Em Agosto, foi publicada a Resolução CD/ANPD nº 19/2024, que estabelece o “Regulamento da Transferência Internacional de Dados Pessoais”. O Regulamento versa sobre os princípios e as regras que devem ser observadas sempre que um dado pessoal é enviado para fora do território nacional por empresas privadas ou pelo Poder Público.
A Resolução visa adequar o Brasil aos padrões internacionais de privacidade e proteção de dados, alinhando as expectativas do mercado no fluxo global de dados às práticas de governança e proteção aos direitos dos Titulares, em conformidade com a Lei Geral de Proteção de Dados (LGPD).
É importante destacar que a própria LGPD já aborda brevemente sobre este tema em seus Artigos 33 ao 36. Contudo, o Regulamento traz mais responsabilidades aos agentes de tratamento, elencado ainda sobre quando o compartilhamento de informações de Titulares é considerado uma “transferência internacional”.
Um dos critérios para que a transferência internacional possa ser realizada, é que a entidade receptora deve estar sediada em um país que possua normas adequadas de proteção de dados e privacidade, equivalentes ou melhores às brasileiras. Tal avaliação será conduzida pela própria Autoridade Nacional de Proteção de Dados (ANPD), que divulgará os resultados publicamente.
Bem como, o Regulamento traz a obrigatoriedade de que as atividades de transferência internacional de dados sejam regradas por contrato específico, que legitime a atividade e crie responsabilidades mútuas entre os agentes. Neste sentido, a ANPD disponibilizou uma série de cláusulas-padrão que devem, obrigatoriamente, ser utilizadas pelos agentes de tratamento, sem modificações.
As cláusulas-padrão elaboradas pela ANPD abordam, dentre outros temas: a classificação dos agentes (Controlador ou Operador); a possibilidade de transferência posterior pelos agentes; a finalidade da transferência internacional; o uso de dados sensíveis ou de crianças e adolescentes; a garantia dos direitos dos Titulares de dados; os incidentes de segurança; entre outros.
Ainda, a empresa que realizar a transferência internacional de dados deve divulgar esta atividade em suas Políticas de Privacidade, para que o Titular e demais agentes tenham conhecimento sobre a transferência realizada, indicando, no mínimo: quem são os agentes receptores, inclusive indicando um canal para comunicação; qual o país destino dos dados pessoais; qual a finalidade e o tempo de duração desta transferência; entre outros.
Da mesma forma, caso seja solicitado pelo Titular, a empresa deverá lhe indicar, de forma integral, quais são as cláusulas contratuais que regulamentam a transferência internacional realizada pela empresa com os terceiros, resguardadas as prerrogativas de segredo comercial da organização.
Por fim, a empresa deve se certificar de que toda a atividade de tratamento e transferência de dados pessoais – tanto da própria empresa quanto do agente receptor dos dados – está em conformidade com os requisitos legais de privacidade e proteção de dados, ou seja, que estão adequadas às normas da LGPD, do novo Regulamento e de regulamentos internacionais do país destino.
Tal adequação engloba, por si só, diversos fatores que devem ser observados pelos agentes de tratamento, como as medidas de segurança implementas internamente; o uso legítimo, transparente e apropriado dos dados pessoais; a elaboração e manutenção de registros de tratamento de dados; a garantia dos direitos dos titulares de dados; entre outros.
Importante evidenciar que a Resolução CD/ANPD nº 19/2024 já está em vigor desde sua publicação, em Agosto. Contudo, o texto legal garante às empresas o prazo de 12 (doze) meses para adequação de seus procedimentos internos e das relações contratuais, que deverão obrigatoriamente contar com as cláusulas-padrão elaboradas pela ANPD, salvo mediante requisição específica que deverá ser aprovada pela Autoridade.
Para garantir a conformidade da atividade, é crucial que as organizações desde já adequem suas relações contratuais com apoio de assessoria especializada, certificando-se de que os requisitos legais estão sendo observados para que a organização esteja adequada às novas obrigações legais dentro do prazo definido pela Resolução.
Por Luis Felipe Tolezani
Advogado de Direito Digital e Encarregado de Dados Pessoais