Artigos / Na mídia

Voltar
- 26/08/24

Novas regras da ANPD sobre transferência internacional de dados pessoais

 O que sua empresa precisa fazer para estar em conformidade

Na última sexta-feira (23/08/2024), foi publicada a Resolução CD/ANPD n. 19/2024 que aprovou o Regulamento de Transferência Internacional de Dados Pessoais e o conteúdo das cláusulas-padrão contratuais pela Autoridade Nacional de Proteção de Dados – ANPD.

Esta regulação já era bastante aguardada pelo mercado, pois a LGPD, inspirada no regulamento europeu – GDPR, delegou à ANPD as disposições específicas sobre o tema, o que trazia bastante insegurança jurídica para as várias atividades de tratamento que envolvem transferência internacional de dados como por exemplo armazenamento de dados pessoais em nuvem com trânsito fora do Brasil.

Neste contexto, o regulamento reforça a importância de um ambiente seguro para a transferência de dados, equilibrando a necessidade de proteção dos direitos dos titulares e os processos de negócios. 

 

O que sua empresa precisa saber:

Diretrizes Gerais:

  • Garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional;
  • Adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais;
  • Promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares;
  • Responsabilização e prestação de contas, em especial, de adoção de medidas eficazes de comprovação a observância e o cumprimento dos princípios dos direitos do titular e do regime de proteção de dados pessoais;
  • Medidas efetivas de transparência;
  • Adoção de boas práticas e medidas de prevenção e segurança compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.

 

Atenção: Cabe ao controlador verificar:

  • caracteriza transferência internacional de dados;
  • submete-se à legislação nacional de proteção de dados pessoais; e
  • está amparada em hipótese legal e em mecanismo de transferência internacional válidos.

 

Caracterização:

A transferência internacional de dados será caracterizada quando o exportador (ex.: empresa localizada no Brasil ou exterior) transferir dados pessoais para o importador (ex.: empresa localizada no exterior).

 

Atenção: 

A coleta internacional de dados não caracteriza transferência internacional de dados.

Hipótese Autorizadora de Tratamento: é necessário ter base legal válida para realizar a transferência.

 

Mecanismos de Transferência:

1) Decisões de Adequação: Países ou organismos internacionais reconhecidos como adequados pela ANPD; 

2) Cláusulas Contratuais Equivalentes: reconhece a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas aprovadas pela ANPD nesta Resolução.

3) Cláusulas Contratuais Específicas: cláusulas que comprovem garantias de cumprimento dos princípios e direitos previstos na LGPD, desde que as cláusulas-padrão aprovadas pela ANPD não sejam viáveis por questões específicas e excepcionais. 

4) Normas corporativas globais: destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem.

Atenção:

Procedimento de aprovação pela ANPD de cláusulas contratuais específicas e normas corporativas globais são iguais.

5) Cláusulas-padrão contratuais: cláusulas aprovadas pela ANPD nesta Resolução a serem adotadas pelos agentes de tratamento (ex.: empresas), pressupõe adoção integral e sem alteração do texto disponibilizado.

 

Como comunicar cláusulas-padrão

Através de publicação na internet com um documento em português, utilizando linguagem simples, clara, precisa e acessível sobre a realização da transferência. Pode ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou a instrumento equivalente; devendo incluir pelo menos: 

 

(i) a forma, a duração e a finalidade específica da transferência internacional; 

(ii) o país de destino dos dados transferidos; 

(iii) a identificação e os contatos do controlador; 

(iv) o uso compartilhado de dados pelo controlador e a finalidade; 

(v) as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; 

(vi) os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.

 

Adoção de medidas de transparência: disponibilização da íntegra das cláusulas, resguardados os segredos comercial e industrial, quando solicitado pelo titular em até 15 dias.

As empresas que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão aprovadas pela ANPD aos seus respectivos instrumentos até 23/08/2025.

Já as demais regras da Resolução produzem efeitos imediatos, ou seja, entram em vigor a partir da publicação.

Assim, é crucial que as empresas realizem os ajustes necessários para estarem em conformidade com essas novas diretrizes, adotando as melhores práticas de governança em privacidade e proteção de dados.

 

Gostou desse conteúdo? Quer mais informações sobre esse tema? Então, inscreva-se na nossa Newsletter para ter acesso ao conteúdo em primeira mão.

Profissionais
Relacionados

Luíza Nascimento Patusco

Advogada

Áreas de Atuação
Relacionadas

Proteção de Dados

Cadastre-se e receba nossos comunicados.

Selecionar áreas de atuação de interesse