1. Objetivo e Escopo

A Resolução CD/ANPD nº 19/2024 estabelece as regras específicas para a transferência internacional de dados pessoais no Brasil, complementando a Lei Geral de Proteção de Dados (LGPD). Seu objetivo é assegurar que os dados pessoais transferidos para fora do território nacional sejam protegidos de maneira equivalente à proteção garantida pela legislação brasileira. Esta resolução aplica-se a todas as operações de transferência internacional de dados, independentemente do setor de atuação da empresa ou da natureza dos dados tratados.

As transferências internacionais serão consideradas lícitas quando:

• Tiverem como destino país ou organismo internacional considerado adequado pela ANPD;
• Quando forem viabilizadas por instrumentos contratuais adequados, ou seja, mediante cláusula-padrão contratual, cláusula específica e normas corporativas globais; ou
• Encontrarem amparo em outras hipóteses legais previstas no artigo 33 da LGPD.

2. Diretrizes

Para a transferência internacional de dados ser realizada de maneira legal, é necessário observar um conjunto de diretrizes que assegurem a conformidade com a LGPD. Entre as principais diretrizes, destacam-se:

1. Garantia de proteção equivalente: Os países ou organizações internacionais destinatários dos dados devem oferecer um nível de proteção de dados pessoais equivalente ao previsto na legislação nacional, conforme avaliado pela Autoridade Nacional de Proteção de Dados (ANPD).
2. Legalidade e transparência: Todas as operações de transferência devem ser documentadas e comunicadas de forma transparente aos titulares dos dados, garantindo o cumprimento dos princípios da LGPD.
3. Segurança na transferência: Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados durante a transferência.

3. Transferência Internacional de Dados

3.1 Requisitos Gerais

A transferência internacional de dados ocorre quando há transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Exemplos de situações cotidianas no ambiente empresarial que podem envolver a transferência internacional de dados incluem:

• Utilização de uma plataforma de videoconferência internacional para reuniões empresariais, onde informações sensíveis são trocadas e armazenadas em servidores no exterior;
• Integração de sistemas financeiros entre a sede e suas filiais em diferentes países, onde informações fiscais e contábeis são compartilhadas;
• Armazenamento de arquivos em servidores de backup localizados fora do Brasil, como parte da estratégia de continuidade de negócios;
• Outsourcing de serviços de suporte técnico para uma empresa com sede no exterior, que acessa dados de clientes para resolução de problemas;
• Contratação de um fornecedor de CRM (Customer Relationship Management) baseado em outro país, que gerencia dados de clientes e vendas.

3.2 Caracterização da Transferência Internacional de Dados

A transferência internacional de dados ocorre quando há a transferência de dados pessoais para agente de tratamento localizado em país estrangeiro ou que seja organismo internacional.

Isso inclui, por exemplo, o armazenamento em servidores localizados no exterior ou o compartilhamento de dados com uma filial internacional de uma empresa.

 Atenção
A coleta internacional de dados, assim definida a obtenção direta de dados pessoais do titular por um agente de tratamento situado no exterior, não é considerada transferência internacional de dados. No entanto, essa coleta deve estar em conformidade com as disposições da LGPD, especialmente quando o tratamento for realizado no território nacional, quando o objetivo for oferecer bens ou serviços aos titulares de dados localizados no Brasil ou, ainda, quando os dados coletados dirão respeito a indivíduos no Brasil.

3.3 Aplicação da Legislação Nacional de Proteção de Dados Pessoais

Via de regra, a LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada em território nacional, independentemente de onde os dados sejam armazenados ou tratados posteriormente. Assim, mesmo em casos de transferência internacional, as exigências da LGPD devem ser rigorosamente seguidas.

3.4 Hipótese Legal e Mecanismo de Transferência

A transferência internacional de dados deve ser conduzida de maneira rigorosa, garantindo que os dados pessoais sejam tratados para fins legítimos, específicos, explícitos e previamente informados ao titular. A continuidade do tratamento deve ser compatível com as finalidades originais, evitando qualquer desvio de propósito. Para que essa transferência ocorra legalmente, é necessário que ela se baseie em uma das hipóteses legais estabelecidas na LGPD e utilize um dos mecanismos de transferência válidos. Esses mecanismos incluem a transferência para países ou organismos internacionais reconhecidos pela ANPD como possuidores de um grau adequado de proteção de dados, a utilização de cláusulas-padrão contratuais, normas corporativas globais, ou outras hipóteses previstas na LGPD. Além disso, a transferência deve ser restrita ao mínimo necessário, assegurando que os dados transferidos sejam pertinentes, proporcionais e não excessivos em relação às finalidades específicas do tratamento.

