O novo Regulamento de Transferência Internacional de Dados, aprovado pela ANPD, surge com o objetivo de regulamentar os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD) e estabelecer os procedimentos e as regras aplicáveis às operações de transferência internacional de dados.
Estas novas regras são essenciais para o entendimento dos critérios para o reconhecimento de adequação de outros países ou organismos internacionais, além de indicar os mecanismos contratuais para a realização de transferência internacional de dados.
Quem são os agentes impactados pela Transferência Internacional de Dados?
As definições contidas no Regulamento de transferência internacional de dados estabelecem como se entende cada termo relacionado ao movimento de dados pessoais entre países ou entre empresas internacionais.
Exportador
Refere-se ao agente de tratamento (a entidade que processa dados) que está localizado no Brasil ou em um país estrangeiro e que transfere dados pessoais para outro agente. Esse agente é quem “exporta” os dados para fora da sua localização.
Exemplo: A filial brasileira do Facebook que coleta e envia dados pessoais dos usuários para servidores localizados nos Estados Unidos para processamento e armazenamento. Nesse caso, a filial brasileira atua como exportadora dos dados para a sede nos EUA.
Importador
É o agente de tratamento que recebe os dados pessoais transferidos por um exportador. Esse agente está localizado em um país estrangeiro ou é um organismo internacional. Em outras palavras, o importador é quem “recebe” os dados.
Exemplo: A sede do Google nos Estados Unidos que recebe dados pessoais coletados por suas operações na Europa ou no Brasil. A sede nos EUA é o importador que recebe dados de diferentes regiões.
Transferência
É a operação de tratamento na qual um agente de tratamento transmite, compartilha ou disponibiliza acesso aos dados pessoais para outro agente de tratamento. Isso pode envolver qualquer tipo de movimento de dados entre dois agentes.
Exemplo: A empresa Salesforce, com sede nos EUA, que fornece software de CRM (Customer Relationship Management) para uma empresa brasileira. Quando a empresa brasileira compartilha os dados dos seus clientes com a Salesforce para uso no software, está realizando uma transferência de dados.
Transferência Internacional de Dados
Refere-se especificamente à transferência de dados pessoais para um país estrangeiro ou para um organismo internacional do qual o país é membro. É um tipo de transferência que cruza fronteiras internacionais.
Exemplo: A Apple, que coleta dados de usuários de iPhones no Brasil e transfere essas informações para centros de processamento de dados na Califónia. Isso é uma transferência internacional de dados, pois envolve mover dados para um país estrangeiro.
Coleta Internacional de Dados
É a coleta de dados pessoais feita diretamente pelo agente de tratamento que está localizado fora do Brasil. Isso ocorre quando, por exemplo, um site de uma empresa estrangeira coleta dados diretamente dos usuários brasileiros.
Exemplo: O site da Amazon.com, que é operado a partir dos EUA, coleta diretamente informações de usuários brasileiros que navegam e fazem compras no site. Aqui, a coleta de dados é internacional porque é feita diretamente pela empresa nos EUA.
Grupo ou Conglomerado de Empresas
Este termo se refere a um conjunto de empresas, que possuem personalidades jurídicas próprias, mas que estão sob a direção, controle ou administração de uma mesma pessoa ou grupo de pessoas. Essas empresas operam com interesses comuns e de maneira coordenada.
Exemplo: O grupo Volkswagen, que inclui diversas marcas como Audi, Porsche e Skoda. As empresas dentro desse conglomerado têm personalidades jurídicas próprias, mas são controladas e administradas centralmente pela Volkswagen AG, com sede na Alemanha, operando com interesses integrados.
Entidade Responsável
Trata-se de uma sociedade empresária com sede no Brasil que é responsável por violações de normas corporativas globais, mesmo que essas violações tenham ocorrido devido a atos praticados por membros do grupo ou conglomerado de empresas com sede em outro país.
