Foi publicada no Diário Oficial da União desta sexta-feira (23), a Resolução CD/ANPD nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados. O texto regulamenta os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecendo procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais, bem como disciplinando mecanismos contratuais para a realização de transferências internacionais de dados pessoais.
De acordo com Rodrigo Santana dos Santos, Coordenador-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD), "a norma promove maior segurança jurídica para a inserção dos agentes de tratamento no comércio global e nas relações transfronteiriças e, consequentemente, proporciona maior proteção aos dados dos titulares durante toda a cadeia de tratamento, conforme previsto na Lei".
Dentre os mecanismos de transferência internacional regulamentados, estão as cláusulas-padrão contratuais, que estabelecem garantias mínimas e condições válidas para a realização da transferência. Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais no prazo de até doze meses.
O texto contém, ainda, o procedimento para a aprovação de cláusulas contratuais específicas e de normas corporativas globais, estas últimas destinadas às transferências internacionais de dados entre organizações do mesmo grupo econômico.
Além disso, o regulamento estabelece procedimentos e critérios para o reconhecimento da adequação de outros países e organismos internacionais, atestando a equivalência do nível de proteção de dados pessoais com relação ao regime brasileiro. A decisão de adequação pode ser emitida pela ANPD seguindo os trâmites previstos no Regulamento, que incluem análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução. A transferência internacional de dados para países ou organismos internacionais reconhecidos como adequados pode ocorrer de forma célere e descomplicada.
O Regulamento se aplica às operações que envolvam a transferência de dados pessoais de um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em país estrangeiro ou organismo internacional do qual o Brasil seja membro. Assim, a mera coleta internacional dos dados pessoais diretamente do titular, por meio de um sítio de e-commerce, por exemplo, não caracteriza esse procedimento.
A norma passou por diversas etapas, dentre as quais destaca-se a Tomada de Subsídios, com consequente e intenso diálogo entre a ANPD, especialistas e autoridades internacionais, e contou, ainda, com ativa participação social por meio de Consulta Pública e Audiência Pública. Ao todo, foram 1.763 contribuições da sociedade, que, ao longo do processo de elaboração do texto final, foram avaliadas pelas áreas técnicas da ANPD e, quando pertinentes, incorporadas ao Regulamento.
Avaliação
"A transferência internacional de dados é um tema de extrema relevância no contexto atual, em que empresas e organizações precisam compartilhar informações pessoais entre diferentes países para operar de forma eficaz. A tão aguardada Resolução da ANPD sobre transferência internacional de dados, publicada nesta sexta-feira, 23/08/2024, é mais um marco que eleva o nível do Brasil globalmente, quando o assunto é proteção de dados pessoais e traz maior proteção aos dados dos titulares durante toda a cadeia de tratamento", diz Nádia Cunha, coordenadora da área de proteção de dados do escritório Jorge Advogados Associados.
"A Resolução estabelece critérios claros para garantir que essa prática seja realizada com a máxima segurança e transparência. Destaca que a transferência deve atender a propósitos legítimos e ser realizada de forma que respeite os direitos dos titulares dos dados. Além disso, especifica que o compartilhamento só pode ocorrer para países ou organismos internacionais que ofereçam um nível de proteção de dados equivalente ao previsto pela LGPD, ou através de mecanismos contratuais que assegurem essa proteção. Esse foco na proteção e na transparência é fundamental para manter a confiança dos usuários e garantir que suas informações pessoais sejam tratadas de forma responsável, mesmo fora das fronteiras nacionais. Empresas que operam internacionalmente devem estar atentas a essas exigências para evitar sanções e preservar sua reputação no mercado global," explica.