ANPD publica regulamento sobre transferência internacional de dados
Por: Pedro Rezende e Isadora Reis
No dia 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução n. 19, que aprovou o “Regulamento de Transferência Internacional de Dados”. Essa norma regulamentou os artigos 33 a 36 da Lei Geral de Proteção de Dados, que tratam da transferência internacional de dados para países estrangeiros ou organismos internacionais.
O novo normativo contempla questões como (i) requisitos gerais e características da transferência internacional de dados; (ii) cláusulas contratuais padrão com condições mínimas para a realização da transferência internacional de dados; (iii) hipóteses legais e mecanismos de transferência; e (iv) medidas de transparência, dentre outras disposições relevantes.
Em consonância com a LGPD, a Resolução n. 19/2024 estabelece que a transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, devendo estar amparada em uma das bases legais previstas nos artigos 7º e 11 da LGPD.
Além disso, a Resolução n. 19/2024 prevê que a ANPD disponibilizará a relação de países que atendam a um grau de proteção mínimo segundo os critérios previstos na norma. Operações de tratamento realizadas para países ou organismos internacionais não contemplados nessa relação deverão observar os seguintes critérios:
(a) estar amparada em cláusulas contratuais que visem dar segurança à transferência, as quais podem ser:
(a.1) cláusulas contratuais específicas para determinada transferência de dados ao exterior; ou
(a.2) cláusulas contratuais padrão, conforme texto trazido na Resolução n. 19/2024. Essas cláusulas padrão deverão ser incorporadas pelas empresas em até 12 meses após a data de publicação da resolução. Segundo a norma, ao serem incorporadas aos contratos, as cláusulas contratuais padrão aprovadas pela ANPD não poderão ter seu texto alterado. Caso o interessado deseje utilizar cláusulas contratuais diversas, será necessário solicitar à ANPD o reconhecimento da equivalência entre essas cláusulas e as cláusulas padrão;
(b) estar fundamentada em normas corporativas globais: normas destinadas às transferências internacionais entre empresas do mesmo grupo/conglomerado, as quais devem estar vinculadas a programas de governança em privacidade e serem submetidas à aprovação da ANPD.
A Resolução n. 19/2024 representa um importante avanço no contexto regulatório brasileiro sobre proteção de dados pessoais. Empresas brasileiras que transferem dados pessoais ao exterior, ou que recebem dados de organizações sediadas fora do Brasil, devem estar atentas ao novo regulamento para assegurar a legalidade de suas operações e mitigar riscos de desconformidades.