Transferência Internacional de Dados

1. Objetivo e Escopo

A Resolução CD/ANPD nº 19/2024 estabelece as regras específicas para a transferência internacional de dados pessoais no Brasil, complementando a Lei Geral de Proteção de Dados (LGPD). Seu objetivo é assegurar que os dados pessoais transferidos para fora do território nacional sejam protegidos de maneira equivalente à proteção garantida pela legislação brasileira. Esta resolução aplica-se a todas as operações de transferência internacional de dados, independentemente do setor de atuação da empresa ou da natureza dos dados tratados.

As transferências internacionais serão consideradas lícitas quando:

• Tiverem como destino país ou organismo internacional considerado adequado pela ANPD;
• Quando forem viabilizadas por instrumentos contratuais adequados, ou seja, mediante cláusula-padrão contratual, cláusula específica e normas corporativas globais; ou
• Encontrarem amparo em outras hipóteses legais previstas no artigo 33 da LGPD.

2. Diretrizes

Para a transferência internacional de dados ser realizada de maneira legal, é necessário observar um conjunto de diretrizes que assegurem a conformidade com a LGPD. Entre as principais diretrizes, destacam-se:

1. Garantia de proteção equivalente: Os países ou organizações internacionais destinatários dos dados devem oferecer um nível de proteção de dados pessoais equivalente ao previsto na legislação nacional, conforme avaliado pela Autoridade Nacional de Proteção de Dados (ANPD).
2. Legalidade e transparência: Todas as operações de transferência devem ser documentadas e comunicadas de forma transparente aos titulares dos dados, garantindo o cumprimento dos princípios da LGPD.
3. Segurança na transferência: Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados durante a transferência.

3. Transferência Internacional de Dados

3.1 Requisitos Gerais

A transferência internacional de dados ocorre quando há transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Exemplos de situações cotidianas no ambiente empresarial que podem envolver a transferência internacional de dados incluem:

• Utilização de uma plataforma de videoconferência internacional para reuniões empresariais, onde informações sensíveis são trocadas e armazenadas em servidores no exterior;
• Integração de sistemas financeiros entre a sede e suas filiais em diferentes países, onde informações fiscais e contábeis são compartilhadas;
• Armazenamento de arquivos em servidores de backup localizados fora do Brasil, como parte da estratégia de continuidade de negócios;
• Outsourcing de serviços de suporte técnico para uma empresa com sede no exterior, que acessa dados de clientes para resolução de problemas;
• Contratação de um fornecedor de CRM (Customer Relationship Management) baseado em outro país, que gerencia dados de clientes e vendas.

3.2 Caracterização da Transferência Internacional de Dados

A transferência internacional de dados ocorre quando há a transferência de dados pessoais para agente de tratamento localizado em país estrangeiro ou que seja organismo internacional.

Isso inclui, por exemplo, o armazenamento em servidores localizados no exterior ou o compartilhamento de dados com uma filial internacional de uma empresa.

📢 Atenção
A coleta internacional de dados, assim definida a obtenção direta de dados pessoais do titular por um agente de tratamento situado no exterior, não é considerada transferência internacional de dados. No entanto, essa coleta deve estar em conformidade com as disposições da LGPD, especialmente quando o tratamento for realizado no território nacional, quando o objetivo for oferecer bens ou serviços aos titulares de dados localizados no Brasil ou, ainda, quando os dados coletados dirão respeito a indivíduos no Brasil.

3.3 Aplicação da Legislação Nacional de Proteção de Dados Pessoais

Via de regra, a LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada em território nacional, independentemente de onde os dados sejam armazenados ou tratados posteriormente. Assim, mesmo em casos de transferência internacional, as exigências da LGPD devem ser rigorosamente seguidas.

3.4 Hipótese Legal e Mecanismo de Transferência

A transferência internacional de dados deve ser conduzida de maneira rigorosa, garantindo que os dados pessoais sejam tratados para fins legítimos, específicos, explícitos e previamente informados ao titular. A continuidade do tratamento deve ser compatível com as finalidades originais, evitando qualquer desvio de propósito. Para que essa transferência ocorra legalmente, é necessário que ela se baseie em uma das hipóteses legais estabelecidas na LGPD e utilize um dos mecanismos de transferência válidos. Esses mecanismos incluem a transferência para países ou organismos internacionais reconhecidos pela ANPD como possuidores de um grau adequado de proteção de dados, a utilização de cláusulas-padrão contratuais, normas corporativas globais, ou outras hipóteses previstas na LGPD. Além disso, a transferência deve ser restrita ao mínimo necessário, assegurando que os dados transferidos sejam pertinentes, proporcionais e não excessivos em relação às finalidades específicas do tratamento.

