ANPD publica Regulamento de Transferência Internacional de Dados Pessoais e Cláusulas-Padrão Contratuais
Em resumo
A Autoridade Nacional de Proteção de Dados (“ANPD“) publicou a Resolução CD/ANPD nº 19, que estabeleceu os procedimentos e regras para reconhecimento de adequação de outros países ou organismos internacionais para a realização de operações de transferência internacional de dados pessoais – o “Regulamento“, bem como aprovou as cláusulas-padrão contratuais que poderão ser utilizadas pelos agentes de tratamento para legitimar a transferência internacional de dados pessoais.
Mais detalhes
O Regulamento estabelece procedimentos e critérios para o reconhecimento da adequação de outros países e organismos internacionais, atestando a equivalência do nível de proteção de dados pessoais com relação ao regime brasileiro, autorizando, dessa forma, a transferência de dados pessoais para tais países e organismos sem a necessidade de assinatura de documentos adicionais. Os trâmites previstos no Regulamento para emissão da decisão de adequação incluem análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução.
Além disso, conforme estabelecido pela LGPD, nos casos em que o país ou organismo internacional não possua uma decisão de adequação, controladores podem utilizar-se de instrumentos contratuais para oferecer as garantias necessárias para autorização da realização de transferências internacionais por meio da assinatura de cláusulas-padrão contratuais, cláusulas contratuais específicas ou normas corporativas globais.
Alguns dos principais aspectos relacionados aos instrumentos contratuais mencionados acima trazidos pelo Regulamento estão descritos a seguir:
- Cláusulas-Padrão Contratuais: Os agentes de tratamento têm 12 (doze) meses para adequar seus contratos celebrados anteriormente às cláusulas-padrão contratuais. As cláusulas-padrão contratuais devem ser adotadas sem alterações para garantir a validade da transferência internacional de dados pessoais. A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas-padrão contratuais publicadas pela ANPD de ofício ou mediante requerimento.
- Cláusulas Contratuais Específicas: Controladores podem solicitar à ANPD a aprovação de cláusulas contratuais específicas quando as cláusulas-padrão não forem aplicáveis, em razão de circunstâncias excepcionais de fato ou de direito. Essas cláusulas devem oferecer, no mínimo, garantias de cumprimento dos princípios e direitos estabelecidos na LGPD.
- Normas Corporativas Globais: Para transferências de dados pessoais entre entidades de um grupo ou conglomerado de empresas poderão ser elaboradas normas corporativas globais, que serão obrigatórias para todas as entidades do grupo e devem estar vinculadas à implementação de um programa de governança em privacidade. Estas normas deverão ser apresentadas à ANPD, estando sujeitas à sua avaliação e aprovação.
O Regulamento também estabelece que a ANPD publicará em seu site as cláusulas contratuais específicas e normas corporativas globais aprovadas, indicando o respectivo requerente, além de outras informações consideradas relevantes pela área técnica.
Ademais, o Regulamento estabelece a obrigatoriedade dos controladores de disponibilizarem aos titulares, na íntegra e mediante solicitação, as cláusulas utilizadas para basear as transferências internacionais de seus dados pessoais, observados os segredos comercial e industrial.
O Regulamento é vinculativo e entra em vigor a partir de 23 de agosto de 2024.