Breve análise sobre a transferência internacional de dados: Resolução CD/ANPD nº 19, de 23 de agosto de 2024

06/09/2024

As garantias adequadas para a transferência internacional são de extrema relevância para se assegurar o livre fluxo de informações e do bem-estar do comércio em âmbito global. A discussão sobre os parâmetros e hipóteses de transferência de dados entre países, ou grupos de países, envolve aspectos técnicos, econômicos, jurídicos, de circulação de dados da internet, de modelos globais de negócio, a respeito das leis aplicáveis aos dados armazenados ou em circulação.1

A grande diversidade de modelos de proteção de dados traz consigo a necessidade de um esforço de convergência e interoperabilidade entre esses diferentes sistemas a fim de que tais fluxos sejam permitidos. Devido à necessidade de harmonização entre legislações de diferentes países, as operações além das fronteiras nacionais de um país implicam maiores riscos aos direitos e liberdades dos titulares2.

 De acordo com a Portaria nº 11 de 27 de janeiro de 2021, que tornou pública a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022, os artigos 33, 34 e 35 da LGPD começassem a ser regulamentados no segundo semestre de 20223.

 Nessa direção, a ANPD seguiu com os procedimentos necessários ao andamento às exigências da regulação do fluxo internacional de dados na  Lei Geral de Proteção de Dados (LGPD)4 e publicou, em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19, que aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais (CPCs).5

Diante da necessária busca de que o Brasil esteja dentro dos padrões internacionais relacionados às melhores práticas de proteção aos dados pessoais, ressalta-se a importância da matéria. A seguir objetiva-se uma breve análise sobre: 1. Lei Geral de Proteção de Dados e o Fluxo Internacional de Informações; 2. A Diferença entre Transferência Internacional de Dados e o Trânsito de Dados Pessoais; 3.

1. LEI GERAL DE PROTEÇÃO DE DADOS E O FLUXO INTERNACIONAL DE INFORMAÇÕES

A partir da lei 13.7096, de 14 de agosto de 2018, conhecida como LGPD, o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais. A proteção de dados pessoais, anteriormente tratada de maneira esparsa no ordenamento jurídico nacional, estruturou-se em uma legislação específica7. A LGPD inaugurou um sistema que está focado na prevenção e na criação de uma cultura de proteção de dados pessoais8.

A legislação brasileira dialoga9 com outros diplomas legais vigentes, garantindo a ampla tutela aos titulares de dados10. Apresenta diferentes hipóteses para operações transfronteiriças, tratando do tema, especificamente, no Capítulo V, intitulado “Da Transferência Internacional de Dados”, respectivamente, nos artigos 33 a 36.

 A LGPD traz a previsão da transferência internacional de dados pessoais abordando os aspectos relacionados às regras aplicáveis ao fluxo para países e organismos internacionais. Ao total, são apresentadas nove hipóteses em que se permite o fluxo internacional de dados, sendo este considerado como um rol taxativo.

Importa destacar que não há hierarquia entre entre os mecanismos de transfere^ncia, sendo que o me´todo escolhido dependera´ da finalidade e do contexto para o tratamento dos dados pessoais11. Em rol taxativo, o artigo 33 define as hipóteses em que a transferência internacional é permitida12.

Alternativamente, o fluxo de informações pessoais para fora do território nacional só é permitido caso, i) os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD; ii) o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD; iii) a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; iv) a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros; v) a autoridade nacional autorizar a transferência; vi) a transferência resultar em compromisso assumido em acordo de cooperação internacional; vii) a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; viii) o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo, claramente, esta e outras finalidades; e ix) é necessária para atender às hipóteses previstas nos incisos II, V e VI do artigo 7º da LGPD.

O artigo 34 está relacionado aos tópicos que devem ser levados em conta quando da definição de nível de proteção adequado de país estrangeiro ou organismo internacional13. O dispositivo 35 trata sobre a definição das CPCs e verificação de outras salvaguardas14, enquanto o artigo 36 apresenta observância aos princípios gerais de proteção e dos direitos do titular15.

2. A DIFERENÇA ENTRE TRANSFERÊNCIA INTERNACIONAL DE DADOS E O TRÂNSITO DE DADOS PESSOAIS

Segundo Robert Bond, “‘transferência” não é o mesmo que “trânsito” de informações16. Os dados pessoais podem passar pelo país B no caminho do país A para o país C, sem, no entanto, nenhuma operação de processamento substancial ocorrer neste caminho, já que a transferência é para o país C17.

Por exemplo, no caso de uma empresa sediada na Alemanha enviar dados para uma empresa baseada nos Estados Unidos da América (EUA), mas, durante a transferência, os dados passarem pelo território uruguaio, sem, de fato, acontecer qualquer tratamento das informações no país. Casos como este servem de modelos para diferenciar “tranferência” e “trânsito”, porque, na situação supramencionada, a operação internacional é realizada apenas entre a empresa alemã e a empresa norte-americana, sendo que os dados apenas transitaram no Uruguai18.

