Breve análise sobre a transferência internacional de dados: Resolução CD/ANPD nº 19, de 23 de agosto de 2024
sexta-feira, 30 de agosto de 2024
Atualizado às 12:05
Considerações Iniciais
As garantias adequadas para a transferência internacional são de extrema relevância para se assegurar o livre fluxo de informações e do bem-estar do comércio em âmbito global. A discussão sobre os parâmetros e hipóteses de transferência de dados entre países, ou grupos de países, envolve aspectos técnicos, econômicos, jurídicos, de circulação de dados da internet, de modelos globais de negócio, a respeito das leis aplicáveis aos dados armazenados ou em circulação.1
A grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos. Devido à necessidade de harmonização entre legislações de diferentes países, as operações além das fronteiras nacionais de um país implicam maiores riscos aos direitos e liberdades dos titulares2.
De acordo com a Portaria nº 11 de 27 de janeiro de 2021, que tornou pública a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022, os artigos 33, 34 e 35 da LGPD começassem a ser regulamentados no segundo semestre de 20223.
Nessa direção, a ANPD seguiu com os procedimentos necessários ao andamento às exigências da regulação do fluxo internacional de dados na Lei Geral de Proteção de Dados (LGPD)4 e publicou, em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19, que aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais (CPCs).5
Diante da necessária busca de que o Brasil esteja dentro dos padrões internacionais relacionados às melhores práticas de proteção aos dados pessoais, ressalta-se a importância da matéria. A seguir objetiva-se uma breve análise sobre: 1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações; 2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais; 3.
1. LEI GERAL DE PROTEÇÃO DE DADOS E O FLUXO INTERNACIONAL DE INFORMAÇÕES
A partir da lei 13.7096, de 14 de agosto de 2018, conhecida como LGPD, o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais. A proteção de dados pessoais, anteriormente tratada de maneira esparsa no ordenamento jurídico nacional, estruturou-se em uma legislação específica7. A LGPD inaugurou um sistema que está focado na prevenção e na criação de uma cultura de proteção de dados pessoais8.
A legislação brasileira dialoga9 com outros diplomas legais vigentes, garantindo a ampla tutela aos titulares de dados10. Apresenta diferentes hipóteses para operações transfronteiriças, tratando do tema, especificamente, no Capítulo V, intitulado "Da Transferência Internacional de Dados", respectivamente, nos artigos 33 a 36.
A LGPD traz a previsão da transferência internacional de dados pessoais abordando os aspectos relacionados às regras aplicáveis ao fluxo para países e organismos internacionais. Ao total, são apresentadas nove hipóteses em que se permite o fluxo internacional de dados, sendo este considerado como um rol taxativo.
Importa destacar que não há hierarquia entre entre os mecanismos de transfere^ncia, sendo que o me´todo escolhido dependera´ da finalidade e do contexto para o tratamento dos dados pessoais11. Em rol taxativo, o artigo 33 define as hipóteses em que a transferência internacional é permitida12.
Alternativamente, o fluxo de informações pessoais para fora do território nacional só é permitido caso, i) os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD; ii) o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD; iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; v) a autoridade nacional autorizar a transferência; vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional; vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; viii) o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo, claramente, esta e outras finalidades; e ix) é necessária para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD.
O artigo 34 está relacionado aos tópicos que devem ser levados em conta quando da definição de nível de proteção adequado de país estrangeiro ou organismo internacional13. O dispositivo 35 trata sobre a definição das CPCs e verificação de outras salvaguardas14, enquanto o artigo 36 apresenta observância aos princípios gerais de proteção e dos direitos do titular15.
2. A DIFERENÇA ENTRE TRANSFERÊNCIA INTERNACIONAL DE DADOS E O TRÂNSITO DE DADOS PESSOAIS
Segundo Robert Bond, "'transferência" não é o mesmo que "trânsito" de informações16. Os dados pessoais podem passar pelo país B no caminho do país A para o país C, sem, no entanto, nenhuma operação de processamento substancial ocorrer neste caminho, já que a transferência é para o país C17.
Por exemplo, no caso de uma empresa sediada na Alemanha enviar dados para uma empresa baseada nos Estados Unidos da América (EUA), mas, durante a transferência, os dados passarem pelo território uruguaio, sem, de fato, acontecer qualquer tratamento das informações no país. Casos como este servem de modelos para diferenciar "tranferência" e "trânsito", porque, na situação supramencionada, a operação internacional é realizada apenas entre a empresa alemã e a empresa norte-americana, sendo que os dados apenas transitaram no Uruguai18.
Diante do fluxo internacional de dados, considera-se como "exportador" o agente de tratamento que transferirá os dados pessoais para um "importador", localizado em outro país. Considera-se como "importador" o agente de tratamento situado fora do território nacional, que receberá esses dados do "exportador". No exemplo acima, o "importador" seria a empresa norte-americana e o "exportador", a empresa alemã.
3. RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024
1. Publicada em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19 aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais. As novas normas sobre o fluxo transfronteiriço de informações pessoais entram em vigor na data de sua publicac¸a~o, sendo assim, necessário que os agentes de tratamento se adequem às exigências sobre os procedimentos e regras aplicáveis a tais operações.
