Tendo em vista a publicação, em 23.08.2024, da Resolução nº. 19/2024 pela Autoridade Nacional de Proteção de Dados – ANPD, regulando os artigos 33 ao 36 da Lei Geral de Proteção de Dados Pessoais, que tratam da transferência internacional de dados pessoais, preparamos uma cartilha com os principais pontos de atenção, para que nossos clientes possam revisar todos os seus documentos, contratos e políticas de privacidade para que contemplem as novas determinações da Autoridade Nacional.
Primeiramente, esta Resolução visa estabelecer normas e procedimentos para a transferência internacional de dados pessoais, indicando como as empresas e organizações devem se comportar para enviar dados para fora do Brasil. A Resolução visa alinhar as práticas brasileiras com os padrões internacionais de proteção de dados pessoais.
Condições para Transferência Internacional de Dados Pessoais
A Resolução nº 19 da ANPD, assim como a LGPD, estabelecem algumas condições sob as quais a transferência internacional de dados pessoais é permitida:
- Para países adequados: A transferência será permitida para países ou organismos internacionais que proporcionem um grau de proteção de dados pessoais similar ao previsto na LGPD.
- Garantias: Se o país receptor não for considerado adequado, a transferência somente poderá ocorrer se houver garantias de proteção dos dados. Essas garantias podem incluir cláusulas contratuais padrão, regras corporativas globais (Binding Corporate Rules – BCRs), ou outros mecanismos aprovados pela ANPD.
- Consentimento do titular: Em algumas situações, a transferência de dados pessoais pode ocorrer mediante o consentimento específico e informado do titular, com destaque sobre as possíveis consequências da transferência.
Execução de contrato: A transferência é permitida se for necessária para a execução de um contrato no interesse do titular dos dados. - Proteção à vida: Transferências que são necessárias para a proteção da vida ou segurança física do titular ou de terceiros.
Cooperação jurídica internacional: Transferências para cooperação jurídica internacional entre órgãos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional.
Direitos dos Titulares dos Dados
Os titulares dos dados possuem direitos específicos em relação à transferência internacional de seus dados pessoais:
- Informação: Os titulares têm o direito de serem informados sobre a transferência internacional de seus dados, incluindo os países ou organizações para os quais os dados estão sendo enviados.
- Transparência: A resolução reforça a necessidade de transparência das empresas em suas práticas de transferência de dados, devendo informar claramente as bases legais e as garantias adotadas para a proteção dos dados.
- Segurança: Garantir que os dados pessoais sejam protegidos contra acessos não autorizados e incidentes de segurança.
Responsabilidades das Empresas e Organizações
As empresas e organizações que realizam transferências internacionais de dados pessoais têm responsabilidades específicas para garantir a conformidade com a LGPD e a Resolução nº 19 da ANPD:
- Avaliação de Riscos: Devem realizar avaliações de risco para entender os impactos potenciais da transferência de dados e adotar medidas adequadas para mitigar esses riscos.
- Implementação de Garantias: Devem implementar garantias adequadas para proteger os dados, como criptografia, anonimização, e cláusulas contratuais específicas que assegurem a proteção dos dados no país receptor.
- Monitoramento e Revisão: É necessário monitorar regularmente as práticas de transferência e revisar os contratos e garantias para assegurar que continuam a proporcionar um nível adequado de proteção.
Estrutura das Cláusulas-Padrão (Anexo II da Resolução 19)
As cláusulas-padrão estipuladas pela ANPD na Resolução 19 incluem obrigações e responsabilidades, tanto para o exportador quanto para o importador de dados, visando assegurar a conformidade com os princípios da LGPD. Aqui estão alguns dos principais pontos que devem constar nas cláusulas-padrão:
- Definição dos termos utilizados: Conceituar os termos essenciais para garantir clareza no contrato, como “dados pessoais”, “titular de dados”, “tratamento de dados”, “exportador de dados”, “importador de dados”, “dados pessoais sensíveis”, entre outros. Como exemplo, podemos citar a definição que a Resolução 19 nos traz sobre transferência internacional. Segundo a Resolução, a transferência internacional de dados ocorrerá quando o exportador transferir dados para o importador (art. 5º), ressalvando que a coleta internacional de dados não será considerada transferência internacional (art. 6º), levando em consideração as hipóteses do artigo 3º da LGPD.
- Obrigações das Partes:
- Exportador de Dados: A empresa brasileira responsável pelo envio dos dados deve assegurar que a transferência esteja em conformidade com a LGPD e que os dados sejam tratados de acordo com os princípios de finalidade, adequação, necessidade, transparência, entre outros.
- Importador de Dados: A empresa estrangeira que recebe os dados deve garantir que o tratamento dos dados cumpra com um nível de proteção equivalente ao exigido pela LGPD. Isso inclui, entre outros, obrigações de confidencialidade, segurança e a garantia de que os dados só serão usados para os fins especificados.
- Direitos dos Titulares de Dados: As cláusulas devem garantir que os titulares dos dados tenham seus direitos respeitados, incluindo o direito de acesso, retificação, eliminação e outros direitos previstos no artigo 18 da LGPD. O importador deve fornecer meios eficazes para o exercício desses direitos, mesmo que os dados sejam tratados fora do Brasil.
- Segurança e Medidas Técnicas e Administrativas: As partes devem adotar medidas adequadas de segurança para proteger os dados pessoais contra acesso não autorizado, perda, destruição ou qualquer forma de tratamento inadequado. As medidas de segurança devem ser proporcionais aos riscos e ao tipo de dados tratados.
- Responsabilidade e Reparação: Estabelece que tanto o exportador quanto o importador são responsáveis pela proteção dos dados pessoais e devem compensar quaisquer danos causados ao titular em virtude do tratamento de dados inadequado ou em desacordo com as cláusulas contratuais.
- Subcontratação: Caso o importador queira subcontratar parte do tratamento de dados a terceiros, isso deve ser previamente autorizado pelo exportador, e o subcontratado deve estar sujeito às mesmas obrigações de proteção de dados previstas no contrato principal.
- Transferências Posteriores: As cláusulas-padrão devem prever regras claras sobre a transferência subsequente dos dados a outros importadores em outros países, exigindo que tais transferências estejam em conformidade com a LGPD e as obrigações contratuais.
- Supervisão e Auditoria: O importador deve permitir auditorias regulares para verificar a conformidade com as cláusulas contratuais e as obrigações de proteção de dados.
Exceções:
Não se aplica a LGPD nas hipóteses de:
- Trânsito de dados pessoais, sem a ocorrência de comunicação ou uso compartilhado de dados com agente de tratamento situado em território nacional; (art. 8º da Resolução 19) ou
- Retorno dos dados pessoais, objeto de tratamento no território nacional, exclusivamente ao país ou organismo internacional de proveniência, desde que o país ou organismo internacional proporcione um grau de proteção adequado, reconhecido por decisão da ANPD, quando a legislação do país proveniente se aplique à operação em questão e na hipótese de situação específica e excepcional que não se aplique a LGPD, mas que a ANPD profira decisão de adequação.
Sendo assim, estas são algumas das obrigações que os controladores e operadores de dados pessoais deverão observar para realizar as suas operações internacionais de transferência de dados, modificando os seus documentos, contratos e políticas de privacidade.
Nossa equipe da LacazTech se coloca à disposição para auxiliá-los com estas novas exigências legais.
