ANPD – aprovado o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais
Na sexta-feira (23), a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou a Resolução 19/2024, aprovando o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais.
Se a sua empresa compartilha dados pessoais com empresas de outros países – ação extremamente comum e frequente no mundo globalizado em que vivemos (inclusive para estocagem de dados em nuvem) ela deve adotar um dos mecanismos autorizativos previstos no art. 33 da LGPD.
Até então, devido à ausência de regulamentação da ANPD sobre o tema, o único mecanismo passível de adoção para legitimar a transferência internacional de dados pessoais era o consentimento, mecanismo este de extrema complexidade operacional no dia a dia das empresas.
Por tal razão, considerava-se que o art. 33 da LGPD era uma norma de eficácia limitada, por necessitar de regulamentação complementar para sua efetivação.
Com a edição do Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, a sua empresa tem até 12 meses para adequar-se, caso seja este o mecanismo mais apropriado para legitimar as transferências internacionais que realize.
Plano de Ação: Como Garantir que sua Empresa esteja em Conformidade?
- Identifique as operações de tratamento da sua empresa que transferem dados pessoais para fora do território brasileiro;
- Identifique os países para os quais essas transferências são realizadas;
- Inclua no website ou na Política de Privacidade da empresa informações sobre a transferência internacional [1];
- Seguindo uma lógica de gestão de riscos, inicie a assinatura de aditivos contendo as cláusulas-padrão contratuais aprovadas pelo Regulamento para as operações de tratamento envolvendo países que não possuem legislação de proteção de dados pessoais. Isso porque a ANPD ainda pode, em teoria, tomar decisões de adequação autorizando transferências internacionais para países com maior nível de maturidade em relação ao tema durante o prazo de adequação de 12 meses previsto na resolução;
- Crie um calendário para garantir a assinatura das cláusulas-padrão contratuais para todas as operações de tratamento envolvendo transferências internacionais de dados pessoais ao final de 12 meses a partir de 23/08/24, para assegurar o cumprimento do prazo previsto na Resolução, já que não há qualquer certeza quanto à tomada de decisões de adequação pela ANPD.
[1] A forma, finalidade e duração da transferência internacional, o país de destino, as responsabilidades dos agentes de tratamento, a identificação e contato da sua empresa, os direitos do titular e, se aplicável, sobre o uso compartilhado de dados pessoais com outras organizações.
Lembre-se, as cláusulas-padrão contratuais não são o único mecanismo autorizativo de transferências de dados pessoais para fora do Brasil – embora seja um dos mais apropriados para empresas do setor privado.
Veja abaixo alguns dos principais mecanismos previstos no art. 33 da LGPD passíveis de utilização por empresas e organizações de direito privado para autorizar as transferências internacionais de dados pessoais:
Decisão de adequação da ANPD | A transferência internacional de dados pode ocorrer livremente para países nos quais a ANPD reconheça, por meio de decisão de adequação, haver um nível adequado de proteção de dados pessoais equivalente ao atribuído pela lei brasileira.
Atenção: Até o momento, a ANPD não reconheceu nenhum país como “adequado”, portanto, a utilização desse mecanismo ainda não é possível.
|
Cláusulas contratuais específicas | Cláusulas contratuais específicas podem ser utilizadas exclusivamente em casos em que as cláusulas-padrão contratuais não sejam adequadas ao caso concreto, porém, dependem de prévia aprovação da ANPD quanto ao seu conteúdo. |
Normas corporativas globais | Multinacionais que atuam em diversos países podem utilizar normas corporativas vinculantes como mecanismo válido para transferência internacional, desde que essas normas sejam previamente aprovadas pela ANPD. Essa exigência de aprovação torna esse mecanismo mais burocrático. |
Consentimento | Empresas também podem solicitar o consentimento de cada titular para a transferência internacional de seus dados pessoais. Quando esse mecanismo for utilizado, o consentimento deve ser coletado para a finalidade específica de transferência internacional e ser gerenciado nos termos da lei, o que pode tornar esse mecanismo significativamente mais burocrático do que as cláusulas-padrão contratuais. |
Atenção: Caso sua empresa utilize cláusulas-padrão contratuais de outros países, como as Standard Contractual Clauses (SCCs) previstas no Regulamento Geral de Proteção de Dados Pessoais europeu (GDPR), é possível solicitar à ANPD o reconhecimento da equivalência dessas cláusulas com as recomendadas na Resolução 19/2024. Saliente-se, porém, que se trata de um procedimento relativamente complexo cuja efetividade deve ser avaliada caso a caso.
A equipe de Direito Digital do Chenut Advogados está à sua disposição para iniciar o seu procedimento de adequação.
CHENUT ADVOGADOS