A Autoridade Nacional de Proteção de Dados (ANPD) aprovou a Resolução CD/ANPD nº 19, de 23 de agosto de 2024, que estabelece novas diretrizes para a transferência internacional de dados pessoais.
A seguir, destacamos os principais pontos desta resolução:
/ Hipótese Legal e Mecanismos de Transferência
O Regulamento estabelece que a transferência internacional de dados pessoais só pode ocorrer quando estiver amparada por uma base legal prevista na LGPD e por um dos seguintes mecanismos de transferência internacional:
- Países com Proteção Adequada: A transferência é permitida para países que oferecem um nível de proteção adequado aos dados pessoais, conforme decisão de adequação a ser emitida pela ANPD.
- Cláusulas e Normas Contratuais: Pode ser realizada com base em cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas aprovadas pela ANPD.
- Garantias de Proteção: Também é permitida quando o controlador oferece e comprova garantias de cumprimento dos princípios, direitos do titular e regime de proteção de dados previstos na LGPD, utilizando mecanismos como selos, certificados e códigos de conduta emitidos regularmente.
- Necessidades Específicas: A transferência é possível quando necessária para:
(i) A cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, conforme instrumentos de direito internacional.
(ii) O cumprimento de uma obrigação legal ou regulatória.
(iii)A execução de um contrato no qual o titular seja parte.
(iv)O exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
/ Cláusulas-Padrão Contratuais
- A ANPD aprovou o conteúdo das cláusulas-padrão contratuais que podem ser incorporadas em contratos que envolvem a transferência internacional de dados.
- As empresas têm o prazo de 12 meses para ajustar seus contratos às novas cláusulas-padrão.
- Para a validade desse mecanismo, é necessário a adoção integral e sem alteração do texto disponibilizado pela ANPD.
- A íntegra das cláusulas utilizadas deverá ser disponibilizada aos titulares, em caso de solicitação nesse sentido, em um prazo de até 15 dias, observados os segredos comerciais e industriais.
- Os controladores devem publicar em sua página da internet um documento detalhado sobre a transferência internacional de dados. Essas informações podem estar integradas à Política de Privacidade e deverão incluir, entre outras informações: (i) o país de destino dos dados; e (ii) a identificação completa e os contatos do controlador.
Observação: A ANPD também poderá reconhecer a equivalência de cláusulas padrão contratuais de outros países ou de organismos internacionais, por meio de procedimento próprio e específico da ANPD.
/ Cláusulas Contratuais Específicas
- O controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas, seguindo o processo descrito no Regulamento.
- Para ser aprovada, as cláusulas específicas devem prever a aplicação da LGPD à transferência internacional de dados e sua submissão à fiscalização da ANPD.
- ANPD analisará as cláusulas considerando sua compatibilidade com a LGPD e os riscos e benefícios da aprovação, incluindo impactos sobre o fluxo internacional de dados e relações internacionais do Brasil.
- A ANPD publicará, em seu sítio eletrônico, a relação das cláusulas contratuais específicas aprovadas, com indicação do respectivo requerente e data da aprovação. Além disso, caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
/ Normas Corporativas Globais
- Normas corporativas globais podem ser usadas para transferências de dados entre empresas do mesmo grupo, e devem ser obrigatórias para os membros que as subscrevem.
- As normas devem detalhar as operações de transferência internacional de dados, incluindo as categorias de dados, as finalidades do tratamento, e os países para os quais os dados podem ser transferidos. Devem também identificar a estrutura do grupo empresarial, as responsabilidades de cada entidade no tratamento de dados, e fornecer informações sobre como os titulares de dados podem exercer seus direitos.
- Para serem válidas, as normas corporativas globais devem ser submetidas à aprovação da ANPD, que avaliará se elas oferecem garantias suficientes de proteção de dados conforme a LGPD. Além disso, tais cláusulas devem estar associadas a um programa de governança em privacidade conforme a LGPD.
- A ANPD publicará, em seu sítio eletrônico, a relação das normas corporativas globais aprovadas, com indicação do respectivo requerente e data da aprovação. Além disso, caso solicitado pelo titular, o controlador deverá disponibilizar a íntegra das referidas cláusulas.
Para mais detalhes, baixe o infográfico completo com os principais tópicos da nova resolução.
