26/8/2024
Na sexta-feira (23/08/2024), a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 19, aprovando o Regulamento de Transferência Internacional de Dados.
Por meio da nova normativa, a ANPD regulamenta os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecendo orientações e requisitos gerais para as transferências internacionais de dados pessoais e delimitação das responsabilidades dos controladores e operadores de dados pessoais. Além disso, o regulamento esclarece as obrigações e limites nas relações entre as partes envolvidas no processamento de dados pessoais, incluindo subcontratantes. A nova normativa visa garantir a proteção adequada aos titulares de dados, mesmo quando transferidos para além das fronteiras nacionais, alinhando as práticas do país com os padrões internacionais de privacidade e segurança de dados.
O regulamento alcançará as regras contratuais já existentes envolvendo empresas que desenvolvem atividades no Brasil e condutas envolvendo controladores/processadores de dados pessoais e subcontratantes nas operações de transferência internacional de dados.
Nesse contexto, é importante destacar que os agentes de tratamento que fazem uso de cláusulas contratuais para efetuar referidas transferências terão o prazo de 12 (doze) meses para incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus instrumentos contratuais.
Quais foram as principais novidades?
Introdução dos conceitos de importador, exportador e entidade responsável, sendo que: importador é o agente que recebe dados pessoais transferidos de outro país; exportador é o agente que transfere dados pessoais para outro país; e entidade responsável é a empresa brasileira responsável por violações de normas corporativas globais, mesmo que cometidas por membro do grupo em outro país.

O texto determina requisitos para a transferência internacional de dados pessoais, conforme abaixo:
- Verificação da caracterização como transferência internacional
- Conformidade com a legislação nacional de proteção de dados
- Amparo em hipótese legal válida
- Uso de mecanismo de transferência aprovado (ex: decisão de adequação, cláusulas contratuais, normas corporativas globais)
- Garantia de nível de proteção equivalente ao da LGPD
- Limitação à finalidade específica e legítima informada ao titular
- Adoção de medidas de segurança adequadas

Foram apresentadas cláusulas contratuais específicas (elaboradas para uma transferência particular mediante aprovação da ANPD), cláusulas-padrão contratuais (modelo pré-aprovado pela ANPD), e normas corporativas globais (regras internas para serem adotadas por grupos empresariais para transferências intragrupo) que devem ser adotadas como garantia para a transferência internacional de dados pessoais. Ainda, foram especificados o cenário em que cada uma delas será aplicada.
Importante: qualquer alteração nas cláusulas contratuais específicas deve ser comunicada imediatamente à ANPD, de modo que sua implementação depende de prévia autorização do órgão.

A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais internacionais com as cláusulas previstas no regulamento.

Foram estabelecidos critérios claros para a avaliação de entes internacionais que proporcionem grau de proteção de dados pessoais considerado adequado, nos termos da LGPD, como análise das normas de proteção de dados do país/organismo, natureza dos dados transferidos, observância dos princípios e direitos previstos na LGPD, medidas de segurança adotadas, garantias judiciais e institucionais para proteção de dados e outras circunstâncias específicas da transferência.

Definição da responsabilidade de exportadores e importadores de assegurar a conformidade do tratamento nas operações de transferência internacional de dados pessoais.

O texto determina as medidas de transparência necessárias na transferência internacional de dados pessoais, como manter os avisos de privacidade das páginas de internet com informações claras e atualizadas sobre essas operações.
As empresas terão um prazo de 12 (doze) meses, contados a partir da data de publicação da resolução, para se adequarem às novas regras. Este período de transição visa permitir que as organizações realizem as adaptações necessárias em seus processos, contratos e políticas de privacidade para atender aos novos requisitos estabelecidos pela ANPD.
Recomendamos aos nossos clientes e parceiros a realização de uma revisão detalhada dos contratos de tratamento e das normas corporativas globais existentes para assegurar que estejam em conformidade com a nova regulamentação.
Considerando as novas exigências, uma auditoria interna pode ser necessária para avaliar a conformidade das operações de transferência internacional de dados pessoais e ajustar práticas empresariais conforme necessário.
Nosso time de Privacidade e Proteção de Dados de L.O. Baptista está inteiramente à disposição para auxiliar clientes e organizações nas providências mais urgentes e para assegurar conformidade com a nova Resolução 19/2024.
Coautoria de: Fabricio Polido , Larissa Fernandes Ackerman e Denise de Araujo Berzin Reupke