2. Em relação às cla´usulas contratuais para realizar transfere^ncias internacionais de dados devera~o incorporar as cla´usulas-padra~o contratuais aprovadas pela ANPD, existe o prazo de ate´ 12 (doze) meses, contados da data de publicac¸a~o da Resoluc¸a~o, para a adequação por parte dos agentes de tratamento.
3. A Resolução destaca os requisitos necessários para as operações que envolvam decisões de adequação, cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais e normas corporativas globais. Além disso, ressalta que é possível a realizac¸a~o de transfere^ncia internacional de dados com base nos mecanismos previstos no art. 33 da LGPD que na~o dependam de regulamentac¸a~o, desde que atendidas as especificidades do caso concreto e os requisitos legais aplica´veis.
4. Destaca que a transfere^ncia internacional de dados pessoais deve ser realizada em conformidade com o disposto na LGPD e na Resolução, observadas as seguintes diretriz garantia de cumprimento dos princi´pios, dos direitos do titular e de ni´vel de protec¸a~o equivalente ao previsto na legislac¸a~o nacional, independentemente do pai´s onde estejam localizados os dados pessoais objeto da transfere^ncia.
5. Reitera a necessária a implementac¸a~o de medidas efetivas de transpare^ncia, assegurando o fornecimento de informac¸o~es claras, precisas e facilmente acessi´veis aos titulares. Além disso, a adoc¸a~o de boas pra´ticas e de medidas de prevenc¸a~o e seguranc¸a apropriadas e compati´veis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operac¸a~o.
6. Defende que o fluxo internacional de informações deve estar limitado ao mi´nimo necessa´rio para o alcance de suas finalidades, com abrange^ncia dos dados pertinentes, proporcionais e na~o excessivos em relac¸a~o a`s finalidades do tratamento de dados.
7. Toda a operação somente será realizada para atender a propo´sitos legi´timos, especi´ficos, expli´citos e informados ao titular, sem possibilidade de tratamento posterior de forma incompati´vel com essas finalidades, e desde que amparada em uma das hipo´teses legais previstas no art. 7º ou no art. 11 da LGPD ou em um dos seguintes mecanismos va´lidos de realizac¸a~o da transfere^ncia internacional.
8. A aplicac¸a~o da legislac¸a~o nacional a` transfere^ncia internacional de dados independe do meio utilizado para sua realizac¸a~o, do pai´s de sede dos agentes de tratamento ou do pai´s onde estejam localizados os dados.
9. Estabelece que a LGPD é aplicável aos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no territo´rio nacional. A LGPD na~o se aplica aos dados pessoais provenientes do exterior somente quando ocorrer: a) tra^nsito de dados pessoais, sem a ocorre^ncia de comunicac¸a~o ou uso compartilhado de dados com agente de tratamento situado em territo´rio nacional; b) retorno dos dados pessoais, objeto de tratamento no territo´rio nacional, exclusivamente ao pai´s ou organismo internacional de provenie^ncia, desde que:o pai´s ou organismo internacional de provenie^ncia proporcione grau de protec¸a~o de dados pessoais adequado, reconhecido por decisa~o da ANPD; c) a legislac¸a~o do pai´s ou as normas aplica´veis ao organismo internacional de provenie^ncia se apliquem a` operac¸a~o realizada; d) a situac¸a~o especi´fica e excepcional de na~o aplicac¸a~o da LGPD.
10. Cabe ao controlador verificar se a operac¸a~o de tratamento: a) caracteriza transfere^ncia internacional de dados; b) submete-se a` legislac¸a~o nacional de protec¸a~o de dados pessoais; c) esta´ amparada em hipo´tese legal e em mecanismo de transfere^ncia internacional va´lidos.
11. A transfere^ncia internacional de dados sera´ caracterizada quando o exportador transferir dados pessoais para o importador. A coleta internacional de dados na~o caracteriza transfere^ncia internacional de dados e observara´ as disposic¸o~es da LGPD, quando verificada uma das hipo´teses indicadas no art. 3º da LGPD.
12. Quaisquer operações que envolvam aspecto transnacional devem respeitar os princípios de proteção de dados e salvaguardar os direitos dos titulares. A lei preve^ um conjunto de normas destinadas a garantir a higidez das operac¸o~es de transfere^ncia internacional19, estabelecendo que os países interessados neste tipo de transação devem oferecer garantias em mesmo grau que aquele oferecido pela LGPD.
13. O controlador ou o operador que deixem de adotar as medidas de segurança cabíveis respondem pelos danos decorrentes de violação da segurança dos dados. A LGPD imputa responsabilidade aos agentes de tratamento a definição sobre medidas técnicas, administrativas e de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais, ou ilícitas, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito20.
14. As CPCs aprovadas pela ANPD garantem que exportadores e importadores de dados apliquem as mesmas medidas técnicas e organizacionais, em termos de proteção de dados no Brasil. Dessa forma, garantindo a proteção dos direitos e liberdades dos titulares dos dados.
