A ANPD publicou a Resolução 19, que regulamenta a transferência internacional de dados pessoais, abordando um dos temas mais aguardados e críticos para a conformidade com a LGPD, a lei 13.709/18.
A nova norma, que estipula um prazo de 12 meses para a adaptação dos contratos, impõe 24 cláusulas padrão que devem ser incorporadas nos acordos celebrados com empresas estrangeiras que recebem dados pessoais oriundos do Brasil.
A Resolução 19/24 visa preencher lacunas importantes, especialmente considerando o contexto de globalização e a constante movimentação internacional de dados.
Empresas que operam em modelos que envolvem a transferência de informações para suas matrizes no exterior ou que contratam serviços de armazenamento em nuvem fora do país precisarão revisar seus contratos à luz das novas exigências.
Em caso de descumprimento, as penalidades podem chegar a R$ 50 milhões por infração, conforme o art. 52, inciso II, da lei 13.709/18.
Caso as cláusulas padrão não sejam aceitas pela contraparte estrangeira, a ANPD permite a adoção de cláusulas específicas, que necessitam de aprovação prévia. Entretanto, não há previsão de prazo para a análise e resposta por parte da autoridade, o que pode gerar incertezas jurídicas e operacionais para as empresas.
A nova regulamentação também traz a possibilidade de isenção da necessidade de adaptação contratual, caso a ANPD emita “decisões de adequação” que reconheçam a legislação de outros países como equivalente à brasileira em termos de proteção de dados. Esse mecanismo pode facilitar as operações entre empresas brasileiras e entidades localizadas em países considerados “adequados”.
É importante lembrar que, em que pese o prazo de 12 meses parecer longo, as negociações com empresas internacionais podem se mostrar complexas, especialmente quando as cláusulas padrão enfrentam barreiras legais no exterior. Ademais, a demora da ANPD em aprovar cláusulas personalizadas pode aumentar a incerteza regulatória.
Em termos de impacto, a regulamentação representa um avanço no sentido de reduzir a insegurança jurídica, promovendo maior previsibilidade nas operações empresariais que envolvem a transferência de dados internacionais. Com isso, espera-se um ambiente mais favorável ao crescimento econômico e à inovação, ao mesmo tempo em que os direitos dos titulares de dados são resguardados.
A nova norma reforça o compromisso do Brasil com a proteção de dados no cenário global, colocando as empresas nacionais em alinhamento com as melhores práticas internacionais, como o GDPR - General Data Protection Regulation europeu.
Contudo, desafios operacionais e legais ainda precisam ser superados para uma adaptação eficaz dentro do prazo estipulado.