Foi publicada no Diário Oficial da União desta sexta-feira (23), a Resolução CD/ANPD nº 19/2024, que aprova o Regulamento de Transferência Internacional de Dados. O texto regulamenta os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecendo procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais, bem como disciplinando mecanismos contratuais para a realização de transferências internacionais de dados pessoais.
De acordo com Rodrigo Santana dos Santos, Coordenador-Geral de Normatização da Autoridade Nacional de Proteção de Dados (ANPD), “a norma promove maior segurança jurídica para a inserção dos agentes de tratamento no comércio global e nas relações transfronteiriças e, consequentemente, proporciona maior proteção aos dados dos titulares durante toda a cadeia de tratamento, conforme previsto na Lei”.
Dentre os mecanismos de transferência internacional regulamentados, estão as cláusulas-padrão contratuais, que estabelecem garantias mínimas e condições válidas para a realização da transferência. Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais no prazo de até doze meses.
O texto contém, ainda, o procedimento para a aprovação de cláusulas contratuais específicas e de normas corporativas globais, estas últimas destinadas às transferências internacionais de dados entre organizações do mesmo grupo econômico.
Além disso, o regulamento estabelece procedimentos e critérios para o reconhecimento da adequação de outros países e organismos internacionais, atestando a equivalência do nível de proteção de dados pessoais com relação ao regime brasileiro. A decisão de adequação pode ser emitida pela ANPD seguindo os trâmites previstos no Regulamento, que incluem análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução. A transferência internacional de dados para países ou organismos internacionais reconhecidos como adequados pode ocorrer de forma célere e descomplicada.
O Regulamento se aplica às operações que envolvam a transferência de dados pessoais de um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em país estrangeiro ou organismo internacional do qual o Brasil seja membro. Assim, a mera coleta internacional dos dados pessoais diretamente do titular, por meio de um sítio de e-commerce, por exemplo, não caracteriza esse procedimento.
A norma passou por diversas etapas, dentre as quais se destaca a Tomada de Subsídios, com consequente e intenso diálogo entre a ANPD, especialistas e autoridades internacionais, e contou, ainda, com ativa participação social por meio de Consulta Pública e Audiência Pública. Ao todo, foram 1.763 contribuições da sociedade, que, ao longo do processo de elaboração do texto final, foram avaliadas pelas áreas técnicas da ANPD e, quando pertinentes, incorporadas ao Regulamento.
