blog

Ano XVIII – nº 42

ANPD APROVA A RESOLUÇÃO 19/2024 SOBRE TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

14 de outubro de 2024 | Publicações

I.   INTRODUÇÃO

1.   Muitas vezes as empresas não se dão conta de que em suas atividades operacionais realizam transferência internacional de dados. Por exemplo, se uma determinada empresa situada aqui no Brasil contrata serviço de armazenamento de dados em nuvem com subsidiária de empresa estrangeira, situada aqui, sendo os dados coletados aqui e armazenados em um servidor local, mas subsequentemente transferidos a outros servidores no exterior, já se deu a transferência internacional de dados.

2.  Assim, para a caraterização de transferência internacional de dados deve-se primeiro identificar que os dados foram coletados no Brasil e subsequentemente foram compartilhados, transferidos, ou disponibilizados para terceiros situados no exterior.¹

3.  O tema da transferência internacional de dados pessoais está previsto nos artigos 33 e 35 da LGPD (Lei 13.709/2018). Depreende-se do artigo 33 da LGPD que a premissa para que a transferência internacional de dados pessoais ocorra sem consentimento expresso do titular de dados é que o país para qual os dados serão transferidos adote padrões de proteção de dados iguais ou superiores àqueles adotados pelo Brasil. Se no âmbito da regulação estatal esta garantia não for fornecida, então que no âmbito privado, se garantam cláusulas protetivas, quer como cláusulas padrão, quer com cláusulas negociadas entre as partes.

4.  Há outros mecanismos que também legitimam a transferência internacional de dados pessoais sem o consentimento do titular tais como: (i) a proteção da vida, ou da incolumidade física do titular ou de terceiro; (ii) se a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução penal, como por exemplo no combate ao terrorismo e à lavagem de dinheiro; (iii) para execução de contrato, ou procedimentos que o antecedem; (iv) para cumprimento de obrigação legal ou regulatória pelo Controlador de dados.

5.  Assim, visando esclarecer as normas aplicáveis à transferência internacional de dados, a Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou a Resolução CD/ANPD 19/2024, cujos principais tópicos passamos a resumir abaixo.

II.   VISÃO GERAL

1.  Publicação. Com a publicação, em 23.08.2024, da Resolução 19 do Conselho Diretor da ANPD (“Resolução CD/ANPD 19/2024”), as transferências internacionais de dados contam agora com um regulamento próprio, já em vigor.

2.  Estrutura da Norma. A Resolução CD/ANPD 19/2024 estabelece em seu Anexo I, os procedimentos e regras para a transferência internacional de dados pessoais (“Regulamento”), seja por meio do reconhecimento de adequação de outros países ou organismos internacionais, seja por meio de cláusulas-padrão contratuais, cláusulas contratuais específicas ou normas corporativas globais, tendo trazido ainda como Anexo II, o texto das cláusulas-padrão contratuais.

3.  Aplicabilidade. O Regulamento se aplica às operações de transferência (transmissão, compartilhamento ou disponibilização) de dados pessoais entre um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em outro país, ou organismo internacional do qual o Brasil seja membro.

4.  Requisitos Gerais. As transferências internacionais de dados somente poderão ser realizadas para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Ademais, as transferências internacionais de dados deverão estar amparadas em uma das hipóteses legais previstas nos artigos 7º e 11 da LGPD e em um dos mecanismos válidos de realização de transferência internacional. Trataremos de dois desses mecanismos mais abaixo.

5.   Responsabilidade dos Agentes. Cabe ao Controlador verificar se a operação de tratamento:
(i) caracteriza transferência internacional de dados;
(ii) submete-se à legislação nacional de proteção de dados pessoais; e
(iii) está amparada em hipótese legal e em mecanismo de transferência
internacional válido.

5.1   O Operador prestará auxílio ao Controlador mediante o fornecimento de informações de que dispuser e que se fizerem necessárias.

5.2   Controlador e Operador deverão adotar as medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado.

III.   DECISÃO DE ADEQUAÇÃO PELA ANPD

1.  O Regulamento prevê um procedimento específico para a emissão pela ANPD da decisão de que a legislação de determinado país está adequada à legislação nacional, incluindo os critérios para avaliação do nível de proteção, além da análise dos riscos e benefícios proporcionados com a adequação e os impactos da decisão sobre o fluxo internacional de dados.

2.  Até o momento, a ANPD não emitiu decisão de adequação. Enquanto se aguarda lista de países com os quais se podem realizar transferência internacional de dados pessoais sem consentimento dos titulares de dados, os Controladores podem buscar amparo de outro mecanismo válido para transferência internacional de dados, como as Cláusulas-Padrão Contratuais, Cláusulas-Padrão Contratuais Equivalentes, Cláusulas Contratuais Específicas e Normas Corporativas Globais.

IV.   CLÁUSULAS-PADRÃO CONTRATUAIS

1.   Cláusulas-Padrão Contratuais: No que se refere ao uso de cláusulas-padrão contratuais aprovadas pela ANPD, elas estabelecem garantias mínimas e condições válidas para a realização das transferências internacionais. Ao se optar pelo uso de cláusulas-padrão, pressupõe-se que serão adotadas integralmente e sem alteração do texto, mediante instrumento contratual firmado entre os agentes de tratamento importador/exportador de dados.