4. Decisão de Adequação

A decisão de adequação é um instrumento utilizado pela ANPD para reconhecer que um país ou organização internacional possui um nível de proteção de dados pessoais equivalente ao exigido pela LGPD. Os critérios avaliados incluem:

• Normas gerais de proteção de dados: Existência de uma legislação de proteção de dados robusta e abrangente.
• Direitos dos titulares: Garantias legais para que os titulares possam exercer seus direitos de forma efetiva.
• Supervisão independente: Presença de uma autoridade de proteção de dados independente e com poder para aplicar sanções.

Assim, a emissão de uma decisão de adequação pela ANPD permite a transferência de dados pessoais para o país ou organização internacional avaliado, sem necessidade de mecanismos adicionais de proteção. Consultores devem acompanhar as decisões da ANPD para orientar adequadamente seus clientes sobre os países considerados adequados.

5. Cláusulas-Padrão Contratuais

5.1 Medidas de Transparência

As cláusulas-padrão contratuais são cláusulas aprovadas pela ANPD que estabelecem obrigações específicas para as partes envolvidas na transferência de dados, garantindo que os dados sejam tratados de acordo com a LGPD. Entre as medidas de transparência, destacam-se:

• Informações claras: Detalhamento das partes envolvidas, finalidade da transferência e direitos dos titulares.
• Responsabilidades definidas: Estabelecimento das obrigações de cada parte em relação à proteção dos dados.

Minuta de Contrato com Cláusulas-Padrão Contratuais para Transferência Internacional

Para auxiliar os agentes de tratamento no cumprimento das diretrizes estabelecidas pela LGPD, segue minuta de contrato com cláusulas-padrão contratuais para transferência internacional conforme aprovadas pela ANPD que pode ser utilizado e adaptado às necessidades específicas de cada organização:

5.2 Cláusulas-Padrão Contratuais Equivalentes

Além das cláusulas-padrão aprovadas pela ANPD, é possível utilizar cláusulas contratuais equivalentes, desde que elas ofereçam garantias de proteção de dados similares ou superiores. Essas cláusulas devem ser submetidas à aprovação da ANPD.

6. Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são utilizadas para situações onde as cláusulas-padrão não são aplicáveis ou não cobrem todos os aspectos da transferência de dados. Essas cláusulas devem ser desenhadas de forma a garantir que a proteção de dados seja mantida em todas as etapas do processo, e devem ser aprovadas pela ANPD antes de serem implementadas.

7. Das Normas Corporativas Globais

As normas corporativas globais (BCRs – Binding Corporate Rules) são políticas internas de proteção de dados adotadas por grupos empresariais multinacionais. As BCRs garantem que todas as empresas do grupo sigam os mesmos padrões de proteção de dados, independentemente do país onde estão localizadas. A adoção de BCRs pode facilitar a transferência internacional de dados dentro de um grupo empresarial, desde que elas sejam aprovadas pela ANPD.

8. Disposições Comuns às Cláusulas Contratuais Específicas e Normas Corporativas Globais

8.1 Medidas de Transparência

Tanto as cláusulas contratuais específicas quanto as normas corporativas globais devem incluir medidas de transparência, garantindo que os titulares sejam informados sobre como seus dados serão tratados. Isso inclui:

• Comunicação clara e acessível: O controlador deve publicar em seu site um documento em linguagem simples que explique a transferência internacional de dados.
• Informação: O controlador deve fornecer ao titular, mediante solicitação, a íntegra das cláusulas contratuais específicas ou das normas corporativas globais.
• Atualizações regulares: Notificação aos titulares sobre qualquer mudança significativa nas práticas de tratamento de dados.

8.2 Alterações

Qualquer alteração nas cláusulas contratuais específicas ou nas normas corporativas globais deve ser comunicada à ANPD e aos titulares dos dados. É importante que as mudanças não reduzam o nível de proteção originalmente acordado.

Conclusão

A conformidade com as normas de transferência internacional de dados exige atenção cuidadosa às diretrizes e requisitos estabelecidos pela LGPD e pela ANPD. Um bom software LGPD pode auxiliar nessa missão, facilitando a implementação e manutenção da adequação em privacidade e proteção de dados. Para consultores e especialistas em privacidade, é essencial estar atualizado e garantir que as práticas adotadas por seus clientes estejam em conformidade com a legislação, oferecendo proteção adequada aos dados pessoais em todos os momentos.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD)
• Resolução CD/ANPD nº 19/2024

The post Transferência Internacional de Dados appeared first on Avinto.

O que é Transferência Internacional de Dados

A transferência internacional de dados ocorre quando dados pessoais são enviados para países estrangeiros ou organismo internacional do qual o Brasil seja membro. Isso pode incluir a transmissão de dados para filiais, parceiros comerciais, fornecedores ou servidores localizados em território estrangeiro. É importante ressaltar que a LGPD se aplica a qualquer organização que colete, armazene ou processe dados pessoais de residentes brasileiros, independentemente de onde a organização esteja sediada.

