A recente Resolução CD/ANPD nº 19, que regulamenta a transferência internacional de dados, trouxe uma série de mudanças que impactam diretamente as empresas que operam globalmente. Essa regulamentação detalha os procedimentos e mecanismos para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD), protegendo os dados pessoais transferidos para fora do Brasil. Nesse contexto, o setor empresarial, especialmente aqueles que lidam com grandes volumes de dados, como o varejo, o setor bancário e multinacionais, deve se atentar às novas regras para evitar sanções e garantir a segurança jurídica.
A transferência internacional de dados ocorre quando uma empresa no Brasil (exportador) transfere ou compartilha dados pessoais com uma empresa localizada no exterior (importador). Embora não se considere como transferência internacional a coleta de dados diretamente por agentes de tratamento estrangeiros, cabe ao controlador da empresa verificar se a operação está respaldada nos mecanismos previstos pela LGPD.
A Resolução nº 19 surge para regulamentar essa transferência, permitindo que ocorra de forma segura e com propósitos legítimos, específicos e informados ao titular dos dados. Além disso, a transferência deve estar amparada em uma base legal e utilizar um dos mecanismos válidos, como cláusulas contratuais padronizadas ou normas corporativas globais, ambos detalhados pela ANPD.
A Resolução estabelece quatro mecanismos principais para a realização de transferências internacionais de dados:
1. Decisão de Adequação: Quando a ANPD reconhece que um país ou organismo internacional oferece proteção de dados equivalente à brasileira, a transferência pode ocorrer sem a necessidade de medidas adicionais. No entanto, até que essa decisão seja tomada, a empresa deve utilizar outros mecanismos de transferência.
2. Cláusulas-Padrão Contratuais: As cláusulas-padrão, elaboradas pela ANPD, estabelecem garantias mínimas para a realização da transferência de dados. Empresas têm até 12 meses para incorporá-las em seus contratos e devem adotá-las integralmente, sem alterações.
3. Cláusulas Contratuais Específicas: Em situações excepcionais, quando não for possível utilizar as cláusulas-padrão, o controlador pode solicitar a aprovação de cláusulas específicas pela ANPD.
4. Normas Corporativas Globais (BCRs): Essas normas vinculantes são aplicáveis às transferências entre empresas de um mesmo grupo ou conglomerado, sendo necessárias para garantir que os dados pessoais sejam protegidos de acordo com as normas de privacidade internas.
A nova regulamentação impõe uma série de responsabilidades às empresas, especialmente no que diz respeito à transparência com os titulares dos dados. Organizações devem revisar suas políticas de privacidade para incluir informações claras e acessíveis sobre as transferências internacionais que realizam, conforme exige o artigo 17 da Resolução. Dentre as informações mínimas que devem ser disponibilizadas estão:
I. A forma, duração e finalidade da transferência;
II. O país de destino dos dados;
III. A identificação do controlador e seus contatos;
IV. A descrição do uso dos dados e as finalidades do compartilhamento;
V. As responsabilidades dos agentes de tratamento envolvidos;
VI. Os direitos do titular e os meios de exercício desses direitos.
Esses requisitos tornam a revisão de fluxos de trabalho e a adaptação de contratos indispensáveis para garantir a conformidade com a legislação e evitar sanções. Além disso, muitas empresas, especialmente grandes varejistas, utilizam fornecedores estrangeiros para serviços como armazenamento em nuvem, o que aumenta a probabilidade de aplicação das regras da Resolução nº 19.
A adaptação aos diferentes regimes de proteção de dados em nível internacional é um dos principais desafios que as empresas enfrentam com a nova regulamentação. Contudo, a padronização de mecanismos como as cláusulas-padrão contratuais oferece maior segurança jurídica e simplifica o processo de conformidade.
Para setores econômicos que lidam com um grande volume de dados de clientes, fornecedores e parceiros, a conformidade com a Resolução nº 19 é crucial. Além da revisão de fluxos internos e políticas de privacidade, é crucial a revisão de seus contratos com fornecedores estrangeiros para incorporar as cláusulas exigidas pela ANPD.
A Resolução CD/ANPD nº 19 representa um avanço significativo na regulamentação da transferência internacional de dados, alinhando o Brasil às melhores práticas globais. Para as empresas, o maior impacto de estar em conformidade com essa nova normativa não é apenas o mero cumprimento de uma exigência legal, mas uma oportunidade para fortalecer a confiança dos clientes e parceiros comerciais. A adoção de boas práticas, a revisão de contratos e a transparência nas operações são essenciais para garantir a segurança dos dados pessoais e evitar riscos legais.
As empresas que adotarem uma postura proativa diante dessas mudanças estarão mais preparadas para navegar no cenário global de proteção de dados, evitando vulnerabilidades e aproveitando as oportunidades de negócios em um ambiente mais seguro e regulado.
Patricia Peck é professora e advogada especializada em Direito Digital. É CEO de Peck Advogados, membro do Comitê Nacional de Cibersegurança (CNCiber) e da Comissão de Proteção de Dados do Conselho Nacional de Justiça (CNJ).
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.