Exemplo: A Procter & Gamble Brasil, que é responsável por garantir que todas as operações dentro do grupo P&G (com unidades em diversos países) sigam as normas corporativas globais sobre proteção de dados, respondendo por violações ocorridas em outras filiais do grupo, mesmo que sejam fora do Brasil.
Formas autorizadas para transferência internacional de dados
A transferência internacional de dados pessoais para outros países podem acontecer de duas formas:
Se o país ou organismo internacional tiver proteção de dados compatível com a Lei Geral de Proteção de Dados (LGPD) reconhecido pela ANPD ou se o responsável pelos dados comprovar que cumpre a LGPD usando:
a) Contratos específicos para a transferência;
b) Cláusulas contratuais padrão;
c) Normas internas válidas globalmente.
Hipótese Legal para a transferência internacional de dados
A seção IV estabelece que a transferência internacional de dados só pode ocorrer para fins legítimos, específicos e claros, previamente informados ao titular, e não pode ser usada para outras finalidades incompatíveis. Além disso, deve estar baseada em:
Uma das condições legais previstas nos artigos 7º ou 11 da LGPD; ou
Utilizando um dos seguintes mecanismos de transferência:
a) Para países ou organismos internacionais com proteção de dados compatível com a LGPD, reconhecida pela ANPD;
b) Cláusulas-padrão, normas corporativas globais ou contratos específicos, conforme o Regulamento;
c) Situações previstas nos incisos II, “d”, e III a IX do artigo 33 da LGPD.
A transferência deve ser limitada ao mínimo necessário, envolvendo apenas os dados relevantes e proporcionais para a finalidade.
Cláusulas-padrão contratuais
O Capítulo V do Regulamento aborda a aplicação de cláusulas-padrão contratuais para a transferência internacional de dados, um mecanismo essencial para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD). Essas cláusulas, elaboradas e aprovadas pela ANPD, oferecem um padrão de proteção robusto e asseguram o cumprimento dos princípios e direitos dos titulares conforme exigido pela legislação.
As cláusulas-padrão contratuais podem ser usadas em:
I – Um contrato específico para transferências internacionais de dados;
II – Um contrato mais amplo, com um termo adicional assinado pelos envolvidos na transferência de dados.
Para a validade dessas cláusulas, é necessário que sejam adotadas integralmente, sem modificações, em instrumentos contratuais entre as partes envolvidas. Além disso, o Regulamento permite a integração dessas cláusulas tanto em contratos específicos quanto em acordos mais amplos, o que proporciona flexibilidade sem comprometer a segurança jurídica.
A ANPD também tem a competência para reconhecer como equivalentes cláusulas-padrão de outros países ou organismos internacionais, ampliando as opções para empresas que operam em múltiplas jurisdições, enquanto mantém o alto nível de proteção exigido pela LGPD.
Cláusulas Específicas
O Regulamento também estabelece que o controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas, conforme o processo estabelecido no documento. Além disso, para obter aprovação, essas cláusulas devem assegurar a aplicação da LGPD à transferência internacional de dados e estar sujeitas à fiscalização da ANPD.
Após o envio para a aprovação, a ANPD avaliará a compatibilidade das cláusulas com a LGPD, considerando os riscos e benefícios envolvidos, inclusive os impactos no fluxo internacional de dados e nas relações internacionais do Brasil.
Por fim, as cláusulas contratuais específicas aprovadas serão publicadas pela ANPD em seu site, com a devida identificação do requerente e a data de aprovação.
Conte com advogados especializados para a elaboração de contratos
Nosso escritório combina expertise jurídica e visão estratégica para orientar nossos clientes na adoção das melhores práticas em transferências internacionais de dados, garantindo conformidade regulatória e minimizando riscos.
Em um ambiente jurídico cada vez mais dinâmico e globalizado, oferecemos soluções inovadoras para proteger os interesses e a reputação de nossos clientes em operações de dados transnacionais. Agende uma reunião para saber como podemos auxiliar a sua empresa.