ANPD: o regulamento define diretrizes precisas para as situações previstas no artigo 33 da LGPD e concede um prazo de 12 meses para que os Agentes de tratamento ajustem os contratos vigentes.
Por Lucas Ferreira.
—
Legale, n. 903.
Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD / ANPD n. 19, de 2024, que regula as transferências internacionais de dados pessoais. Este regulamento estabelece diretrizes claras para as hipóteses previstas no Artigo 33 da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei 13.709, de 2018), que requerem um pronunciamento específico da ANPD: decisão de adequação, cláusulas contratuais específicas, cláusulas-padrão contratuais e normas corporativas globais.
O regulamento determina que tanto o Controlador quanto o Operador são responsáveis por comprovar o cumprimento das diretrizes estabelecidas. Portanto, se um Operador estrangeiro receber dados pessoais do Brasil como importador, ele também deve documentar a transferência e assegurar sua conformidade com a LGPD.
O tema é complexo, e gera diversas novas obrigações ao Controlador (empresa), portanto, o descumprimento também sujeitará, aos desconformes, às tão temidas penalidades, com destaque para a sanção pecuniária, que pode atingir 50 milhões de reais diários.
Transferência Internacional — Conceito
O regulamento abrange as transferências internacionais que envolvam:
■ Transferências de dados pessoais (transmissão, compartilhamento ou concessão de acesso) do Brasil para o exterior;
■ Transferências entre países estrangeiros, quando:
(a) a atividade de tratamento tiver como objetivo a oferta ou o fornecimento de bens ou serviços no Brasil;
(b) a atividade de tratamento tiver como alvo dados de indivíduos localizados no Brasil; e;
(c) os dados pessoais forem coletados em território brasileiro.
Este conceito amplia o entendimento comum sobre transferências internacionais, pois inclui, por exemplo, compartilhamentos de dados entre dois países estrangeiros para traçar o perfil de crédito de uma pessoa estabelecida no Brasil. Esse cenário exige a utilização de um dos mecanismos previstos no artigo 33 da LGPD, aumentando o rigor da conformidade exigida pela ANPD.
Entretanto, o regulamento exclui do escopo de transferências internacionais:
■ o mero acesso a dados pessoais localizados no Brasil a partir do exterior; e
■ a coleta de dados pessoais diretamente do titular localizado no Brasil a partir de um país estrangeiro.
Nos casos em que o acesso ou a coleta não configuram uma transferência internacional segundo a LGPD, os agentes estrangeiros devem estar atentos à possível aplicação extraterritorial da LGPD, conforme previsto no artigo 3º da Lei.
Mecanismos Adequados de Transferência Internacional
Decisões de Adequação — A Primeira Hipótese
O regulamento estabelece critérios rigorosos para que a ANPD analise a equivalência do nível de proteção de dados pessoais de um país estrangeiro ou organismo internacional com a legislação brasileira, conforme determina o artigo 33, inciso I da LGPD. Até a data deste artigo, nenhuma decisão foi proferida. No entanto, esse movimento é essencial, especialmente no que diz respeito ao reconhecimento da União Europeia como adequada, uma vez que a LGPD é baseada na GDPR, e considerando também os países com intenso fluxo comercial e diplomático com o Brasil. Necessário destacarmos que somente pessoas jurídicas de direito público tem legitimidade para demandar instauração de um processo de reconhecimento de uma jurisdição como apta e segura aos processos de transferência internacional.
Em complemento ao artigo 33 da LGPD, o regulamento tratou das hipóteses descritas no inciso II, em relação às cláusulas-padrão contratuais, normas corporativas globais, e cláusulas contratuais específicas, apresentando o seguinte entendimento:
(a) Cláusulas — Padrão Contratuais
As 24 cláusulas-padrão contratuais anexadas ao regulamento devem ser adotadas integralmente, sem modificação. Elas podem ser incluídas em um acordo específico para transferência internacional ou em um contrato mais amplo, desde que nenhuma outra disposição do contrato contradiga ou modifique o conteúdo das cláusulas-padrão. A ANPD pode reconhecer cláusulas-padrão de outros países ou organismos internacionais como equivalentes, o que pode evitar a necessidade de alterações em contratos existentes que possuam essas cláusulas. No entanto, a elaboração de cláusulas diferentes das determinadas no regulamento exige validação prévia da ANPD, o que pode tornar o processo mais lento. A vantagem é que as cláusulas aprovadas pela ANPD poderão ser utilizadas por terceiros.
(b) Normas Corporativas Globais
Destinadas às transferências internacionais entre organizações do mesmo grupo econômico, as normas corporativas globais devem atender a requisitos formais e vincular todos os membros que as subscrevem. A ANPD pode realizar diligências para verificar as operações de tratamento de dados pessoais, além de exigir documentos e informações adicionais. Nesse sentido, é de suma importância que o Controlador (empresa), ao demandar a validação das normas, seja capaz de garantir que todos os seus processos foram devidamente mapeados, os riscos descobertos, tratados ou em tratamento, e que todas as políticas aplicáveis, e boas práticas previstas na LGPD são efetivamente cumpridas.
(c) Cláusulas Contratuais Específicas
O Controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas, que devem determinar todas as garantias adequadas quanto ao cumprimento dos princípios da LGPD. Essa aprovação só é requerida quando as cláusulas-padrão não puderem ser adotadas por circunstâncias excepcionais, comprovadas na apresentação da demanda à ANPD.
