No dia 23 de agosto de 2024, a ANPD V - Autoridade Nacional de Proteção de Dados Pessoais publicou a resolução 19/24, aprovando o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais1.
A imensa maioria das empresas compartilha dados pessoais com outros países. De fato, a transferência internacional de dados pessoais frequentemente está relacionada à ações corriqueiras no mundo globalizado em que vivemos, como a estocagem de dados em nuvem. Assim, a sua empresa também deve adotar um dos mecanismos autorizativos previstos no art. 33 da LGPD - Lei Geral de Proteção de Dados Pessoais para realizar essas transferências.
Antes da regulamentação da ANPD sobre o tema, o único mecanismo passível de adoção para legitimar a transferência internacional de dados pessoais era o consentimento, mecanismo este de extrema complexidade operacional no dia a dia das empresas.
Por tal razão, considerava-se que o art. 33 da LGPD era uma norma de eficácia limitada, por necessitar de regulamentação complementar para sua efetivação.
O que mudou com a resolução 19/24?
Com a resolução 19/24, foram regulamentados quatro mecanismos para legitimar as transferências internacionais: a) as decisões de adequação, b) as cláusulas-padrão contratuais, c) as cláusulas contratuais específicas para determinada transferência, e d) as normas corporativas globais.
Na prática, focaremos em dois dos principais mecanismos autorizativos previstos na legislação: as decisões de adequação e as cláusulas-padrão contratuais.
Decisões de adequação
O mecanismo mais conveniente para respaldar as transferências internacionais de dados pessoais, do ponto de vista do exportador dos dados, são as decisões de adequação.
Nesta hipótese, a ANPD pode declarar que um determinado país possui um grau de proteção de dados pessoais equivalente ao garantido pela legislação brasileira. Como consequência, a transferência internacional poderá ser realizada sem nenhuma medida adicional de conformidade.
Apesar do Regulamento definir o procedimento e os critérios para a tomada de decisões de adequação pela ANPD, nenhum país fora, até o momento, objeto de uma decisão de adequação. Assim, até que a ANPD emita as primeiras decisões, este mecanismo ainda não é aplicável para respaldar transferências internacionais.
Cláusulas-padrão contratuais
As cláusulas padrão contratuais são válidas para respaldar transferências internacionais de dados pessoais, desde que assinadas por ambas as partes (exportador e importador de dados) na redação aprovada pela ANPD.
As cláusulas são um dos poucos mecanismos atualmente vigentes que não dependem de manifestação da ANPD, motivo pelo qual podem ser considerados um dos mecanismos mais convenientes para as transferências internacionais de dados do setor privado.
É importante notar que as organizações que optem por utilizar esse mecanismo para possibilitar as suas transferências internacionais de dados pessoais devem assinar as cláusulas contratuais aprovadas no prazo de até 12 meses contados da publicação da Resolução. Ou seja, as empresas devem providenciar um plano de ação para assegurar sua assinatura até a data de 23/08/2025, sob pena de ilegalidade das transferências de dados pessoais realizadas após essa data.
Quais as outras opções?
Dentre as demais opções previstas no art. 33 destacam-se:
- Consentimento do titular para realizar a transferência internacional
Mecanismo passível de adoção desde a vigência da LGPD, o consentimento não é muito utilizado devido às dificuldades operacionais inerentes à sua obtenção e gestão.
Com efeito, as transferências internacionais geralmente envolvem dados de diversas categorias de pessoas que interagem com a empresa (ex: clientes, colaboradores, terceiros), especialmente no que tange às transferências relacionadas ao armazenamento de dados de sistemas e aplicações.
Obter o consentimento de cada um dos titulares seria inviável na prática, para não mencionar os desafios no atendimento a direitos relacionados ao consentimento: caso um titular revogasse o consentimento, por exemplo, nem sempre seria factível trazer de volta para o Brasil somente os dados daquele titular.
Por essa razão, esse mecanismo não é adequado à realidade das transferências internacionais realizadas pelas empresas e organizações brasileiras.
- Normas corporativas globais
As normas corporativas globais podem ser utilizadas para respaldar transferências internacionais de dados por organizações do mesmo grupo ou conglomerado de empresas, desde que sejam aprovadas pela ANPD. Ou seja, o texto que estrutura os papéis, os deveres de cada parte envolvida e os direitos dos titulares, deve ser previamente submetido à aprovação da Autoridade brasileira antes da realização de qualquer transferência. Nesse meio tempo, deve-se respaldar as transferências realizadas por outro mecanismo, como as cláusulas padrão contratuais.
- Cláusulas contratuais específicas para determinada transferência
Cláusulas contratuais específicas podem ser utilizadas em contextos nos quais a adoção das cláusulas-padrão contratuais não seja possível, devido a circunstâncias de fato ou de direito. No entanto, esse mecanismo também deve ser aprovado pela ANPD, o que pode dificultar sua aplicabilidade na prática – sobretudo pela justificativa a apresentar relativa à impossibilidade da adoção das cláusulas padrão contratuais.
E agora? O que as empresas e organizações brasileiras devem fazer?
O primeiro passo para adequação à nova regulamentação é mapear as transferências internacionais de dados pessoais realizadas no âmbito da organização. Essa tarefa é desafiadora, na medida em que atualmente não existe uma prática no mercado de obter informações sobre o local de armazenamento de dados de sistemas e aplicações, nem mesmo nos contratos celebrados com empresas de cloud.
Em um segundo momento, considerando o prazo significativamente curto para assinatura dos instrumentos contratuais, é necessário priorizar e planejar. Recomenda-se iniciar o processo pelas transferências com maior volumetria de dados ou ainda, que envolvam dados pessoais considerados de alto risco pela ANPD.
Por fim, não podemos desconsiderar a possibilidade de a ANPD emitir decisões de adequação no prazo de 12 meses. Por essa razão, é recomendado priorizar a assinatura por países que tem menor chance de obter essa decisão de forma célere. Os principais “candidatos” à uma decisão de adequação pela Autoridade brasileira são os países nos quais o GDPR -Regulamento Geral de Proteção de Dados Europeu é aplicável.
No entanto, como não há certeza quanto à emissão de decisão de adequação pela ANPD nos próximos 12 meses, é importante que as organizações possuam um rigoroso plano de ação contemplando a assinatura dos contratos para todas as transferências internacionais realizadas, independentemente de qualquer possibilidade de manifestação da ANPD sobre o tema.
Nossa equipe de Direito Digital está à disposição para apoiá-lo na análise, estruturação e execução desse plano de ação.