4. Decisão de Adequação

A decisão de adequação é um instrumento utilizado pela ANPD para reconhecer que um país ou organização internacional possui um nível de proteção de dados pessoais equivalente ao exigido pela LGPD. Os critérios avaliados incluem:

• Normas gerais de proteção de dados: Existência de uma legislação de proteção de dados robusta e abrangente.
• Direitos dos titulares: Garantias legais para que os titulares possam exercer seus direitos de forma efetiva.
• Supervisão independente: Presença de uma autoridade de proteção de dados independente e com poder para aplicar sanções.

Assim, a emissão de uma decisão de adequação pela ANPD permite a transferência de dados pessoais para o país ou organização internacional avaliado, sem necessidade de mecanismos adicionais de proteção. Consultores devem acompanhar as decisões da ANPD para orientar adequadamente seus clientes sobre os países considerados adequados.

5. Cláusulas-Padrão Contratuais

5.1 Medidas de Transparência

As cláusulas-padrão contratuais são cláusulas aprovadas pela ANPD que estabelecem obrigações específicas para as partes envolvidas na transferência de dados, garantindo que os dados sejam tratados de acordo com a LGPD. Entre as medidas de transparência, destacam-se:

• Informações claras: Detalhamento das partes envolvidas, finalidade da transferência e direitos dos titulares.
• Responsabilidades definidas: Estabelecimento das obrigações de cada parte em relação à proteção dos dados.

Minuta de Contrato com Cláusulas-Padrão Contratuais para Transferência Internacional

Para auxiliar os agentes de tratamento no cumprimento das diretrizes estabelecidas pela LGPD, segue minuta de contrato com cláusulas-padrão contratuais para transferência internacional conforme aprovadas pela ANPD que pode ser utilizado e adaptado às necessidades específicas de cada organização:

Cláusulas-Padrão Contratuais

5.2 Cláusulas-Padrão Contratuais Equivalentes

Além das cláusulas-padrão aprovadas pela ANPD, é possível utilizar cláusulas contratuais equivalentes, desde que elas ofereçam garantias de proteção de dados similares ou superiores. Essas cláusulas devem ser submetidas à aprovação da ANPD.

6. Cláusulas Contratuais Específicas

As cláusulas contratuais específicas são utilizadas para situações onde as cláusulas-padrão não são aplicáveis ou não cobrem todos os aspectos da transferência de dados. Essas cláusulas devem ser desenhadas de forma a garantir que a proteção de dados seja mantida em todas as etapas do processo, e devem ser aprovadas pela ANPD antes de serem implementadas.

7. Das Normas Corporativas Globais

As normas corporativas globais (BCRs – Binding Corporate Rules) são políticas internas de proteção de dados adotadas por grupos empresariais multinacionais. As BCRs garantem que todas as empresas do grupo sigam os mesmos padrões de proteção de dados, independentemente do país onde estão localizadas. A adoção de BCRs pode facilitar a transferência internacional de dados dentro de um grupo empresarial, desde que elas sejam aprovadas pela ANPD.

8. Disposições Comuns às Cláusulas Contratuais Específicas e Normas Corporativas Globais

8.1 Medidas de Transparência

Tanto as cláusulas contratuais específicas quanto as normas corporativas globais devem incluir medidas de transparência, garantindo que os titulares sejam informados sobre como seus dados serão tratados. Isso inclui:

• Comunicação clara e acessível: O controlador deve publicar em seu site um documento em linguagem simples que explique a transferência internacional de dados.
• Informação: O controlador deve fornecer ao titular, mediante solicitação, a íntegra das cláusulas contratuais específicas ou das normas corporativas globais.
• Atualizações regulares: Notificação aos titulares sobre qualquer mudança significativa nas práticas de tratamento de dados.

8.2 Alterações

Qualquer alteração nas cláusulas contratuais específicas ou nas normas corporativas globais deve ser comunicada à ANPD e aos titulares dos dados. É importante que as mudanças não reduzam o nível de proteção originalmente acordado.

Conclusão

A conformidade com as normas de transferência internacional de dados exige atenção cuidadosa às diretrizes e requisitos estabelecidos pela LGPD e pela ANPD. Um bom software LGPD pode auxiliar nessa missão, facilitando a implementação e manutenção da adequação em privacidade e proteção de dados. Para consultores e especialistas em privacidade, é essencial estar atualizado e garantir que as práticas adotadas por seus clientes estejam em conformidade com a legislação, oferecendo proteção adequada aos dados pessoais em todos os momentos.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD)
• Resolução CD/ANPD nº 19/2024