Desde o dia 23 de agosto está em vigor a Resolução CD/ANPD nº 19/2024, pela qual a ANPD aprovou o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. Esse tema é um dos itens da Fase 1 da Agenda Regulatória da ANPD para 2023-2024, sendo, portanto, prioritário.
A LGPD trata do tema transferência internacional de dados nos seus artigos 33 a 36, permitindo-a por meio de nove mecanismos, dos quais apenas dois são objeto de regulamentação pela Res. CD/ANPD nº 19/2024:
- Transferência internacional de dados para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
- Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais; ou
c) normas corporativas globais;
No segundo mecanismo acima, a Resolução não incluiu o item “d) selos, certificados e códigos de conduta regularmente emitidos” (LGPD, art. 33, II, d). As demais hipóteses de transferência internacional não tratadas pela nova Resolução poderão ser realizadas, desde que não dependam de regulamentação e que observem os requisitos legais e as necessidades do caso concreto.
A seguir, analisamos aspectos do Regulamento sobre Transferência internacional de dados pessoas, para, em seguida, analisarmos os itens relevantes da Res. CD/ANPD nº 19/2024 sobre Cláusulas-padrão contratuais, Cláusulas contratuais específicas e Normas Corporativas Globais.
A Resolução insere para o controlador a responsabilidade de verificar se a operação de tratamento de dados: (i) caracteriza transferência internacional; (ii) submete-se à legislação brasileira de proteção de dados; e (iii) se há tanto hipótese legal quanto mecanismo de transferência internacional válidos. Cada um desses itens é explicado a seguir.
1. Caracterização da transferência internacional de dados
A transferência internacional de dados se caracteriza quando o exportador transfere dados pessoais para o importador.
O Regulamento define transferência como a operação de tratamento pela qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento. A transferência internacional de dados é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Exportador é o agente de tratamento, localizado no território brasileiro ou em país estrangeiro, que transfere dados pessoais para importador. Importador é o agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por exportador.
Importante também considerar que coleta internacional de dados, que é simplesmente a coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado no exterior, ou seja, sem transferência de dados, não caracteriza transferência internacional.
2. Aplicação da legislação brasileira
A LGPD e o Regulamento se aplicam a uma transferência internacional de dados quando houver:
- Tratamento realizado no território brasileiro, com ressalva ao art. 4º, IV da LGPD e observado o art. 8º do Regulamento;
- Tratamento com objetivo de ofertar ou fornecer bens ou serviços ou tratar dados de indivíduos localizados no território brasileiro; ou
- Coleta, no território brasileiro, dos dados pessoais objeto do tratamento.
Quanto ao tratamento realizado no território brasileiro, o art. 8º do Regulamento dispõe que somente nos casos a seguir a LGPD não se aplica aos dados provenientes do exterior:
- Trânsito de dados pessoais, sem a ocorrência de comunicação ou uso compartilhado de dados com agente de tratamento situado em território brasileiro; ou
- Retorno dos dados pessoais, objeto de tratamento no território brasileiro, exclusivamente ao país ou organismo internacional de proveniência, desde que:
a) o país ou organismo internacional de proveniência proporcione grau de proteção de dados pessoais adequado, reconhecido por decisão da ANPD;
b) a legislação do país ou as normas aplicáveis ao organismo internacional de proveniência se apliquem à operação realizada; e
c) a situação específica e excepcional de não aplicação da LGPD esteja expressamente prevista na decisão de adequação referida na alínea "a".
Mesmo nos casos de não aplicação de LGPD, outras normas podem se aplicar e devem ser observadas, tais como leis e regulamentos sobre inviolabilidade e sigilo das comunicações, requisitos técnicos e de segurança e acesso a dados por autoridades públicas.
3. Hipótese legal e mecanismo de transferência
A transferência internacional de dados somente poderá ser realizada com fins legítimos, específicos, explícitos e informados ao titular. Não é possível tratamento posterior incompatível com essas finalidades. A transferência internacional deve, ainda:
- Amparar-se em uma das hipóteses legais previstas no art. 7º ou no art. 11 da LGPD ; e
- Usar um dos mecanismos válidos de realização da transferência internacional.
