A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 23 de agosto, a Resolução CD/ANPD 19, que aprova o Regulamento de Transferência Internacional de Dados e estabelece o conteúdo das cláusulas-padrão contratuais.

O regulamento define diretrizes e procedimentos essenciais para a transferência de dados pessoais para países ou organismos internacionais, garantindo a conformidade dessas operações com a Lei 13.709/18 – a Lei Geral de Proteção de Dados (LGPD).

De forma geral, o regulamento é aplicável quando:

  • a operação de tratamento for realizada no território nacional;
  • a atividade de tratamento tiver como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
  • quando os dados pessoais tratados forem coletados no território nacional.

Por outro lado, o regulamento excluiu de sua regulamentação os dados pessoais provenientes do exterior e tratados no território nacional, quando esses dados retornarem ao país ou organismo internacional de origem, sob as condições dispostas no artigo 8º, II.

Sobre os novos temas abordados pela ANPD, destaca-se a distinção entre transferência internacional de dados e coleta internacional de dados. O primeiro caso se caracteriza pela exportação dos dados para o importador. O segundo envolve a coleta de dados pessoais do titular diretamente pelo agente de tratamento localizado no exterior.

A relevância da distinção fica clara na não aplicação do regulamento às hipóteses de coleta, que deverão observar as disposições da LGPD, quando verificada uma das situações indicadas em seu artigo 3º.

As transferências internacionais de dados somente poderão ocorrer para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior incompatível com essas finalidades. Essas transferências também precisarão estar fundamentadas em uma das bases legais previstas na LGPD e efetuadas por meio de um dos mecanismos previstos no regulamento.

Destaca-se ainda a regulação de mecanismos de transferência, isto é, as formas pelas quais a transferência internacional poderá ser executada. A regulação abarca os seguintes mecanismos:

  • transferências para países ou organismos internacionais que proporcionem grau de proteção de dados reconhecidos pela ANPD; ou
  • transferências por meio de cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas.

Dessa forma, foi definido o procedimento para que a ANPD emita decisão sobre o nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional. O regulamento aponta como partes legítimas para iniciar o processo órgãos públicos, a procuradoria federal especializada e a própria ANPD por ofício, entre outros.

No Anexo II do regulamento, a ANPD publicou as cláusulas-padrão para a transferência de dados pessoais. Essas cláusulas contratuais visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados. Elas podem ser incorporadas tanto em contratos específicos de transferência quanto em contratos com objetos mais amplos, desde que inseridas na íntegra, isto é, sem alterações.

Nesse ponto, o regulamento estabelece que o controlador deverá publicar em sua página na internet informações sobre a realização da transferência internacional de dados, incluindo, pelo menos:

  • informações sobre a forma, a duração e a finalidade específica da transferência internacional;
  • o país de destino dos dados transferidos;
  • a identificação e os contatos do controlador;
  • o uso compartilhado de dados pelo controlador e a finalidade;
  • as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e
  • os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador na ANPD.

O regulamento estabelece a obrigação do controlador – observado o segredo comercial e industrial – de apresentar ao titular, sob sua demanda, as cláusulas de transferências de dados. Isso inclui as cláusulas específicas e as normas corporativas globais, como explicado mais adiante. Dessa forma, incorpora-se mais um direito ao já consagrado rol dos direitos dos titulares do artigo 18 da LGPD.

A regulação também permite cláusulas contratuais específicas, nos casos em que a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, devido a circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.

Em qualquer caso, as cláusulas deverão prever a aplicação da legislação nacional de proteção de dados pessoais à transferência internacional de dados e a sua submissão à fiscalização da ANPD.

O último mecanismo de transferência regulado é a norma corporativa global, destinada às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas. Ela tem caráter vinculante em relação aos membros do grupo que a subscreverem.

Essas normas deverão prever informações como:

  • as categorias de dados pessoais;
  • a operação de tratamento e suas finalidades;
  • a hipótese legal e os tipos de titulares de dados;
  • a estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas;
  • o papel exercido por cada organização no tratamento; e
  • os dados de contato de cada organização que efetue tratamento de dados pessoais.

Sobre o assunto, apesar de abarcar diversas empresas de um mesmo grupo, a legislação definiu a responsabilização da entidade responsável, que é aquela com sede no Brasil, pelo descumprimento das normas corporativas globais, mesmo que a violação seja decorrente de ato praticado por um membro do grupo ou conglomerado de empresas com sede em outro país.

Essas normas, bem como as cláusulas específicas, precisam ser aprovadas pela ANPD, de acordo com procedimento estabelecido pelo regulamento – que é comum para os dois mecanismos.

Após a aprovação desses mecanismos, a ANPD publicará, em seu site, a relação das cláusulas contratuais específicas e das normas corporativas globais aprovadas, observados os segredos comercial e industrial. Deverão estar indicados o respectivo requerente, a data de aprovação e a decisão proferida pelo conselho diretor, além de outras informações consideradas necessárias pela área técnica responsável.

O regulamento inseriu diversas obrigações específicas que deverão ser observadas pelos agentes de tratamento para a realização das transferências internacionais. Em muitos casos, isso demandará o aditamento de contratos para refletir esses novos deveres, sob pena da aplicação das sanções previstas na LGPD.

As entidades sujeitas ao regulamento terão até 12 meses para adequar seus contratos e processos às novas exigências estabelecidas pela ANPD. Durante esse período, as organizações devem revisar seus processos para garantir que todas as transferências internacionais de dados estejam em conformidade com as cláusulas-padrão contratuais ou com outras bases legais previstas na LGPD.