.svg)
Com o avanço da globalização das operações empresariais, a transferência internacional de dados pessoais tornou-se um tema central para garantir a segurança das informações em um mundo interconectado. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece requisitos para essas transferências, e as atualizações mais recentes da Autoridade Nacional de Proteção de Dados (ANPD), especialmente com a publicação da Resolução CD/ANPD nº 19/2024, trouxeram maior clareza e segurança jurídica para empresas que operam em mercados globais.
A aprovação das cláusulas contratuais padrão e a definição de regras para o reconhecimento da adequação de outras jurisdições possibilitam que empresas brasileiras se integrem aos fluxos globais de dados pessoais, representando um importante marco para o cenário de proteção de dados pessoais no país.
O Que é Considerado Transferência Internacional de Dados?
A transferência internacional de dados ocorre quando dados pessoais são enviados do Brasil para outro país ou para um organismo internacional. Isso pode acontecer em diversas operações, como a contratação de serviços de data centers no exterior ou o uso de plataformas digitais cujos servidores estão fora do Brasil. Segundo a LGPD, essas transferências só podem ocorrer se forem seguidas algumas condições específicas que garantam o nível de proteção adequado aos dados pessoais.
Regras para Transferências Internacionais segundo a LGPD
De acordo com a LGPD, as transferências internacionais de dados pessoais são permitidas em certas condições previstas nos artigos 33 a 36, que incluem:
Nível Adequado de Proteção: A transferência é permitida se o país destinatário garantir um nível de proteção de dados adequado ao previsto na legislação brasileira.
Cláusulas Contratuais-Padrão (CPCs): A ANPD aprovou modelos de cláusulas-padrão contratuais, que devem ser incluídas em contratos internacionais para assegurar que o tratamento de dados pessoais no país de destino seja compatível com as exigências da LGPD. Essas cláusulas não podem ser alteradas e devem ser implementadas integralmente.
Cláusulas Contratuais Específicas (CCEs): Caso as CPCs não possam ser utilizadas, as empresas podem solicitar à ANPD a aprovação de cláusulas específicas para a transferência. Essa aprovação só é concedida em situações excepcionais, e a empresa deve demonstrar que as CPCs são inviáveis em seu caso.
Normas Corporativas Globais (NCGs): Essas normas vinculantes são aplicáveis a grupos empresariais ou conglomerados, regulando a transferência de dados pessoais entre diferentes entidades dentro do mesmo grupo, desde que estejam em conformidade com os requisitos estabelecidos pela LGPD.
Transparência e Comunicação com os Titulares de Dados
Outro ponto importante trazido pela ANPD é a necessidade de maior transparência nas operações de transferência internacional de dados.
O controlador deve fornecer informações claras e acessíveis em seu site, incluindo a finalidade da transferência, o país de destino e os agentes de tratamento envolvidos. Além disso, o controlador deve disponibilizar ao titular de dados, quando solicitado, as cláusulas contratuais completas que regem a transferência, dentro de um prazo de 15 dias.
Prazos e Adaptação
As empresas que já realizam transferências internacionais de dados devem se adaptar às novas regras.
A Autoridade determinou que os agentes de tratamento que utilizam as CPCs terão até 12 meses, a partir de 23 de agosto de 2024 (data de publicação), para incorporar essas cláusulas em seus contratos. Caso não seja possível utilizar as CPCs, a empresa deve solicitar à ANPD a aprovação de cláusulas específicas ou normas corporativas globais.
No dia 26 de setembro, quinta-feira, às 13h, a ECOMPLY realizará um webinar sobre transferências internacionais de dados e as mais recentes atualizações da Autoridade Nacional. Aproveite esta oportunidade para se atualizar sobre as novas regulamentações da Lei Geral de Proteção de Dados Pessoais.
.svg){kind=logo}
