoais

Novidades da LGPD: novas regras para transferência internacional de dados pessoais

26/8/2024

Na sexta-feira (23/08/2024), a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 19, aprovando o Regulamento de Transferência Internacional de Dados.

Por meio da nova normativa, a ANPD regulamenta os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecendo orientações e requisitos gerais para as transferências internacionais de dados pessoais e delimitação das responsabilidades dos controladores e operadores de dados pessoais. Além disso, o regulamento esclarece as obrigações e limites nas relações entre as partes envolvidas no processamento de dados pessoais, incluindo subcontratantes. A nova normativa visa garantir a proteção adequada aos titulares de dados, mesmo quando transferidos para além das fronteiras nacionais, alinhando as práticas do país com os padrões internacionais de privacidade e segurança de dados.

O regulamento alcançará as regras contratuais já existentes envolvendo empresas que desenvolvem atividades no Brasil e condutas envolvendo controladores/processadores de dados pessoais e subcontratantes nas operações de transferência internacional de dados.

Nesse contexto, é importante destacar que os agentes de tratamento que fazem uso de cláusulas contratuais para efetuar referidas transferências terão o prazo de 12 (doze) meses para incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus instrumentos contratuais.

Quais foram as principais novidades?

Introdução dos conceitos de importador, exportador e entidade responsável, sendo que: importador é o agente que recebe dados pessoais transferidos de outro país; exportador é o agente que transfere dados pessoais para outro país; e entidade responsável é a empresa brasileira responsável por violações de normas corporativas globais, mesmo que cometidas por membro do grupo em outro país.

O texto determina requisitos para a transferência internacional de dados pessoais, conforme abaixo:

  • Verificação da caracterização como transferência internacional
  • Conformidade com a legislação nacional de proteção de dados
  • Amparo em hipótese legal válida
  • Uso de mecanismo de transferência aprovado (ex: decisão de adequação, cláusulas contratuais, normas corporativas globais)
  • Garantia de nível de proteção equivalente ao da LGPD
  • Limitação à finalidade específica e legítima informada ao titular
  • Adoção de medidas de segurança adequadas

Foram apresentadas cláusulas contratuais específicas (elaboradas para uma transferência particular mediante aprovação da ANPD), cláusulas-padrão contratuais (modelo pré-aprovado pela ANPD), e normas corporativas globais (regras internas para serem adotadas por grupos empresariais para transferências intragrupo) que devem ser adotadas como garantia para a transferência internacional de dados pessoais. Ainda, foram especificados o cenário em que cada uma delas será aplicada.

Importante: qualquer alteração nas cláusulas contratuais específicas deve ser comunicada imediatamente à ANPD, de modo que sua implementação depende de prévia autorização do órgão.

A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais internacionais com as cláusulas previstas no regulamento.

Foram estabelecidos critérios claros para a avaliação de entes internacionais que proporcionem grau de proteção de dados pessoais considerado adequado, nos termos da LGPD, como análise das normas de proteção de dados do país/organismo, natureza dos dados transferidos, observância dos princípios e direitos previstos na LGPD, medidas de segurança adotadas, garantias judiciais e institucionais para proteção de dados e outras circunstâncias específicas da transferência.

Definição da responsabilidade de exportadores e importadores de assegurar a conformidade do tratamento nas operações de transferência internacional de dados pessoais.

O texto determina as medidas de transparência necessárias na transferência internacional de dados pessoais, como manter os avisos de privacidade das páginas de internet com informações claras e atualizadas sobre essas operações.

As empresas terão um prazo de 12 (doze) meses, contados a partir da data de publicação da resolução, para se adequarem às novas regras. Este período de transição visa permitir que as organizações realizem as adaptações necessárias em seus processos, contratos e políticas de privacidade para atender aos novos requisitos estabelecidos pela ANPD.

Recomendamos aos nossos clientes e parceiros a realização de uma revisão detalhada dos contratos de tratamento e das normas corporativas globais existentes para assegurar que estejam em conformidade com a nova regulamentação.

Considerando as novas exigências, uma auditoria interna pode ser necessária para avaliar a conformidade das operações de transferência internacional de dados pessoais e ajustar práticas empresariais conforme necessário.

Nosso time de Privacidade e Proteção de Dados de L.O. Baptista está inteiramente à disposição para auxiliar clientes e organizações nas providências mais urgentes e para assegurar conformidade com a nova Resolução 19/2024.

Coautoria de: Fabricio Polido , Larissa Fernandes Ackerman e  Denise de Araujo Berzin Reupke 

Outras notícias
Tags