Resolução CD/ANPD Nº 19 de 2024 e Implicações para Transferências Internacionais de Dados

setembro 11, 2024

Introdução à Resolução CD/ANPD

A Resolução CD/ANPD Nº 19 de 2024 é um marco essencial na regulamentação das transferências internacionais de dados pessoais no Brasil, trazendo implicações significativas para empresas que lidam com o fluxo de dados entre países.

Esta resolução define diretrizes claras e rigorosas para garantir a conformidade dessas operações com a Lei Geral de Proteção de Dados (LGPD), oferecendo uma proteção robusta aos dados pessoais, independentemente do país de destino.

Neste artigo, exploraremos os principais aspectos da resolução e as implicações práticas para empresas que realizam transferências internacionais de dados.

O que é a Resolução CD/ANPD Nº 19?

A Resolução CD/ANPD Nº 19 regulamenta as transferências internacionais de dados pessoais, processo que envolve o envio de informações de indivíduos brasileiros para outras nações. A regulamentação se torna necessária devido ao aumento do fluxo de dados entre países e à importância de garantir que esses dados recebam o mesmo nível de proteção que teriam no Brasil.

Um aspecto importante da Resolução CD/ANPD Nº 19 é a distinção entre coleta internacional de dados e transferência internacional de dados:

  • (i) Coleta Internacional de Dados: Ocorre quando uma empresa ou entidade coleta dados diretamente de indivíduos localizados em outro país. Por exemplo, quando uma empresa brasileira coleta informações pessoais de usuários que acessam seu site a partir da Europa, essa situação caracteriza uma coleta internacional de dados. De acordo com a Resolução, essa coleta não se qualifica como transferência internacional de dados, mas ainda precisa observar as disposições da LGPD; e
  • (ii) Transferência Internacional de Dados: Envolve o envio de dados pessoais de um país para outro, seja para armazenamento, processamento, ou outros fins. 

Essa distinção ajuda as empresas a compreender como as autoridades regulamentam as diferentes operações envolvendo dados pessoais e quais obrigações legais elas precisam cumprir em cada caso.

Cláusulas-Padrão Contratuais (CPC) na Resolução CD/ANPD Nº 19: Uma nova exigência

Um dos principais pontos da resolução é a introdução das cláusulas-padrão contratuais, que devem ser utilizadas por empresas ao realizar transferências internacionais de dados. Essas cláusulas servem como um mecanismo de proteção, garantindo que o país destinatário mantenha padrões de segurança e privacidade equivalentes aos exigidos pela LGPD.

As empresas têm até 12 meses para adaptar seus contratos às novas cláusulas, o que significa que até agosto de 2025, todos os agentes de tratamento de dados devem estar em conformidade. Essa medida é crucial para mitigar riscos e assegurar que os direitos dos titulares de dados sejam preservados, mesmo fora das fronteiras brasileiras.

Aqui estão dois exemplos de CPC's que constam na resolução e uma breve explicação sobre cada um:

  1. Cláusula de Segurança e Confidencialidade: Essa cláusula determina que tanto o exportador (a empresa que envia os dados) quanto o importador (a empresa que recebe os dados) implementem medidas técnicas e organizacionais adequadas. Essas medidas devem proteger os dados pessoais contra qualquer processamento não autorizado ou ilegal, além de evitar perda, destruição ou dano acidental. Dessa forma, a segurança dos dados se alinha aos riscos envolvidos e à natureza das informações. Essa cláusula é essencial para garantir que os dados pessoais sejam tratados com o mesmo nível de cuidado e proteção, independentemente do local de processamento. Além disso, ela exige que as empresas adotem práticas de segurança apropriadas, como criptografia e controle de acesso, para minimizar o risco de violações de dados durante a transferência.
  2. Cláusula de Transparência e Direitos dos Titulares: Essa cláusula exige que o importador de dados forneça aos titulares (as pessoas cujas informações estão sendo transferidas) detalhes claros e acessíveis sobre o processamento dos seus dados. Isso inclui informações sobre os direitos dos titulares, como acesso, retificação, exclusão e restrição do processamento, além dos meios para exercer esses direitos. Afinal, a transparência é um princípio central da LGPD. Portanto, essa cláusula assegura que os titulares mantenham o controle sobre suas informações pessoais, mesmo após a transferência para outro país. Em outras palavras, as empresas precisam ser claras e proativas ao comunicar aos titulares como seus dados são utilizados e protegidos.