Restou, contudo, pendente, discorrer sobre a hipótese descrita na alínea «d» do Artigo 33, que trata dos selos, certificados, e códigos de conduta regularmente emitidos.
Medidas Específicas de Transparência aos Titulares
O regulamento exige um novo aviso ou política de privacidade específica para transferências internacionais, disponível na internet em língua portuguesa, de forma simples e acessível. Esse aviso deve incluir informações detalhadas sobre as transferências internacionais realizadas, os países de destino, as medidas de segurança adotadas e os direitos dos titulares. Devem ser destacados:
■ as formas, durações e finalidades específicas das transferências internacionais realizadas;
■ os países de destino dos dados pessoais;
■ a identificação e os contatos dos controladores;
■ informações sobre o compartilhamento de dados pelo controlador e as finalidades;
■ as responsabilidades dos Agentes que realizam o tratamento;
■ identificando se os destinatários são controladores e / ou operadores;
■ as medidas de segurança adotadas nessa transferência internacional;
■ os direitos dos titulares, por meio de canal de fácil acesso; e
■ alientar o direito do titular de peticionar à ANPD contra o controlador.
Distintamente das alterações contratuais, que demandam maior complexidade e possíveis complementos futuros pela ANPD, as atualizações da política de privacidade devem ser realizadas o quanto antes, uma vez que, a partir do dia da publicação do regulamento, também serão alvo de sanções, no caso de inconformidade. Por isso, é indispensável a avaliação do tema, junto aos demais departamentos, para realização das adaptações demandadas pela publicação do regulamento.
Prazo de Adequação das Cláusulas-Padrão Contratuais
A publicação das cláusulas-padrão contratuais pela ANPD marca um avanço importante. O regulamento concede um prazo de 12 meses para que os Agentes de Tratamento adaptem os contratos vigentes, incluindo as novas cláusulas por meio de aditivo, com data limite em 23 de agosto de 2025.
Conclusão
A norma impõe uma série de obrigações complexas e de longas discussões para Controladores e Operadores na implementação dos mecanismos mencionados e nas exigências relacionadas à transparência.
É de extrema relevância que os controladores avaliem os riscos envolvidos na legislação dos países destinatários, seguindo a prática já comum aos países submetidos à GDPR.
Resta, agora, acompanhar as próximas movimentações da ANPD em relação a publicação dos países considerados seguros, no que tange a transferência internacional de dados, e o início dos trabalhos para mapear as informações necessárias às adequações demandadas pelo regulamento.
―
Análise Advocacia destaca Tributário Vaz de Almeida, liderado por Mauricio Nucci, como referência do mercado >
Análise Advocacia reconhece, pela 8ª vez, VAA como um dos «Escritórios Mais Admirados do Brasil» >
Julhi Bonespírito e Amanda Duarte são destaques no anuário Análise Advocacia Mulher 2024 >
Vaz de Almeida figura entre os Escritórios de Advocacia Mais Premiados do Brasil em 2023 >
Amanda Duarte recebe o reconhecimento Thomson Reuters Stand-Out Lawyer 2023 e 2024 >
Amanda Duarte é eleita, pela 2ª vez, uma das «Advogadas Mais Admiradas do Brasil» >
Vaz de Almeida segue entre os escritórios mais admirados na Advocacia Regional >
VAA é finalista do Prêmio Análise DNA+ FenaLaw 2023 >
—
Pessoas e Comunidade >
Conheça os nossos líderes >
Prêmios, Selos e Reconhecimentos >
Notícias: conteúdo de qualidade no nosso portal >
—
«Autoridade legal com elegância, desde 2001.»
—
Tributário >
Corporativo >
Relações do Setor Automotivo >
Prevenção e Resolução de Conflitos >
Relações de Trabalho, Mobilidade Global e Gestão de Pessoas >
Propriedade Intelectual >
ESG, Ambiental e Sustentabilidade >
Inovação, Direito Digital e Cibersegurança >
Infraestrutura, Imobiliário e Construção Civil >
Direito Administrativo, Direito Público e Regulatório >
—
Nossas publicações têm o objetivo de comunicar a perspectiva legal dos acontecimentos e prover contexto aos fatos jurídicos mais relevantes que podem influenciar companhias e organizações. Casos em concreto demandam atenção técnica personalizada sobre os fatos, e devem obter assessoria jurídica sob medida antes da adoção de qualquer providência legal ou paralegal. Se você, sua empresa ou o conselho de acionistas de sua organização precisam de aconselhamento, entre em contato com o advogado de sua confiança.
«Legale», «Artigo», «Especial», «Painel Tributário», «Temas Tributários» e «Notícias & Alertas» são informativos periódicos e constituem uma prestação de serviços à comunidade empresarial. Os conteúdos podem dispor de links para websites de terceiros, a fim de facilitar o acesso dos nossos seguidores e assinantes aos serviços e publicações referidos. Não nos responsabilizamos, entretanto, pela integridade destes links, que podem apresentar problemas como indisponibilidade de acesso em razão de falhas em seus servidores, acidentes nos sistemas de rede, fragilidades em seus mecanismos de segurança, entre outros.
—
Livre de Inteligência Artificial / Este conteúdo e imagem relacionada não foram gerados por IAs.
—
Fale com o Editor >
—
+55 19 3252-4324
Barão de Itapura, 2323
8° andar, Guanabara
Campinas, SP
Brasil