Alerta
ANPD publica Regulamento de Transferência Internacional de Dados e cláusulas-padrão contratuais de proteção de dados
A Autoridade Nacional de Proteção de Dados (ANPD) fez publicar no Diário Oficial da União (DOU) de hoje (23/08/2024) a Resolução CD/ANPD No. 19, de 23 de agosto de 2024, que aprova o Regulamento de Transferência de Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, após longo processo de regulamentação que contou com a participação social em diferentes etapas, como tomada de subsídios, consulta e audiência públicas.
A nova norma tem como objetivo regular as hipóteses legais que autorizam a transferência de dados pessoais para países ou organismos internacionais, nos termos da LGPD (em especial, os artigos 33, II, alíneas “a”, “b” e “c”, art. 35, § 1º, 2º e 5º, e art. 36).
Vale lembrar que a LGPD prevê que a transferência internacional de dados somente poderá ser realizada:
(i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD e em normas complementares, conforme reconhecido por decisão de adequação emitida pela ANPD;
(ii) mediante adoção de cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais, específicas, que dependiam de regulamentação pela Autoridade; ou
(iii) nas demais hipóteses previstas na LGPD que independem de regulamentação específica, como mediante consentimento do titular, para exercício regular de direitos em processo judicial, administrativo ou arbitral, ou para a execução de contrato com o titular, por exemplo.
Entenda as definições do Regulamento
- Define conceitos, requisitos e esclarece hipóteses de aplicação do Regulamento;
- Estabelece os critérios que serão levados em consideração pela ANPD para avaliação e emissão da decisão de adequação de proteção de dados de outros países e organizações internacionais;
- Apresenta e regula a utilização das cláusulas-padrão contratuais, elaboradas e aprovadas pela ANPD, que estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados baseadas nesta hipótese autorizativa;
- Reforça o dever de transparência do controlador, detalhando informações a respeito da transferência internacional de dados que devem ser disponibilizadas aos titulares de dados pessoais e, ainda, estabelecendo o dever de disponibilização, ao titular, das cláusulas utilizadas para salvaguarda das transferências, conforme aplicável;
- Regula o procedimento da ANPD para reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas-padrão estabelecidas pela autoridade, o que pode ser instaurado de ofício ou solicitado por interessados;
- Regula o procedimento da ANPD para aprovar, mediante solicitação do controlador e somente nas hipóteses em que comprovadamente não seja possível utilizar as cláusulas-padrão, cláusulas contratuais específicas que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no Regulamento;
- Determina os requisitos e o procedimento de aprovação de normas corporativas globais que podem ser utilizadas para salvaguardar as transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, e que deverão estar vinculadas à implementação de programa de governança em proteção de dados adequado à LGPD;
- Define o prazo de 12 meses, a contar da publicação do Regulamento, para que agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados incorporem as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais; e
- Esclarece que as decisões da ANPD pertinentes aos temas do Regulamento, como decisão de adequação de outros países e decisão sobre as cláusulas-padrão contratuais reconhecidas como equivalentes, serão aprovadas por resolução do Conselho Diretor e publicadas no site oficial da ANPD.
Na medida em que o Regulamento prevê obrigações a controladores e operadores de dados pessoais, é necessário que todos os agentes de tratamento avaliem suas operações que envolvam transferências internacionais e, conforme aplicável, revisem ou implementem as salvaguardas necessárias para garantir conformidade com a LGPD e com o Regulamento.
Nosso time de Tecnologia e Proteção de Dados acompanha de perto as movimentações da ANPD e está preparando uma análise detalhada do novo Regulamento, a ser divulgada a nossos clientes e parceiros em breve.
Para obter mais esclarecimentos sobre este tema ou outros que sejam de seu interesse, entre em contato com nossos profissionais.
Paulo Lilla
paulo.lilla@lefosse.com
+55 11 3024 6490
Carla Segala
carla.segala@lefosse.com
+55 11 3024 6256
Mariana Sangoi
mariana.sangoi@lefosse.com
+55 11 3025 3398
Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com