2.   Obrigações do Controlador: Com o uso de cláusulas-padrão contratuais e visando garantir transparência ao titular, o Controlador, deverá:

(i) disponibilizar ao titular, se solicitado e no prazo de 15 dias, a íntegra das cláusulas relativas às transferências internacionais, observados os segredos comerciais e industriais; e (ii) publicar em sua página na Internet, documento contendo informações em Português, de maneira clara, precisa e acessível sobre a realização da transferência internacional de dados incluindo determinadas informações como: (a) a forma, a duração e a finalidade específica da transferência internacional; (b) o país de destino dos dados transferidos; (c) a identificação e os contatos do Controlador; (d) o uso compartilhado de dados pelo Controlador e a finalidade; (e) as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e (f) os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o
direito de peticionar contra o Controlador perante a ANPD.

3.   Prazo para Adequação dos Contratos: Os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas-padrão contratuais terão o prazo de 12 meses contados da publicação do Regulamento para incorporá-las aos seus respectivos instrumentos contratuais, ou seja, até 23 de agosto de 2025.

V.   CLÁUSULAS CONTRATUAIS ESPECÍFICAS

O Controlador, poderá ainda submeter à ANPD cláusulas contratuais específicas, para aprovação prévia. Isto será permitido em situações excepcionais, somente quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, situações que dependem de comprovação. O Regulamento prevê os procedimentos e critérios de análise para aprovação da ANPD.

VI.   NORMAS CORPORATIVAS GLOBAIS

1.  O Regulamento trata ainda das normas corporativas globais destinadas às transferências internacionais de dados entre entidades do mesmo grupo ou conglomerado de empresas, que tenham caráter vinculante em relação aos membros do grupo que as subscreverem.

2.  Essas normas deverão estar vinculadas à implementação de programa de governança em privacidade que atenda às exigências estabelecidas na LGPD (artigo 50, §2) e deverão atender ainda ao conteúdo mínimo determinado no próprio Regulamento, como por exemplo, detalhar a estrutura do grupo ou conglomerado de empresas, com a lista de entidades vinculadas, o papel que cada uma delas exerce no tratamento de dados e os dados de contato de cada entidade que realize tratamento de dados pessoais.

3.  As normas corporativas globais deverão ser submetidas à aprovação prévia da ANPD, na forma prevista no Regulamento.

VII.   MEDIDAS PRÁTICAS

NA PRÁTICA, para conformidade com o Regulamento uma série de medidas podem ser tomadas, como por exemplo:

•  Controladores deverão revisitar os seus registros de operações de tratamento, para verificar quais operações configuram transferências internacionais de dados pessoais, em que base legal estão amparados e qual mecanismo de transferência internacional de dados foi adotado.

•  Ademais, os Controladores deverão revisitar as Políticas de Privacidade ou documentos equivalente que já tenham elaborado, a fim de adequá-los às exigências do novo Regulamento sobre transferência internacional de dados pessoais, dando transparência ao titular de dados sobre os mecanismos de transferência internacional e sua adequação à Resolução CD/ANPD 19/2024. O Controlador deverá publicar em seu website, seja em página específica ou integrado de forma destacada e de fácil acesso, à Política de Privacidade, ou a instrumento equivalente, informações de forma simples e clara sobre a realização de transferência internacional de dados, contendo os itens previstos no Regulamento.

•  Os Controladores deverão revisitar igualmente os termos dos contratos que envolvem transferência internacional de dados. Caso venham a adotar as cláusulas padrão previstas no Anexo II do Regulamento, o prazo de adequação é de 12 meses a contar da publicação da Resolução CD/ANPD 19/2024.

•  Caso se decida pela adoção de outros mecanismos (Cláusulas-Padrão Contratuais Equivalentes, Cláusulas Contratuais Específicas e Normas Corporativas Globais), os Controladores já poderão tomar providências no sentido de solicitar a aprovação da ANPD, seguindo os procedimentos previstos na Resolução CD/ANPD 19/2024..

VIII.   SANÇÕES ADMINISTRATIVAS

Eventual descumprimento da Resolução CD/ANPD 19/2024 sujeitará o infrator às sanções previstas no artigo 52 da LGPD, como advertência, multa, suspensão do exercício da atividade de tratamento dos dados pessoais, bloqueio dos dados, entre outras, que serão apuradas em processo administrativo previsto na Resolução CD/ANPD 1/2021, observando-se ainda o disposto na Resolução CD/ANPD 4/ 2023, no que diz respeito à dosimetria e aplicação de sanções administrativas.

O presente artigo não tem o caráter de opinião legal, ou aconselhamento. Cada caso deverá ser analisado, com base em suas peculiaridades.

BRENTANI RONCOLATTO ADVOGADOS

1.   Importante ressaltar que a mera coleta internacional de dados pessoais – aquela realizada diretamente pelo agente de tratamento localizado no exterior – não caracteriza uma transferência internacional. Por exemplo, nas operações B2C (business to consumer) dos sites estrangeiros não se caracteriza transferência internacional, mas sim mera coleta de dados pessoais. Não obstante não caracterizar transferência internacional, a coleta internacional de dados está sujeita às disposições da LGPD sempre que se verificar um dos elementos de conexão que atraem a aplicação da Lei brasileira ao tratamento, ou seja: (i) o tratamento de dados pessoais seja realizado no Brasil; (ii) o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no país; ou (iii) quando os dados pessoais objeto do tratamento tenham sido coletados no país.