ANPD aprova o regulamento de transferência internacional de dados

A ANPD - Autoridade Nacional de Proteção de Dados publicou, em 23/8/24, a resolução CD/ANPD 19/24 ("resolução 19"), a qual aprova o regulamento de transferência internacional de dados. O texto regulamenta os arts. 33 a 36 da LGPD (lei federal 13.709/18 - "LGPD" ou "lei") para trazer maior segurança jurídica aos agentes de tratamento em suas relações com agentes e organismos internacionais.

A resolução 19 estabelece um prazo de 12 meses, contados da data de publicação, para que os agentes de tratamento incorporem as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais. Entretanto, diversas outras obrigações são de aplicação imediata e requerem atenção dos agentes de tratamento, controladores e operadores de dados pessoais, isto é, praticamente todas as empresas, organizações sem fins lucrativos e autoridades governamentais.

O que são as transferências internacionais de dados pessoais?

O primeiro ponto importante da resolução 19 é o conceito de TID - transferência internacional de dados, que é transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

O exportador é o agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para importador. Enquanto o importador é o agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos pelo exportador.

Quando ocorre a Transferência Internacional de Dados?

O art. 5º da resolução 19 determina que a TID se caracteriza quando o exportador transfere dados pessoais para o importador, o que confirma a mesma incidência do art. 3º da LGPD. Além disso, tanto os controladores quanto os operadores podem ser exportadores de dados, mas cabe ao controlador avaliar se a operação de tratamento se caracteriza como TID, se estaria submetida à legislação nacional de proteção de dados pessoais, e, por fim, se está amparada em hipótese legal prevista em lei (arts. 7º e 11 da LGPD) e em mecanismo de transferência internacional válidos.

De qualquer modo, quando o operador estiver envolvido, ele deverá prestar auxílio ao controlador mediante o fornecimento das informações que dispuser e que se demonstrarem necessárias para a avaliação do controlador sobre a ocorrência da TID. Ambos devem zelar pela adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado.

Quando NÃO ocorre a Transferência Internacional de Dados?

A resolução 19 excetuou a sua aplicação para a chamada coleta internacional de dados, que é a coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado no exterior, assim, de acordo com o art. 6º, a coleta internacional de dados não caracteriza uma TID.

Além disso, quando os dados pessoais são provenientes do exterior, a resolução 19 também não é aplicável nas seguintes hipóteses:

• Trânsito de dados pessoais sem a ocorrência de comunicação ou uso compartilhado de dados com agente de tratamento situado em território nacional; e
• Retorno dos dados pessoais, objeto de tratamento no território nacional, exclusivamente ao país ou organismo internacional de proveniência, desde que: (i) o país ou organismo internacional de proveniência proporcione grau de proteção de dados pessoais adequado, reconhecido por decisão da ANPD; (ii) a legislação do país ou as normas aplicáveis ao organismo internacional de proveniência se apliquem à operação realizada; e (iii) situação específica e excepcional de não aplicação da LGPD.

Quais os mecanismos de transferência internacional válidos?

O art. 9º da resolução 19 determina que os mecanismos de TID podem ocorrer nas seguintes hipóteses:

• Através de uma das hipóteses legais previstas nos arts. 7º e 11 da LGPD (hipóteses legais de tratamento de dados pessoais e dados pessoais sensíveis);
• Para países e organismos internacionais que proporcionem o mesmo grau de proteção de dados previsto na LGPD;
• Através de cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas; e
• Demais hipóteses previstas no art. 33 da LGPD (excetuado o consentimento do titular, são, em geral, hipóteses aplicáveis em contextos de autoridades e organismos internacionais).

Quais são os tipos de cláusulas para realização de TIDs?

O primeiro tipo são as cláusulas-padrão contratuais, elaboradas e aprovadas pela ANPD e presentes no anexo II da resolução 19. Segundo o art. 15, estas cláusulas estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados baseadas nas hipóteses do art. 33 da LGPD. Para que sejam válidas, estas precisam ser integralmente adotadas, sem qualquer alteração textual, podendo integrar contratos celebrados especificamente para reger TIDs ou contratos com objetos mais amplos.

O segundo tipo são as cláusulas-padrão contratuais equivalentes, que a ANPD, através do procedimento de reconhecimento da equivalência, poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou organismos internacionais. Aquelas que forem reconhecidas como equivalentes serão aprovadas pela ANPD através de resolução do conselho diretor e publicadas no site da autoridade.

