A ANPD (Autoridade Nacional de Proteção de Dados) publicou na última sexta-feira (23/08) o Regulamento que trata da transferência internacional de dados, detalhando as hipóteses que autorizam a transferência de dados para outros países e as regras contratuais que devem ser seguidas pelas empresas envolvidas.
A possibilidade de transferência internacional de dados já estava prevista na LGPD, art. 33 e seguintes, mas pendia de regulamento específico, especialmente em relação à elaboração das cláusulas-padrão contratuais, o que foi feito no anexo II do Regulamento 19 da ANPD.
De acordo com o Regulamento apenas poderá ser realizada a transferência internacional de dados quando verificado que o país estrangeiro foi reconhecido pela ANPD com grau de proteção compatível com a nossa legislação ou quando o controlador fizer uso de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais ou normas corporativas globais.
As cláusulas-padrão contratuais determinadas pela ANPD (anexo II do Regulamento) devem ser integradas ao contrato original ou elaborado termo aditivo na sua integralidade, ou seja, o texto das cláusulas-padrão contratuais não pode sofrer qualquer alteração.
O conteúdo do Regulamento prevê ainda que a ANPD pode reconhecer a equivalência de cláusulas-padrão contratuais de outros países, mediante requisição, contendo o inteiro teor das cláusulas-padrão contratuais traduzidas para o português; indicação da legislação aplicável e demais documentos pertinentes, incluindo guias e orientações expedidos pela respectiva autoridade de proteção de dados pessoais, e por fim, análise de compatibilidade com as disposições da LGPD.
A utilização de cláusulas contratuais específicas somente poderá ser utilizada pelo Controlador quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais, devidamente comprovadas pelo controlador à ANPD.
A utilização dessas cláusulas contratuais específicas deve ser precedida de autorização pela ANPD e levará em conta a compatibilidade dos termos pactuados com a LGPD e os riscos e benefícios proporcionados pela sua aprovação.
Por fim, as normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante entre essas empresas.
O Regulamento prevê ainda que as cláusulas utilizadas para realização da transferência internacional de dados devem ser disponibilizadas ao titular, acaso solicitadas, no prazo de 15 dias.
Ainda, deve o controlador disponibilizar em seu site (integrado a política de privacidade ou documento próprio) informações sobre a realização da operação de transferência internacional de dados contendo: a forma, a duração e a finalidade específica da transferência internacional; o país de destino dos dados transferidos; a identificação e os contatos do controlador; o uso compartilhado de dados pelo controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.
Não menos importante, tem-se que as empresas possuem o prazo de 12 (doze) meses para adequarem seus contratos na hipótese de transferência internacional de dados.
Mas na prática, você sabia que transferência internacional de dados não é apenas uma operação direta entre empresas?
Você sabia que utilizar, por exemplo, serviços de computação em nuvem (como o Google Drive, Amazon Web Services ou Microsoft Azure), quando os dados estejam armazenados em servidores localizados fora do Brasil, é uma hipótese de transferência internacional de dados?
E com isso, a adoção das cláusulas-padrão contratuais passou a ser obrigatória.
Embora o Regulamento 19 da ANPD traga o conteúdo das cláusulas-padrão contratuais, certamente com a intenção de proteger os dados pessoais objeto de transferência internacional, a obrigatoriedade de sua vinculação sem qualquer possibilidade de complementação ou alteração do texto das cláusulas trazidas no anexo II do Regulamento, pode significar, num primeiro momento, a interferência na livre negociação contratual entre empresas.
Sem contar o fato de que, acaso a empresa opte por estabelecer outras cláusulas contratuais para gerir a transferência internacional de dados, levando em conta a realidade do caso concreto, a autorização prévia da ANPD será necessária.
Mas, fato é que as empresas deverão, no prazo de 12 (doze) meses a contar da publicação do Regulamento, adequar seus contratos quando for verificada a ocorrência de transferência internacional de dados pessoais.
Com isso, indicamos que o JCM Advogados Associados permanece atento a todas as novidades e decisões para mantê-los sempre atualizados e permanecemos à disposição para solucionar suas dúvidas sobre o tema.
Para saber mais acesse:
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm