A aprovação de cláusulas contratuais padrão e a estipulação de regras para o reconhecimento da adequação de outras jurisdições facilitam a participação de empresas brasileiras nos fluxos globais de dados pessoais.
Basicamente, quando falamos em transferência internacional de dados, estamos nos referindo ao movimento de informações pessoais de um país para outro. Isso pode ocorrer de diversas formas: ao usar aplicativos estrangeiros, fazer compras em sites internacionais ou quando empresas multinacionais compartilham dados entre suas filiais espalhadas pelo mundo.
A importância desse processo é imprescindível no mundo em que vivemos atualmente seja pela inovação, eficiência ou cooperação entre pessoas, empresas e nações
No entanto, há desafios a serem enfrentados. A proteção dos dados pessoais contra vazamentos e uso indevido é crucial. É por isso que legislações específicas, como a Lei Geral de Proteção de Dados (LGPD) no Brasil, foram criadas. A LGPD estabelece direitos para os titulares de dados e impõe deveres aos controladores e operadores de dados. A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por aplicar a LGPD e fiscalizar seu cumprimento.
Foi publicada no Diário Oficial da União da última sexta-feira 23 de agosto de 2024, a Resolução CD/ANPD nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados. O documento estipula os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD), definindo procedimentos e normas para o reconhecimento da adequação de países ou entidades internacionais, além de regular mecanismos contratuais para transferências internacionais de dados pessoais.
CAPÍTULO V – DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Lei Geral de Proteção de Dados Pessoais (LGPD)
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V – quando a autoridade nacional autorizar a transferência;
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II – a natureza dos dados;
III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV – a adoção de medidas de segurança previstas em regulamento;
V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI – outras circunstâncias específicas relativas à transferência.
Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.
Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.
De acordo com Rodrigo Santana dos Santos, Coordenador-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD), “a norma promove maior segurança jurídica para a inserção dos agentes de tratamento no comércio global e nas relações transfronteiriças e, consequentemente, proporciona maior proteção aos dados dos titulares durante toda a cadeia de tratamento, conforme previsto na Lei”.
Dentre os mecanismos regulamentados para transferência internacional, incluem-se as cláusulas-padrão contratuais, que definem garantias mínimas e condições necessárias para efetuar a transferência. Os agentes de tratamento que recorrem a cláusulas contratuais para transferências internacionais de dados devem adotar as cláusulas-padrão contratuais aprovadas pela ANPD em seus contratos, dentro de um período máximo de doze meses.
O texto contém, ainda, o procedimento para a aprovação de cláusulas contratuais específicas e de normas corporativas globais, estas últimas destinadas às transferências internacionais de dados entre organizações do mesmo grupo econômico.
Além disso, o regulamento estabelece procedimentos e critérios para o reconhecimento da adequação de outros países e organismos internacionais, atestando a equivalência do nível de proteção de dados pessoais com relação ao regime brasileiro. A decisão de adequação pode ser emitida pela ANPD seguindo os trâmites previstos no Regulamento, que incluem análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução. A transferência internacional de dados para países ou organismos internacionais reconhecidos como adequados pode ocorrer de forma célere e descomplicada.
O Regulamento se aplica às operações que envolvam a transferência de dados pessoais de um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em país estrangeiro ou organismo internacional do qual o Brasil seja membro. Assim, a mera coleta internacional dos dados pessoais diretamente do titular, por meio de um sítio de e-commerce, por exemplo, não caracteriza esse procedimento.
A norma passou por diversas etapas, dentre as quais destaca-se a Tomada de Subsídios, com consequente e intenso diálogo entre a ANPD, especialistas e autoridades internacionais, e contou, ainda, com ativa participação social por meio de Consulta Pública e Audiência Pública. Ao todo, foram 1.763 contribuições da sociedade, que, ao longo do processo de elaboração do texto final, foram avaliadas pelas áreas técnicas da ANPD e, quando pertinentes, incorporadas ao Regulamento.
Resumidamente, ANPD desempenha um papel fundamental na proteção dos dados pessoais dos brasileiros e na regulamentação da transferência internacional de dados, garantindo um ambiente mais seguro para o tratamento dessas informações no país.
- O que é Transferência Internacional de Dados?
- A transferência internacional de dados ocorre quando uma organização (exportadora) compartilha ou disponibiliza acesso a dados pessoais com outra organização (importadora) localizada em um país estrangeiro.
- Importante ressaltar que a coleta internacional direta de dados pessoais por um agente de tratamento no exterior não é considerada transferência internacional.
- Verificação e Legitimidade
- Cabe ao controlador (a organização que detém os dados) verificar se uma transferência é internacional e em qual mecanismo legal ela se ampara.
- O operador (agente de tratamento) deve fornecer informações para essa verificação.
- Propósitos Legítimos e Base Legal
- A transferência internacional só pode ocorrer para fins legítimos, específicos, explícitos e informados ao titular dos dados.
- Deve estar respaldada por base legal e utilizar um dos mecanismos válidos de transferência internacional.
- Diretrizes e Medidas de Segurança
- A nova Resolução exige que os agentes de tratamento sigam boas práticas e adotem medidas de segurança adequadas à natureza dos dados, à finalidade do tratamento e aos riscos da operação.
- Transparência é fundamental: os agentes devem publicar informações sobre transferências internacionais em linguagem clara e acessível.
- Mecanismos Regulados
- Decisão de Adequação: Permite a transferência quando a ANPD reconhece a equivalência do nível de proteção de dados de um país estrangeiro ou organismo internacional.
- Cláusulas-Padrão Contratuais: Estabelecem garantias mínimas e condições para transferências internacionais. Devem ser incorporadas aos contratos em até doze meses.
Para acessar as Regulamentações publicadas pela ANPD, clique aqui.
Com informações de Autoridade Nacional de Proteção de Dados
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