O terceiro tipo são as cláusulas contratuais específicas, as quais são elaboradas pelo controlador, que precisa solicitar à ANPD, nos termos do art. 21 da resolução 19, a sua aprovação. Elas somente serão aprovadas se a TID não puder ser realizada através de cláusulas-padrão contratuais em razão de circunstâncias excepcionais de fato ou de direito comprovadas pelo controlador.

Por fim, o quarto e último tipo são as normas corporativas globais, que são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscrevem. Estas precisam estar necessariamente vinculadas a um programa de governança em privacidade criado nos termos do art. 50, §2º, da LGPD.

Quem aprova os mecanismos e cláusulas para os TID?

Ficará a cargo da ANPD, nos termos do art. 11, determinar países e organismos internacionais que tenham o mesmo nível de proteção de dados previsto na LGPD, considerando critérios como a natureza dos dados, princípios gerais de proteção de dados, medidas de segurança, normas gerais e setoriais em vigor, riscos e benefícios da decisão e entre outros, reconhecendo, eventualmente, a equivalência por uma decisão de adequação.

Além disso, a ANPD já aprovou, através do anexo II à resolução 19, as chamadas cláusulas-padrão contratuais, um conjunto de, no mínimo, 25 cláusulas bastante robustas que precisam ser adotadas integralmente pelo agente de tratamento que escolher esse mecanismo como fundamento para a sua TID. Este conjunto de cláusulas ainda precisa ser complementado pelo exportador com detalhamento sobre posteriores transferências, responsabilidade das partes de acordo com o envolvimento de controladores e operadores, detalhamento de medidas de segurança e outras cláusulas complementares que entender cabível. Nesse robusto conjunto de cláusulas, são repetidos muitos princípios e obrigações da LGPD, que deverão ser seguidos pelo importador dos dados, havendo, inclusive, a previsão de aplicação da lei brasileira e a obrigação, para o importador, de responder nas cortes brasileiras.

Os outros mecanismos de transferência também deverão ser submetidos e aprovados pela ANPD antes de poderem ser utilizados pelos agentes de tratamento, tais como as cláusulas-padrão contratuais equivalentes, cláusulas contratuais específicas e normas corporativas globais. O art. 29 da resolução 19 determina que tanto as cláusulas contratuais específicas quanto as normas corporativas globais precisam passar por um procedimento de aprovação da ANPD, de modo que, para fins de transparência, elas serão publicadas no site da ANPD após sua aprovação. Além disso, elas só podem ser alteradas em caso de prévia autorização da ANPD.

Quais são as ações imediatas para ficar compliance com a resolução 19?

Revisão da política de privacidade: O controlador tem a obrigação de publicar em seu site, em documento em língua portuguesa, integrado à política de privacidade ou em página específica, sempre destacado, com linguagem clara, simples, precisa e acessível, sobre a realização de TIDs, contendo, no mínimo, as seguintes informações:

• A forma, a duração e a finalidade específica da transferência internacional;
• O país de destino dos dados transferidos;
• A identificação e os contatos do controlador;
• O uso compartilhado de dados pelo controlador e a finalidade;
• As responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e
• Os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.

Adequação do ROPA: para que o controlador possa cumprir as determinações da resolução 19, será necessário revisitar seu ROPA, registro das operações de tratamento de dados, identificando quais são os fluxos e mecanismos existentes para suas transferências internacionais. A partir disso, precisará traçar uma estratégia para regularizar as transferências destes fluxos de acordo com a regras da resolução 19, de modo que, caso não adote as cláusulas-padrão contratuais, já previstas no anexo II da resolução, terá que abrir um procedimento administrativo perante a ANPD a fim de a pleitear a aprovação do outro mecanismo de TID pretendido.

Medidas de transparência: O art. 17 da resolução 19 prevê, ainda, a adoção de medidas de transparência para com o titular, de modo que, em caso de solicitação do titular, o controlador deverá disponibilizar, em 15 dias, a íntegra das cláusulas utilizadas em TIDs, observados os segredos comercial e industrial. Desse modo, o controlador deve revisitar seu procedimento de atendimento de solicitação de direitos de titulares e fazer as atualizações necessárias. Estas medidas de transparência também se aplicam aos demais mecanismos de transferência internacional.