Este Regulamento traz uma série de normas para assegurar que as transferências de dados internacionais ocorram com segurança, e em conformidade com os direitos dos titulares e proteção compatível com a LGPD, incentivando um fluxo de dados globais mais confiável e consistente em termos de proteção de dados.
A transferência internacional de dados só é autorizada para fins legítimos, específicos, explícitos e informados ao titular, não sendo permitido o uso dos dados para finalidades posteriores que sejam incompatíveis com as inicialmente informadas. Além disso, a transferência internacional de dados deverá se limitar ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados e respaldo por uma das bases legais previstas nos artigos 7º e 11º da LGPD, além de uso de um mecanismo adequado previsto no artigo 33 da LGPD.
O Regulamento não impede transferências com base em outras hipóteses previstas no artigo 33 da LGPD e que não dependiam de regulamentação, tais como (i) para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional, (ii) para a proteção da vida ou da incolumidade física do titular ou de terceiro, (iii) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, (iv) quando o titular tiver fornecido seu consentimento específico e em destaque para tal transferência, (v) quando necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, (vi) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, (vii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, entre outras hipóteses.
A escolha pelo mecanismo mais adequado depende do cumprimento dos requisitos legais de cada hipótese e da observância das particularidades de cada caso.
No entanto, os seguintes mecanismos ganham efetividade neste momento com a Resolução:
-
Cláusulas-padrão contratuais. As cláusulas contratuais padrão aprovadas pela ANPD estabelecem garantias mínimas e condições para transferências internacionais de dados. O Anexo II do Regulamento contém o texto dessas cláusulas padrão, permitindo que se adaptem às funções do exportador e do importador, sejam eles controladores ou operadores. Dada a facilidade de sua implementação (já que não depende de outras aprovações da ANPD e têm conteúdo fixo), tais cláusulas tendem a ser amplamente utilizadas. No entanto, importante avaliar, caso a caso, a sua pertinência. Além de implementar tais cláusulas, quando aplicáveis, o controlador deve assegurar transparência ao titular, incluindo a obrigação de (i) fornecer, caso solicitado, o texto completo das cláusulas contratuais utilizadas, respeitando os segredos comercial e industrial e (ii) publicar em seu site, em uma página específica ou dentro da Política de Privacidade, informações claras e acessíveis sobre a transferência internacional de dados, como detalhes sobre a finalidade, duração, país de destino e os direitos do titular.
Os agentes de tratamento que utilizam cláusulas contratuais para transferências internacionais de dados têm um período de até 12 meses, contados a partir da data de publicação, para atualizar seus contratos com as cláusulas-padrão aprovadas pela ANPD. As cláusulas devem ser utilizadas em sua integralidade.
A ANPD poderá reconhecer a equivalência de cláusulas padrão contratuais de outros países com as cláusulas padrão do Brasil, o que evitará que mais de uma cláusula padrão aplicável para determinado agente de tratamento tenha que ser firmada.
-
Cláusulas contratuais específicas. Trata-se de mecanismo residual. Essas cláusulas são permitidas quando as cláusulas-padrão não são viáveis devido a circunstâncias excepcionais. Elas podem ser criadas pelo agente de tratamento, mas devem ser previamente submetidas à aprovação da ANPD. A ANPD analisará (i) se as cláusulas específicas são compatíveis com a LGPD, garantem sua aplicabilidade e se asseguram um nível de proteção de dados equivalente ao das cláusulas-padrão nacionais; e (ii) os riscos e benefícios envolvidos, além dos impactos no fluxo internacional de dados, nas relações diplomáticas, no comércio e na cooperação internacional. Ao submeter cláusulas para aprovação da ANPD, o controlador deve adotar, sempre que possível, a redação das cláusulas-padrão e justificar a necessidade das cláusulas específicas.
-
Normas corporativas globais. Destinadas para transferências internacionais de dados entre organizações de um mesmo grupo ou conglomerado empresarial, vinculando os membros do grupo que a subscreverem. Tais normas tem o seu conteúdo mínimo fixado pela Resolução, incluindo a descrição das transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados a identificação dos países para os quais os dados podem ser transferidos, delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável. Ademais, tais normas devem estar integradas a um programa de governança em privacidade que atenda às exigências da LGPD. As normas corporativas globais deverão ser submetidas à aprovação da ANPD para poderem ser utilizadas.
Além de tais mecanismos, a Resolução também traz os parâmetros a serem futuramente avaliados pela ANPD para proferir uma Decisão de Adequação. A Decisão de Adequação é o meio por meio do qual a ANPD reconhece a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais. Como efeito prático, deixa de ser necessário aos agentes de tratamento que transfiram dados pessoais para tais países apontados como adequados a necessidade de aplicar outro mecanismo de transferência internacional. No entanto, considerando o dever geral de o controlador e o operador que transfiram tais dados, adotarem medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado, importante que haja cláusulas nos contratos que disponham sobre a proteção de dados pessoais.
Na análise desse nível de proteção do país terceiro, a ANPD considerará fatores como (i) as normas gerais e específicas do país de destino ou do organismo internacional, (ii) a natureza dos dados, (iii) a conformidade com os princípios de proteção de dados e os direitos dos titulares, (iv) as medidas de segurança implementadas, (v) as garantias judiciais e institucionais, incluindo a existência de um órgão regulador independente, e (vi) outras circunstâncias específicas relacionadas à transferência. O procedimento para a emissão da decisão de adequação pela ANPD pode ser iniciado pelo Conselho Diretor ou por solicitação de determinadas entidades públicas, sendo instruído pela área técnica competente e sujeito à deliberação final pelo Conselho. A decisão de adequação será divulgada no site da ANPD oportunamente.
Para acessar o Regulamento publicado pela ANPD clique aqui.
