Logotipo Galante Sociedade de Advogados
28/08/2024

Transferência Internacional de Dados é regulamentada

No último dia 23 foi publicado a Resolução CD/ANPD nº 19/2024 que aprova o Regulamento de Transferência Internacional de Dados (“Regulamento”) e o conteúdo das cláusulas-padrão contratuais, de extrema importância para segurança dos dados. Confira a seguir detalhadamente.

Aplicabilidade

As novas regras se aplicam às operações com transferência internacional de dados a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado (em conformidade com a Lei 13709/2018 ou “LGPD”); ou b) quando o controlador dos dados oferecer garantias de cumprimento dos (i) princípios, (ii) direitos do titular, e (iii) regime de proteção de dados previstos na LGPD, o que deve ocorrer obrigatoriamente em uma das seguintes formas: ou através de cláusulas contratuais específicas para determinada transferência; ou cláusulas-padrão contratuais; ou normas corporativas globais.

Por óbvio, o previsto no novo regulamento não anula a possibilidade de ocorrer transferência internacional de acordo com os demais mecanismos já previstos na LGPD, ou seja, aqueles que não dependem de regulamentação, desde que atendidas os requisitos específicos do caso concreto.

Caracterização da transferência internacional

Ocorrerá transferência internacional sempre que o exportador transferir os dados pessoais para o importador. Ao contrário, a pura coleta internacional de dados não caracteriza a transferência.

Aplicação da base legal nacional

Deverá a transferência internacional estar em conformidade com a LGPD e com o Regulamento quando: (i) o tratamento dos dados for realizado no Brasil; (ii) o tratamento tiver por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos que se localizam no Brasil; (iii) os dados pessoais objeto do tratamento tenham sido coletados no Brasil.

A LGPD também se aplicará aos dados provenientes do exterior sempre que estes forem objeto de tratamento no Brasil. Somente nos seguintes casos os dados provenientes do exterior não terão que se adequar a LGPD: (i) quando ocorrer trânsito de dados pessoais sem a ocorrência de comunicação ou uso compartilhado de dados com o agente de tratamento no Brasil; ou (ii) quando houver retorno dos dados pessoais, objeto de tratamento no Brasil, desde que o retorno seja para o país ou organismo internacional de proveniência e se cumprir os requisitos previstos no Regulamento (Art. 8º, §1º, II, “a”, “b” e “c”).

Mecanismo de transferência

A transferência internacional de dados somente poderá ocorrer para atender propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Ademais, deve se limitar ao mínimo necessário para o alcance de suas finalidades. Não obstante, a transferência deve estar amparada em (i) uma das hipóteses do art. 7º ou 11º da LGPD; e (ii) um dos mecanismos válidos de realização da transferência internacional.

Avaliação do Nível de Proteção de Dados Pessoais

Os critérios para avaliação do nível de proteção de dados pessoais de país ou organismo estrangeiro são:

  • Normas gerais e setoriais em vigor;
  • Natureza dos dados;
  • Observância dos princípios gerais de proteção de dados pessoais e dos direitos de titulares previstos na LGPD;
  • Adoção de medidas de segurança adequadas para minimizar impactos aos titulares;
  • Existência de garantias judiciais e institucionais para o respeito aos direitos de proteção dos dados pessoais; e
  • Outras circunstâncias específicas relativas à transferência.


A decisão de adequação ocorrerá por meio de resolução do Conselho Diretor e será publicada na página da ANPD na Internet.

Cláusulas-padrão contratuais

Disponibilizadas como anexo ao Regulamento, as cláusulas-padrão estabelecem garantias mínimas e condições válidas para a realização da transferência de dados internacional.

Tais cláusulas deverão ser aderidas integralmente e sem alteração do texto, mediante instrumento contratual firmado entre o exportador e o importador, poderão, ainda, integrar (a) contrato celebrado para reger, especificamente, transferências internacionais de dados; ou (b) contrato com objeto mais amplo, inclusive mediante a assinatura de termo aditivo pelo exportador e pelo importador envolvidos na operação. Não obstante, qualquer outro instrumento contratual entre as partes não poderá excluir, modificar o contrariar as cláusulas-padrão.

Ponto interessante é que a ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas-contratuais publicadas no regulamento, conforme procedimento específico.

Transparência

Caso seja solicitado, o controlador deverá disponibilizar ao titular a íntegra das cláusulas utilizadas para realização da transferência internacional, salvo os segredos comercial e industrial, no prazo de 15 dias.

Em sua página na internet, o controlador ainda deverá publicar um documento, em português e usando linguagem simples, clara, precisa e acessível, sobre a realização da transferência, contento, ao menos, as seguintes informações: (i) a forma, a duração e a finalidade específica da transferência internacional; (ii) o país de destino dos dados transferidos; (iii) a identificação e os contatos do controlador; (iv) o uso compartilhado de dados pelo controlador e a finalidade; (v) as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e (vi) os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.

Cláusulas contratuais específicas

Em casos raros, somente quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão em razão de circunstâncias excepcionais de fato ou de direito (que devem ser comprovadas pelo controlador), poderá o controlador solicitar à ANPD a aprovação de cláusulas contratuais específicas. Tais cláusulas deverão prever a aplicação da legislação nacional de proteção de dados pessoais à transferência internacional de dados e a sua submissão à fiscalização da ANPD.

Normas corporativas globais

As normas corporativas globais, que deverão conter informações mínimas previstas no Regulamento, são aquelas destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas. Tais normas possuem caráter vinculante em relação aos membros do grupo que as subscreverem. Ademais, tais normas constituem um mecanismo válido para realizar transferências internacionais de dados pessoais apenas paras as organizações ou países abrangidos pelas mesmas.

Adequação

Por fim, todos os agentes de tratamento de dados que utilizam cláusulas contratuais para transferir dados internacionalmente têm 12 meses para incorporar as cláusulas-padrão em seus contratos.