ANPD estabelece mecanismos para garantir a proteção de dados pessoais em conformidade com a LGPD, reforçando a necessidade de adequação das empresas aos padrões internacionais de segurança
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 23, a Resolução CD/ANPD nº 19/2024, que regulamenta as Transferências Internacionais de Dados Pessoais e define o conteúdo das Cláusulas-Padrão Contratuais, conforme previsto na Lei Geral de Proteção de Dados Pessoais (LGPD).
O principal objetivo do Regulamento é garantir a segurança jurídica e a proteção dos direitos dos titulares de dados pessoais, independentemente do local onde esses dados pessoais são tratados. Desta forma, o Regulamento define que a Transferência Internacional de Dados é caracterizada quando o exportador transfere os dados para o importador e identifica estes agentes de tratamento envolvidos na operação.
O Regulamento estabelece que a Transferência Internacional de Dados Pessoais somente será permitida quando fundamentada em uma base legal prevista na LGPD, acompanhada de um dos seguintes mecanismos:
(i) Países com nível de proteção adequado: A Transferência Internacional de Dados é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado, conforme decisão da adequação a ser emitida pela ANPD.
(ii) Cláusulas-Padrão Contratuais: As Cláusulas-Padrão Contratuais poderão ser incorporadas: (a) em um contrato específico que regule exclusivamente as Transferências Internacionais de Dados; ou (b) em um contrato de escopo mais amplo, por meio da inclusão de um termo aditivo assinado pelos exportadores e importadores envolvidos na operação. As Cláusulas-Padrão Contratuais deverão ser incorporadas aos contratos vigentes no prazo de até 12 (doze) meses, contados a partir da publicação do Regulamento.
O Regulamento também prevê a possibilidade de reconhecimento de Cláusulas-Padrão Contratuais Equivalentes de países ou de organismos internacionais pela ANPD, desde que sejam compatíveis com a LGPD e observem os requisitos previstos no Regulamento.
(iii) Cláusulas Contratuais Específicas: O controlador poderá implementar Cláusulas Contratuais Específicas, desde que estas assegurem o cumprimento integral dos princípios, dos direitos do titular e das normas de proteção de dados aplicáveis. Além disso, o controlador deverá demonstrar de forma inequívoca que a transferência de dados não pode ser efetivada mediante o uso das Cláusulas-Padrão Contratuais, em razão de circunstâncias excepcionais, sejam elas de fato ou de direito.
(iv) Normas Corporativas Globais: Este mecanismo é direcionado para empresas de um mesmo grupo econômico que realizam Transferências Internacionais de Dados. As Normas Corporativas Globais apenas poderão ser utilizadas mediante aprovação da ANPD e deverão apresentar as seguintes informações: (a) descrição das Transferências Internacionais de dados, incluindo categorias de dados, operações de tratamento, finalidades, base legal e tipos de titulares envolvidos; (b) identificação dos países para os quais os dados podem ser transferidos; e (c) estrutura do grupo empresarial, listando as entidades vinculadas, seus papéis no tratamento dos dados e os contatos das organizações; (d) determinação da natureza vinculante da norma corporativa global para os integrantes do grupo ou conglomerado de empresas que as subscreverem; (d) a delimitação de responsabilidades, com a indicação da entidade responsável; (e) direitos dos titulares e canais de comunicação; (f) regras sobre a revisão das normas e previsão de submissão à ANPD e; (g) comunicação à ANPD em caso de alterações nas garantias apresentadas relacionadas aos princípios, direitos dos titulares e regime de proteção de dados previsto na LGPD.
(v) Selos, certificados e códigos de conduta regularmente emitidos: Esses mecanismos são permitidos desde que ofereçam garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.
(vi) Contextos específicos previstos no art. 33, incisos III a IX, tais como: (a) cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, de acordo com os instrumentos de direito internacional; (b) proteção da vida ou da incolumidade física do titular ou de terceiro; (c) compromisso assumido em acordo de cooperação internacional; (d) execução de política pública ou atribuição legal do serviço público; (e) consentimento específico e detalhado, distinguindo-o de outras finalidades; (f) cumprimento de obrigação legal ou regulatória pelo controlador; ou (g) quando necessário para a execução de contrato do qual o titular seja parte.
O controlador deverá confirmar a caracterização das Transferências Internacionais de Dados e garantir a transparência da operação. Para isso, será necessário fornecer aos titulares dos dados informações claras sobre a finalidade da Transferência, os países destinatários e as medidas de segurança adotadas. Além disso, o controlador e o operador serão responsáveis por adotar medidas eficazes para o cumprimento das normas de proteção de dados, de forma compatível com o grau de risco do tratamento e o mecanismo de transferência utilizado.
O Regulamento impõe às empresas a obrigação de implementar mudanças ou aprimoramentos em seus fluxos de Transferência Internacional de Dados, representando um passo significativo para o alinhamento do Brasil aos padrões internacionais de proteção de dados.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