15. Em todos os casos de fluxo internacional de dados, deve-se realizar avaliação de todas as circunstâncias da transferência e deve-se considerar a adoção de medidas adicionais para garantir proteção suficiente aos titulares.
16. As cláusulas-modelo elaboradas pela autoridade brasileira, contém as obrigações das partes envolvidas na transferência e os direitos dos titulares dos dados a serem transferidos. Caso o controlador adote as CPCs sugeridas pela autoridade, vincular-se-á a todos os requisitos e as obrigações estipuladas no documento, podendo realizar a transferência dos dados pessoais sem a necessidade de anuência da ANPD ou dos respectivos titulares.
CONSIDERAÇÕES FINAIS
A Resolução CD/ANPD nº 19 integra os esforços para que o Brasil conte com um sistema robusto de definição, aprovação e fiscalização do fluxo transnacional de dados pessoais, garantindo a efetividade internacional do sistema de proteção brasileiro.
Ao regulamentar o tema da transferência internacional de dados, a ANPD se posicionou no cenário internacional, defendendo o sistema de proteção de dados brasileiro. O estabelecimento de regras e procedimentos direcionados à garantia dos direitos dos titulares é fundamental para a eficácia da LGPD.
A disponibilização de cláusulas-tipo auxilia os agentes de tratamento diante do cumprimento de seus deveres e justa proteção de direitos dos titulares, ainda que existam diferentes níveis legislações de proteção de dados ao redor do mundo.
__________
1 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2019.
2 FUNDAÇÃO GETULIO VARGAS (FGV). Guia de Proteção De Dados Pessoais: Transferência Internacional. São Paulo: FGV. 2020, p. 15. Disponível aqui. Acesso em: 10 fev. 2022.
3 BRASIL. Portaria nº 11, de 27 de janeiro de 2021. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2021. Disponível aqui. Acesso em: 25 jan. 2022.
4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Proposta de realização de Tomada de Subsídios para regulamentação de transferência internacional de dados pessoais, nos termos dos arts. 33 a 35 da Lei nº 13.709, de 14 de agosto de 2018. Brasília. 2021. Disponível aqui. Acesso em: 12 jun. 2022.
5 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Resolução CD/ANPD nº 19, de 23 de agosto de 2024. Brasília. Disponível em: < RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 - RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024 - DOU - Imprensa Nacional (in.gov.br)>, acessado em 29 de agosto de 2024.
6 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022
7 DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Prefácio. Rio de Janeiro: Forense, 2021.
8 MENDES, Laura Schertel Ferreira. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, n. 39, jul./dez. 2018, p. 186.
9 MARQUES, Claudia Lima. Diálogo das Fontes: do conflito à coordenação de normas no direito brasileiro. São Paulo: Revista dos Tribunais. 2012, p. 23.
10 Carta de apoio à sanção da Lei de Proteção de Dados do Presidente do Brasilcon, Diógenes Carvalho, e da Ex-Presidente do Brasilcon, Cláudia Lima Marques, RDC 119, p. 517-520.
11 LEONARDI, Marcel. Transfere^ncia Internacional de Dados Pessoais. In: DONEDA, Danilo . [et al.]. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021, p. 303.
12 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022.
Art. 33.
"A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; V - quando a autoridade nacional autorizar a transferência; VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei."
13 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 34 da Lei Geral de Proteção de Dados.
Art. 34.
"O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV - a adoção de medidas de segurança previstas em regulamento;
V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência.".
14 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 35 da Lei Geral de Proteção de Dados.
Art. 35.
"A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.
15 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Brasília, Distrito Federal, 2018. Disponível aqui. Acesso em: 25 jan. 2022. Art. 36 da Lei Geral de Proteção de Dados.
Art. 36.
As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.".
16 BOND, Robert. International Transfers of Personal Data - an update. Business Law International. v. 5, n. 3, 2014, p. 424. De acordo com o autor, "'transfer' is not the same as 'transit'. Personal data may pass through country B on the way from country A to country C, but if no substantive processing operation takes place en route, the transfer is to country C.".
17 BOND, Robert. International Transfers of Personal Data - an update. Business Law International. v. 5, n. 3, 2014, p. 424.
18 INFORMATION COMMISSIONER'S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). London: Information Commissioner's Office (ICO). 2021, p. 228. Disponível aqui. Acesso em: 3 jul. 2022.
19 CARVALHO, Angelo Gamba Prata de. Transfere^ncia internacional de dados na lei geral de protec¸a~o de dados - Forc¸a normativa e efetividade diante do cena´rio transnacional. In: FRAZA~O, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). A Lei Geral de Protec¸a~o de Dados Pessoais e suas repercusso~es no direito brasileiro. Sa~o Paulo: Revista dos Tribunais. 2019, p. 623.
20 CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL); CENTRO DE DIREITO, INTERNET E SOCIEDADE DO INSTITUTO BRASILIENSE DE DIREITO PÚBLICO (CEDIS-IDP). O papel da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) conforme a nova Lei Geral de Proteção de Dados Pessoais (LGPD). 2020, p. 7. Disponível aqui. Acesso em: 25 jan. 2022.