No dia 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD 19, que estabelece um novo regulamento para a transferência internacional de dados pessoais, com o objetivo de assegurar a conformidade com a Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18.
Escopo e Aplicação
Este regulamento é relevante quando:
- Dados são tratados em território brasileiro.
- O tratamento visa a oferta de produtos ou serviços a indivíduos no Brasil.
- Dados pessoais são originários do Brasil.
O regulamento não se aplica a dados pessoais de fora que sejam tratados no Brasil e depois retornam ao país de origem, conforme o artigo 8º, II da lei.
Diferenças Importantes
Um ponto-chave do novo regulamento é a distinção entre transferência e coleta internacional de dados. A transferência refere-se ao envio de dados para fora do país, enquanto a coleta envolve a captura de dados diretamente pelo controlador no exterior. O regulamento aplica-se exclusivamente à transferência.
Mecanismos para Transferência
Para que a transferência internacional de dados seja válida, deve ocorrer sob uma das seguintes condições:
- O país ou organismo destinatário deve ter um nível de proteção de dados reconhecido pela ANPD.
- Utilização de cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas.
A ANPD é responsável por determinar o nível de proteção de dados em outros países e pode iniciar este processo por solicitação de órgãos públicos, procuradoria federal especializada, ou de ofício.
Requisitos das Cláusulas-Padrão
No Anexo II da Resolução, estão descritas as cláusulas-padrão que devem ser incluídas nos contratos de transferência de dados. Estas cláusulas garantem a proteção dos direitos dos titulares e devem ser integradas sem modificações. As informações que devem ser divulgadas incluem:
- Propósito e duração da transferência.
- País de destino e identificação do controlador.
- Compartilhamento de dados e suas finalidades.
- Responsabilidades dos agentes de tratamento e medidas de segurança.
- Direitos dos titulares e mecanismos para seu exercício.
Responsabilidades e Aprovação
Os controladores devem disponibilizar as cláusulas de transferência aos titulares quando solicitadas. Normas corporativas globais, que regulam transferências dentro de grupos empresariais, também precisam ser aprovadas pela ANPD. O controlador com sede no Brasil será responsável pelo cumprimento dessas normas.
Prazo para Conformidade
As organizações têm até 12 meses para ajustar seus processos e contratos conforme as novas regras estabelecidas. Durante este período, devem revisar e atualizar suas práticas para garantir a conformidade com os novos requisitos da ANPD.
contato@stafin.adv.br