A transferência internacional de dados pessoais continua sendo um dos temas mais desafiadores no cenário global da proteção de dados, à medida que o fluxo de informações entre fronteiras se intensifica. A Resolução CD/ANPD nº 19/2024, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), introduz regras detalhadas para regular essas transferências no Brasil, buscando compatibilizar-se com regulamentos internacionais como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e as legislações dos Estados Unidos, como o California Consumer Privacy Act (CCPA) e o recente EU-US Data Privacy Framework.
A nova Resolução da ANPD nº 19/2024 estabelece critérios e mecanismos para que as transferências internacionais de dados respeitem a Lei Geral de Proteção de Dados (LGPD). Embora tenha semelhanças com as regulamentações europeias e americanas, apresenta nuances próprias que moldam o cenário de proteção de dados no Brasil.
Países com Nível Adequado de Proteção
A Resolução nº 19/2024, assim como o GDPR na Europa, permite a transferência de dados para países que oferecem um nível adequado de proteção. Enquanto a Comissão Europeia já reconheceu países como Japão e Reino Unido como adequados, a ANPD, apesar de realizar sua própria análise de adequação, não reconheceu formalmente nenhum país como adequado. Essa análise considera aspectos como a legislação de proteção de dados do país receptor, a eficácia das autoridades reguladoras, o respeito aos direitos dos titulares, dentre outros[1].
Considerando que hoje no Brasil, ainda não houve nenhum reconhecimento de país oferecendo níveis adequados, as empresas que desejam transferir dados pessoais para outros países precisam utilizar um dos mecanismos previstos na Resolução 19, como cláusulas contratuais padrão (SCCs) e Regras Corporativas Globais (RGCs).
Cláusulas Contratuais Padrão (SCCs)
Um dos mecanismos mais comuns para transferências internacionais são as Cláusulas Contratuais Padrão (SCCs). O GDPR já consolidou essas cláusulas como uma ferramenta essencial para garantir que as transferências de dados pessoais para países fora da União Europeia ocorram de forma segura. Essas SCCs especificam obrigações claras para exportadores e importadores de dados, assegurando que as práticas de tratamento de dados estejam em conformidade com os princípios de proteção de dados.De maneira semelhante, a ANPD publicou as suas próprias SCCs na Resolução nº 19, que devem ser incorporadas aos contratos celebrados entre controladores ou operadores no Brasil e seus parceiros estrangeiros. Este passo alinha o Brasil às práticas globais, proporcionando um caminho padronizado para garantir a conformidade da transferência de dados, independentemente do destino.
Uma das disposições mais importantes da Resolução é que as SCCs devem ser aplicadas sem qualquer alteração[1], conforme estabelecido no anexo da norma. Isso significa que as empresas que optarem por utilizar esse mecanismo não podem modificar o conteúdo das cláusulas, salvo quando houver autorização expressa da ANPD para adaptações específicas e devem estar preparadas e com Programe de Governança dos dados pessoais implementados para poder cumprir com as SCCs.
Regras Corporativas Globais (Binding Corporate Rules – BCRs)
Tanto a União Europeia quanto o Brasil, com a Resolução nº 19, reconhecem as Regras Corporativas Globais (BCRs) como um mecanismo eficiente para transferências intragrupo. Empresas multinacionais que implementam BCRs demonstram um compromisso com um nível uniforme de proteção de dados, aplicável a todas as suas subsidiárias, independentemente da localização geográfica.
Para uma empresa no Brasil com sede na Europa, as principais disposições da Resolução incluem a necessidade de adoção e aprovação das BCRs pela ANPD, garantindo que essas regras estejam alinhadas com os princípios da LGPD e proporcionem um nível adequado de proteção aos dados pessoais transferidos entre entidades do mesmo grupo empresarial. As BCRs facilitam a transferência segura de dados entre filiais e subsidiárias localizadas em diferentes países, como Brasil e Europa, sem a necessidade de avaliações de conformidade para cada transação individual.
Além disso, as BCRs devem assegurar que os direitos dos titulares de dados, como acesso, correção e exclusão, sejam respeitados em todas as entidades do grupo, independentemente da jurisdição. As empresas devem estabelecer mecanismos claros e transparentes para atender a essas demandas dos titulares, garantindo a proteção dos dados ao longo de todo o processo. As regras também determinam a responsabilidade e governança no tratamento dos dados, incluindo a implementação de um encarregado pelo tratamento de dados (DPO) e a criação de políticas internas robustas para proteção de dados em todas as unidades da empresa.
A ANPD também desempenha um papel de supervisão das BCRs, podendo exigir auditorias e solicitações de informações adicionais para garantir que a proteção dos dados pessoais esteja sendo devidamente implementada e monitorada em todas as operações internacionais da empresa.
Garantias Contratuais Adicionais e Mecanismos de Transferência
Além das SCCs e BCRs, tanto a Resolução nº 19 quanto o GDPR permitem o uso de outras garantias contratuais ou mecanismos, como códigos de conduta ou certificações, desde que esses mecanismos ofereçam proteções equivalentes aos direitos assegurados pela legislação. A ANPD incentiva a adoção de práticas documentadas e auditáveis, para que os controladores e operadores possam demonstrar conformidade com a LGPD durante as transferências internacionais de dados.
ConclusãoA Resolução CD/ANPD nº 19/2024 é um marco importante para a proteção de dados no Brasil no contexto de transferências internacionais. A regulamentação busca equilibrar as melhores
práticas globais, como as implementadas na União Europeia por meio do GDPR, ao mesmo tempo em que responde às especificidades do cenário brasileiro.
O Data Team do GT Lawyers está à disposição para acompanhar os desdobramentos da Resolução nº 19/2024 e auxiliar as empresas em todos os aspectos relacionados às transferências internacionais de dados.
Vide art. 11 da Resolução n. 19/2024: “A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração: I – as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018; IV – a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência.”
Vide art. 16 da Resolução n. 19/2024: “A validade da transferência internacional de dados, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto disponibilizado no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.”