Quando é Permitida a Transferência Internacional de Dados Segundo a LGPD

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

A LGPD prevê, ainda, as situações em que a transferência internacional de dados é permitida:

1. Para países ou organismos internacionais que ofereçam níveis adequados de proteção de dados, alinhados aos padrões da LGPD.
2. Quando houver garantias oferecidas pelo controlador de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
3. Quando a transferência necessária para cooperação jurídica internacional entre órgãos públicos ou para execução de política pública .
4. Transferência essencial para proteger a vida ou a integridade física do titular ou terceiros.
5. Mediante autorização da ANPD.
6. Transferência baseada no consentimento específico e destacado do titular, com informação prévia sobre a natureza internacional da operação.
7. Transferência necessária para cumprimento de obrigações legais ou regulatórias, para execução de contrato ou para exercício regular de direitos em processo.

Entender esses cenários é crucial para garantir a conformidade e segurança na manipulação internacional de dados pessoais.

Transferência para Países com Nível de Proteção Diferente do Brasil

Quando a transferência envolve países com níveis de proteção de dados diferentes do Brasil, a LGPD exige que a organização brasileira adote medidas adicionais para garantir a segurança dos dados transferidos. Isso pode incluir a celebração de contratos ou acordos que estabeleçam garantias de proteção adequadas através de cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos

Cuidados na Celebração de Contratos e Parcerias com Organizações Estrangeiras

Ao celebrar contratos e parcerias com organizações estrangeiras, é essencial considerar aspectos de proteção de dados. Recomenda-se a inclusão de cláusulas específicas sobre a conformidade com a LGPD e a garantia de que a organização estrangeira adote medidas adequadas de segurança e privacidade dos dados.

Regulamento de Transferências Internacionais de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por regulamentar as transferências internacionais de dados pessoais. Ela disponibiliza um modelo disponível no Anexo II do Regulamento de cláusulas-padrão contratuais que pode ser adotado pelas organizações para garantir a conformidade com a LGPD ao transferir dados internacionalmente.

Cláusulas-Padrão Contratuais (Data Protection Agreements ou DPAs)

As cláusulas-padrão contratuais, também conhecidas como DPAs, são uma ferramenta fundamental para garantir a conformidade com a LGPD ao transferir dados internacionalmente. Essas cláusulas são modelos predefinidos que estabelecem as obrigações das partes envolvidas na transferência e a proteção dos dados pessoais e estão previstas no Anexo II do Regulamento acima mencionado.

Normas Corporativas Globais (Binding Corporate Rules ou BCRs)

Além das cláusulas-padrão contratuais, as organizações podem considerar a implementação de Normas Corporativas Globais (BCRs). Essas regras internas estabelecem diretrizes globais para o tratamento de dados pessoais, garantindo que as filiais em diferentes países atendam aos padrões de proteção de dados.

Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são instrumentos contratuais personalizados que estabelecem compromissos claros entre o controlador dos dados (na origem) e o destinatário estrangeiro. Essas cláusulas visam garantir que o destinatário adote medidas adequadas de proteção de dados, alinhadas aos princípios e direitos previstos na LGPD. A verificação de tais cláusulas será realizada pela ANPD, nos termos do Regulamento específico.

Casos Práticos

Para ilustrar a importância dessas práticas, consideremos um caso prático: uma empresa brasileira que precisa transferir dados de seus clientes para os servidores de uma empresa localizada nos Estados Unidos. Nesse cenário, a empresa brasileira deve obter o consentimento dos clientes ou utilizar cláusulas-padrão contratuais para garantir a conformidade com a LGPD.

Outros exemplos de transferência internacional de dados são o compartilhamento de base de dados entre empresas do mesmo grupo econômico, armazenamento de dados em data centers localizados no exterior e contratação de provedor de computação em serviço de nuvem.

Conclusão

A transferência internacional de dados é uma realidade para muitas organizações, mas a LGPD estabelece diretrizes rígidas para garantir a proteção dos dados pessoais dos cidadãos brasileiros. É crucial que as empresas estejam cientes das permissões e obrigações estabelecidas pela LGPD ao transferir dados para o exterior. Ao seguir as melhores práticas, como a utilização de cláusulas-padrão contratuais e o modelo da ANPD, as organizações podem cumprir suas obrigações legais e proteger os direitos dos titulares dos dados. Em um mundo cada vez mais conectado, a conformidade com a LGPD na transferência internacional de dados é essencial para manter a confiança dos clientes e evitar possíveis sanções legais.

Referências:

• Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
• Autoridade Nacional de Proteção de Dados (ANPD)
• Regulamento de Transferências Internacionais de Dados Pessoais e do modelo de Cláusulas-Padrão Contratuais (ANPD)
• Autoridade Europeia de Proteção de Dados – Regulamento Geral de Proteção de Dados (GDPR)
• Guia de Proteção de Dados Pessoais Transferência Internacional (FGV).

The post LGPD e Transferência Internacional de Dados appeared first on Avinto.