A transferência internacional de dados deverá se limitar ao mínimo necessário para atingir suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Decisão de adequação
A ANPD pode reconhecer equivalência, com a legislação brasileira, do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional. Essa avaliação levará em conta, além de circunstâncias específicas sobre a transferência:
- As normas gerais e setoriais em vigor, diretamente aplicáveis ou que gerem impactos relevantes sobre a proteção de dados pessoais no país de destino ou no organismo internacional;
- A natureza dos dados;
- A observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na LGPD;
- A adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; e
- A existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais, como, por exemplo, existência de órgão regulador independente.
Também serão levados em consideração os riscos e benefícios gerados pela decisão de adequação; os impactos sobre o fluxo internacional de dados e sobre as relações diplomáticas, o comércio internacional e a cooperação internacional brasileira com outros países e organismos internacionais.
Nessas análises pela ANPD, deverão ser priorizados países ou organismos internacionais que garantam tratamento recíproco ao Brasil e que possam viabilizar o livre fluxo de transferências internacionais.
A Resolução insere para o controlador a responsabilidade de verificar os três requisitos descritos anteriormente – caracterização da transferência internacional, submissão à legislação brasileira de proteção de dados e existência de hipótese legal e mecanismo de transferência internacional válidos. Já o operador prestará auxílio ao controlador fornecendo as informações de que dispuser e que forem necessárias para a verificação feita pelo controlador.
Tanto controlador quanto operador devem adotar medidas eficazes e aptas a comprovar observância e cumprimento das normas de proteção de dados pessoais, bem como a eficácia dessas medidas. Essas medidas devem ser compatíveis com o grau de risco do tratamento e com o mecanismo usado para a transferência internacional, o que depende de análise em cada caso concreto.
Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados têm o prazo de até 12 (doze) meses, contados de 23/8/2024, para incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos contratos.
CLÁUSULAS-PADRÃO CONTRATUAIS
A ANPD aprovou cláusulas-padrão contratuais, no Anexo II do Regulamento, com garantias mínimas e condições para realização de transferências internacionais de dados. A validade da transferência internacional de dados baseada nessas cláusulas pressupõe a adoção integral e sem alteração das cláusulas-padrão no Anexo II, e nada no contrato ou em contratos coligados poderá excluir, modificar ou contrariar, direta ou indiretamente, o conteúdo das cláusulas-padrão contratuais.
Essas cláusulas podem constar de contrato específico para reger a transferência ou mesmo de um contrato de objeto mais amplo, inclusive por meio de aditivo assinado pelo exportador e pelo importador de dados envolvidos na operação. Neste último caso, o aditivo deverá conter as Secções I (informações gerais), II (cláusulas mandatórias) e III (medidas de segurança) do Anexo II do Regulamento.
Como medidas de transparência, o regulamento exige que o controlador disponibilize ao titular, em caso de solicitação, a íntegra das cláusulas utilizadas para a transferência internacional de dados, respeitados segredos comercial e industrial, atendendo a esse pedido no prazo de 15 dias.
Adicionalmente, o controlador deverá publicar, em seu website, documento contendo informações em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados. Tal documento pode constar de página específica ou integrada à Política de Privacidade ou equivalente, de forma destacada e de fácil acesso, e deve incluir, no mínimo, o seguinte:
- Forma, duração e finalidade específica da transferência internacional;
- País de destino dos dados transferidos;
- Identificação e contatos do controlador;
- Uso compartilhado de dados pelo controlador e a finalidade;
- Responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e
- Direitos do titular e meios para o seu exercício.
Uma inovação é que a ANPD poderá reconhecer equivalência de cláusulas-padrão contratuais de outros países ou organismos internacionais. Dentre outros critérios, a decisão sobre equivalência levará em conta: (i) se as cláusulas são equivalentes com a LGPD e o Regulamento e se asseguram nível de proteção equivalente; e (ii) riscos e benefícios, bem como impactos sobre o fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil.
CLÁUSULAS CONTRATUAIS ESPECÍFICAS
O Regulamento permite que o controlador solicite à ANPD aprovação de cláusulas contratuais específicas. Estas podem ser aprovadas apenas quando o controlador puder comprovar que a transferência internacional não pode ser feita com base nas cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito.
Em todo caso, pressupõe-se que tais cláusulas sejam regidas pela legislação brasileira de proteção de dados e submetidas à fiscalização da ANPD. Dentre outros critérios, a decisão sobre equivalência levará em conta: (i) se as cláusulas são equivalentes com a LGPD e o Regulamento e se asseguram nível de proteção equivalente ao das cláusulas-padrão contratuais; e (ii) riscos e benefícios, bem como impactos quanto ao fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil.
Serão priorizadas as cláusulas específicas que também possam ser utilizadas por outros agentes de tratamento que realizam transferências internacionais de dados em situações parecidas.
NORMAS CORPORATIVAS GLOBAIS
O último mecanismo detalhado no Regulamento são as normas corporativas globais. Elas destinam-se às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas , vinculando os membros do grupo, sendo válidas apenas para organizações ou países abrangidos por essas normas.
As normas corporativas globais devem estar vinculadas a um programa de governança em privacidade e ser submetidas a aprovação pela ANPD. O conteúdo mínimo das normas corporativas globais deve abranger o seguinte:
- Descrição das transferências internacionais de dados, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, hipótese legal e tipos de titulares de dados;
- Identificação dos países para os quais os dados podem ser transferidos;
- Estrutura do grupo ou conglomerado de empresas, incluindo lista de entidades vinculadas, o papel de cada uma no tratamento e dados de contato de cada organização;
- Determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo ou conglomerado, inclusive para os funcionários;
- Delimitação de responsabilidades pelo tratamento, apontando a entidade responsável ;
- Indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício;
- Regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e
- Previsão de comunicação à ANPD em caso de alterações nas garantias relativas a proteção de dados previstas na LGPD, principalmente quando um dos membros do grupo ou conglomerado se sujeitar a regime legal de outro país que impeça o cumprimento das normas corporativas.
A equipe de Tecnologia, Mídia e Telecomunicações do Azevedo Sette Advogados acompanha o desenvolvimento deste tema e está à disposição para esclarecer dúvidas e fornecer contribuições sobre o assunto.
________________________________________________________________________________________________________________________
¹ As demais transferências previstas na LGPD são: (i) a necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (ii) a necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (iii) a autorizada pela ANPD; (iv) a que resulte em compromisso assumido em acordo de cooperação internacional; (v) a necessária para a execução de política pública ou atribuição legal do serviço público; (vi) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou (vii) quando necessário para atender as hipóteses previstas nos incisos II (cumprimento de obrigação legal ou regulatória), V (execução de contrato ou de procedimentos preliminares relativos a contrato de que seja parte o titular) e VI (exercício regular de direitos em processo judicial, administrativo ou arbitral) do art. 7º da LGPD.
² Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: [...]
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
³ As hipóteses legais do art. 7º da LGPD são: consentimento; cumprimento de obrigação legal ou regulatória pelo controlador; execução de políticas públicas pela administração pública; estudos por órgão de pesquisa; execução de contrato ou procedimentos preliminares; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física de titular ou de terceiro; tutela da saúde; legítimo interesse de controlador ou de terceiro; proteção do crédito.
[4] As hipóteses legais do art. 11 da LGPD dizem respeito ao tratamento de dados pessoais sensíveis: (i) consentimento específico e destacado para finalidades específicas; ou (ii) sem consentimento do titular, para: cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas; estudos por órgão de pesquisa, com anonimização garantida sempre que possível; exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde; garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
[5] Os mecanismos são:
a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD e em normas complementares, reconhecido por decisão de adequação pela ANPD;
b) cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas; o
c) nas hipóteses previstas nos incisos II, "d" (selos, certificados e códigos de conduta), e III a IX (outras sete hipóteses que autorizam transferência internacional de dados pessoais) do art. 33 da LGPD.
[7] O Regulamento define entidade responsável como a sociedade empresária, com sede no Brasil, que responde por qualquer violação de norma corporativa global, ainda que decorrente de ato praticado por um membro do grupo ou conglomerado de empresas com sede em outro país (Res. CD/ANPD 19/2024, art 3º, VII).