Exemplos Práticos de Transferência Internacional de Dados Pessoais

Para ilustrar o que caracteriza uma transferência internacional de dados pessoais, consideremos dois exemplos comuns:

  1. Armazenamento em Nuvem Internacional: Uma empresa de e-commerce brasileira utiliza um serviço de armazenamento em nuvem cuja sede está nos Estados Unidos. Quando essa empresa armazena informações pessoais dos seus clientes, como nome, endereço e dados de pagamento, nos servidores dessa empresa de nuvem nos EUA, ela está realizando uma transferência internacional de dados.
  2. Agência de Marketing Internacional: Imagine uma empresa brasileira que contrata uma agência de marketing digital com sede na Europa para realizar campanhas publicitárias direcionadas. Se essa agência precisa acessar ou tratar os dados dos clientes da empresa brasileira, como endereços de e-mail, histórico de compras ou preferências de produtos, esses dados estão sendo transferidos internacionalmente da empresa no Brasil para a agência na Europa.

Esses exemplos destacam como as transferências internacionais de dados podem ocorrer no dia a dia das empresas e reforçam a necessidade de seguir as diretrizes da Resolução CD/ANPD Nº 19 para garantir a conformidade com a LGPD.

Normas Corporativas Globais: Uma Solução para Grandes Conglomerados

Desse modo, outro elemento importante introduzido pela Resolução Nº 19 são as normas corporativas globais, que permitem a transferência de dados entre empresas do mesmo grupo empresarial. No entanto, a ANPD (Autoridade Nacional de Proteção de Dados) precisa aprovar essas normas, que devem demonstrar garantias suficientes de proteção de dados. Devem detalhar, entre outros aspectos, as operações de transferência, as responsabilidades de cada entidade envolvida e as medidas de segurança adotadas.

Em suma, esse mecanismo é especialmente relevante para grandes conglomerados que operam em múltiplas jurisdições e precisam garantir a conformidade de suas práticas de transferência de dados com a LGPD.

Decisões de Adequação: Simplificando as Transferências Internacionais

RESOLUÇÃO CD/ANPD Nº 29

Sob o mesmo ponto de vista, um aspecto fundamental da Resolução CD/ANPD Nº 19 de 2024 é a introdução das decisões de adequação. Essas decisões permitem à ANPD reconhecer países ou organismos internacionais como tendo um nível de proteção de dados pessoais compatível com a LGPD.

As decisões de adequação acontecem quando a ANPD avalia e reconhece que um país estrangeiro ou organismo internacional oferece um nível de proteção de dados equivalente ao previsto pela LGPD. Quando a ANPD considera um país ou organismo adequado, as transferências de dados pessoais para essas jurisdições se tornam mais simples. Dessa forma, não é necessário exigir cláusulas contratuais adicionais ou outras salvaguardas específicas, o que traz os seguintes benefícios:

  • Facilitação das Operações Comerciais: Empresas brasileiras que transferem dados pessoais para países adequados podem realizar essas transferências com mais facilidade. Além disso, enfrentam menos burocracia, o que simplifica as operações comerciais internacionais.
  • Segurança e Conformidade: Essas decisões proporcionam segurança jurídica. Assim, reduzem o risco de litígios ou penalidades nas transferências internacionais, pois as operações com países adequados seguem automaticamente a conformidade com a LGPD.
  • Flexibilidade e Agilidade: Com a aprovação dessas decisões, as empresas ganham mais flexibilidade. Elas podem reagir rapidamente às necessidades do mercado global, transferindo dados para novas jurisdições que a ANPD reconhece como seguras.

Conclusão

A Resolução CD/ANPD Nº 19 de 2024 representa um avanço significativo na proteção de dados no Brasil. Além disso, ela se alinha às melhores práticas internacionais e fortalece o papel da ANPD na fiscalização das transferências internacionais de dados. Portanto, para as empresas, adaptar-se a essas novas regras é essencial. Isso garante não apenas a conformidade legal, mas também a manutenção da confiança dos consumidores e parceiros comerciais.

Empresas que ainda não iniciaram o processo de adequação precisam agir rapidamente. Afinal, é crucial garantir que todos os contratos de transferência internacional de dados estejam em conformidade até o prazo de 2025. Cumprir a resolução vai além de ser uma exigência legal. Além disso, oferece a oportunidade de reforçar a segurança e a privacidade dos dados em um mundo cada vez mais digital e interconectado.

Devido à complexidade das novas regras e à importância de garantir uma adequação completa, recomenda-se fortemente buscar a ajuda de uma assessoria jurídica especializada. Contudo, profissionais experientes podem orientar sua empresa na implementação das cláusulas-padrão e nas melhores práticas de governança de dados. Dessa forma, sua empresa atenderá a todas as exigências legais de maneira eficaz e segura.

AGENDE UMA REUNIÃO
CONHEÇA NOSSO BLOG

Publicado por:

Lucas Willian Farias

Veja também:

© 2024 Vanzin & Penteado Advogados Associados.

crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram