ANPD publica documento que regula a transferência internacional de dados

ANPD publica documento que regula a transferência internacional de dados

No dia 23 de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 19/2024, que aprovou o seu Regulamento de Transferência Internacional de Dados. O documento objetiva estabelecer os procedimentos e as regras aplicáveis às operações de transferência internacional de dados nas seguintes situações: para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei Geral de Proteção de Dados (LGPD); ou quando o controlado que oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD. Neste último caso, as garantias poderão ser oferecidas na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais ou normas corporativas globais.

Primeiro, o regulamento traz princípios e diretrizes a serem observados no âmbito das transferências internacionais de dados. Dentre eles: o cumprimento dos princípios dos direitos do titular e do nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência; a adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais; e a responsabilização e prestação de contas, mediante a adoção de medidas capazes de comprovar a observância e o cumprimento dos princípios dos direitos do titular e da lei de proteção de dados. É destacada, ainda, a implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e acessíveis sobre a realização da transferência, observados os segredos comerciais e industriais.

Depois, o documento preocupa-se em trazer as definições adotadas por ele, como a definição de exportador e importador, de transferência internacional de dados, de coleta internacional de dados e de mecanismos de transferência internacional de dados. Além disso, dispõe em artigo próprio sobre os requisitos gerais para a realização da transferência internacional de dados. Aqui, nota que cabe ao controlador verificar, nos termos da LGPD e do regulamento, se a operação de tratamento caracteriza transferência internacional de dados; se submete-se à legislação nacional de proteção de dados pessoais; e se está amparada em hipótese legal e em mecanismo de transferência internacional válidos.

Também, nos artigos seguintes, o regulamento caracteriza a transferência internacional de dados e a diferencia da coleta internacional de dados. Nesse ponto, ressalta que a transferência internacional será caracterizada quando houver a transferência de dados pessoais de um agente exportador para um agente importador localizado em país estrangeiro. Já a coleta internacional de dados é definida como a obtenção de dados pessoais do titular efetuada diretamente por um agente localizado no exterior, não configurando, portanto, uma transferência internacional, embora deva seguir as disposições da LGPD.

Em relação às hipóteses legais e mecanismos de transferência, a ANPD delibera que a transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, desde que amparada nas hipóteses dos arts. 7º e 11 da LGPD, e utilizar mecanismos de transferência válidos, como uma decisão de adequação reconhecida pela ANPD, cláusulas contratuais, ou normas corporativas globais.

Dessa forma, o regulamento se debruça sobre as particularidades das decisões de adequação, das cláusulas-padrão contratuais, das cláusulas contratuais especificas e das normas corporativas globais. As decisões de adequação consistem em decisões pelas quais a ANPD reconhece que o nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional é equivalente ao da legislação brasileira, a partir de critérios específicos. Já as cláusulas-padrão contratuais, no que já aprovadas pela ANPD, estabelecem garantias mínimas e condições válidas para transferências internacionais de dados. Aqui, é importante destacar as chamadas cláusulas-padrão contratuais equivalentes, ou seja, cláusulas-padrão contratuais de outros países ou de organismos internacionais que podem ser reconhecidas pela ANPD em equivalência com as cláusulas-contratuais publicadas no regulamento. De outro lado, as cláusulas contratuais específicas devem ser enviadas pelo controlador para aprovação pela ANPD, e deverão comprovar garantias de cumprimento dos princípios e direitos previstos na LGPD. As normas corporativas globais, por sua vez, são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas.

Por fim, o documento dispõe sobre as medidas de transparência a serem adotadas, e indica que a ANPD deverá publicar em seu endereço eletrônico a relação das cláusulas contratuais específicas e das normas corporativas globais aprovadas. Do mesmo modo, prevê que o controlador deverá disponibilizar ao titular, em caso de solicitação, a íntegra das cláusulas contratuais específicas ou as normas corporativas globais, publicando em sua página virtual um documento redigido em linguagem simples sobre a realização da transferência internacional de dados. Ainda, o regulamento contém um anexo com um modelo de conteúdo e forma para as cláusulas-padrão contratuais, que podem integrar contratos celebrados para reger, especificamente, a transferência internacional de dados.

O Regulamento de Transferência Internacional de Dados pode ser acessado através do link: Resolução CD/ANPD nº 19/2024