A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 23 de agosto de 2024, a Resolução CD/ANPD nº 19/2024 (“Resolução”), aprovando o Regulamento de Transferência Internacional de Dados (“Regulamento”) e o conteúdo das cláusulas-padrão contratuais.

O Regulamento estabelece diretrizes essenciais para a transferência de dados pessoais entre o Brasil e outros países, garantindo maior segurança jurídica e proteção aos dados dos titulares.

A transferência internacional de dados pessoais está prevista na Lei nº 13.709/2018 (a “LGPD”), como “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”.

Os agentes de tratamento devem identificar em suas operações de tratamento de dados a ocorrência de transferências internacionais e assegurar que elas atendam pelo menos um dos critérios legais listados na LGPD (artigo 33), ou seja, a transferência internacional de dados pessoais somente é permitida nos seguintes casos:

(i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;

(ii) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de (a) cláusulas contratuais específicas para determinada transferência; (b) cláusulas-padrão contratuais; (c) normas corporativas globais; (d) selos, certificados e códigos de conduta regularmente emitidos;

(iii) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

(iv) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular, ou de terceiro;

(v) quando a autoridade nacional autorizar a transferência;

(vi) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

(vii) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos da LGPD;

(viii) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

(ix) quando necessário para atender hipóteses específicas previstas na LGPD, tais como para o comprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral, nos termos da lei de arbitragem.

Apesar de a ANPD ainda não ter publicado a lista de países e organizações que oferecem nível de proteção de dados pessoais adequados com a legislação nacional e que permitirá a transferência internacional sem a necessidade de aplicação de cláusulas contratuais, o Regulamento estabelece que a ANPD pode reconhecer a adequação de outros países ou organismos internacionais através de um processo de análise técnica e jurídica.

Nos termos do Regulamento, os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais, no prazo de até 12 meses, contados da data de publicação da Resolução, ou seja, até 23/08/2025.

Diversas diretrizes para a transferência internacional de dados pessoais são incorporadas ao Regulamento, tais como a garantia de cumprimento dos direitos do titular dos dados na forma prevista na legislação nacional, adoção de procedimentos compatíveis com normas e boas práticas internacionais, promoção do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares, responsabilização e prestação de contas.

Nota-se que a transferência internacional de dados não se confunde com a coleta internacional de dados, nos casos em que o tratamento de dados não está abarcado pela LGPD (provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD).

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em hipóteses legais e mecanismos válidos, tais como mediante a inserção de cláusulas-padrão contratuais, normas corporativas globais e para países ou organismos internacionais com proteção adequada, conforme decisão emitida pela ANPD e conforme padrões trazidos pelo próprio Regulamento.

As empresas que realizam transferência internacional de dados devem se adequar aos requisitos do Regulamento, com a adoção de algumas medidas, tais como:

  1. Revisão de Contratos: Atualização de contratos existentes para incluir as cláusulas-padrão contratuais aprovadas pela ANPD. Isso deve ser feito dentro do prazo de 12 meses (até 23/08/2025).
  2. Avaliação de Adequação: Verificação se os países ou organismos internacionais para os quais os dados serão transferidos possuem um nível de proteção de dados adequado com a LGPD. A ANPD pode ser consultada.
  3. Normas Corporativas Globais: Se sua empresa faz parte de um grupo econômico internacional, implemente normas corporativas globais que estejam em conformidade com o Regulamento.
  4. Garantias de Proteção: Adoção de melhores práticas, certificados e códigos de conduta que comprovem a conformidade com a LGPD.
  5. Treinamento e Conscientização: Capacitação da equipe sobre as novas exigências e a importância da proteção de dados. Isso inclui treinamentos regulares e atualizações sobre as melhores práticas.
  6. Auditorias e Monitoramento: Realização de auditorias internas para garantir que todos os processos estejam em conformidade com o novo Regulamento e monitore continuamente as transferências de dados para identificar e corrigir possíveis falhas.

As cláusulas-padrão contratuais, assim como cláusulas específicas e normas corporativas globais podem ser consultadas no seguinte link, que traz o texto integral do Regulamento: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396 .

Sem prejuízo, nossa equipe especializada está à disposição para auxiliar na implementação das novas diretrizes, garantindo conformidade com a norma.

12/09/24