Diante do fluxo internacional de dados, considera-se como “exportador” o agente de tratamento que transferirá os dados pessoais para um “importador”, localizado em outro país. Considera-se como “importador” o agente de tratamento situado fora do território nacional, que receberá esses dados do “exportador”. No exemplo acima, o “importador” seria a empresa norte-americana e o “exportador”, a empresa alemã.

3. RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024

1. Publicada em 23 de agosto de 2024, a Resolução CD/ANPD Nº 19 aprova o Regulamento de Transfere^ncia Internacional de Dados e o conteu´do das cla´usulas-padra~o contratuais. As novas normas sobre o fluxo transfronteiriço de informações pessoais entram em vigor na data de sua publicac¸a~o, sendo assim, necessário que os agentes de tratamento se adequem às exigências sobre os procedimentos e regras aplicáveis a tais operações.

2. Em relação às cla´usulas contratuais para realizar transfere^ncias internacionais de dados devera~o incorporar as cla´usulas-padra~o contratuais aprovadas pela ANPD, existe o prazo de ate´ 12 (doze) meses, contados da data de publicac¸a~o da Resoluc¸a~o, para a adequação por parte dos agentes de tratamento.

3. A Resolução destaca os requisitos necessários para as operações que envolvam decisões de adequação, cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais e normas corporativas globais. Além disso, ressalta que é possível a realizac¸a~o de transfere^ncia internacional de dados com base nos mecanismos previstos no art. 33 da LGPD que na~o dependam de regulamentac¸a~o, desde que atendidas as  especificidades do caso concreto e os requisitos legais aplica´veis.

4. Destaca que a transfere^ncia internacional de dados pessoais deve ser realizada em conformidade com o disposto na LGPD e na Resolução, observadas as seguintes diretriz garantia de cumprimento dos princi´pios, dos direitos do titular e de ni´vel de protec¸a~o equivalente ao previsto na legislac¸a~o nacional, independentemente do pai´s onde estejam localizados os dados pessoais objeto da transfere^ncia.

5. Reitera a necessária a implementac¸a~o de medidas efetivas de transpare^ncia, assegurando o fornecimento de informac¸o~es claras, precisas e facilmente acessi´veis aos titulares. Além disso, a adoc¸a~o de boas pra´ticas e de medidas de prevenc¸a~o e seguranc¸a apropriadas e compati´veis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operac¸a~o.

6. Defende que o fluxo internacional de informações deve estar limitado ao mi´nimo necessa´rio para o alcance de suas finalidades, com abrange^ncia dos dados pertinentes, proporcionais e na~o excessivos em relac¸a~o a`s finalidades do tratamento de dados.

7. Toda a operação somente será realizada para atender a propo´sitos legi´timos, especi´ficos, expli´citos e informados ao titular, sem possibilidade de tratamento posterior de forma incompati´vel com essas finalidades, e desde que amparada em uma das hipo´teses legais previstas no art. 7º ou no art. 11 da LGPD ou em um dos seguintes mecanismos va´lidos de realizac¸a~o da transfere^ncia internacional.

8. A aplicac¸a~o da legislac¸a~o nacional a` transfere^ncia internacional de dados independe do meio utilizado para sua realizac¸a~o, do pai´s de sede dos agentes de tratamento ou do pai´s onde estejam localizados os dados.

9. Estabelece que a LGPD é aplicável aos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no territo´rio nacional. A LGPD na~o se aplica aos dados pessoais provenientes do exterior somente quando ocorrer: a) tra^nsito de dados pessoais, sem a ocorre^ncia de comunicac¸a~o ou uso compartilhado de dados com agente de tratamento situado em territo´rio nacional; b) retorno dos dados pessoais, objeto de tratamento no territo´rio nacional, exclusivamente ao pai´s ou organismo internacional de provenie^ncia, desde que:o pai´s ou organismo internacional de provenie^ncia proporcione grau de protec¸a~o de dados pessoais adequado, reconhecido por decisa~o da ANPD; c) a legislac¸a~o do pai´s ou as normas aplica´veis ao organismo internacional de provenie^ncia se apliquem a` operac¸a~o realizada; d) a situac¸a~o especi´fica e excepcional de na~o aplicac¸a~o da LGPD.

10. Cabe ao controlador verificar se a operac¸a~o de tratamento:  a) caracteriza transfere^ncia internacional de dados;      b) submete-se a` legislac¸a~o nacional de protec¸a~o de dados pessoais; c) esta´ amparada em hipo´tese legal e em mecanismo de transfere^ncia internacional va´lidos.

11. A transfere^ncia internacional de dados sera´ caracterizada quando o exportador transferir dados pessoais para o importador. A coleta internacional de dados na~o caracteriza transfere^ncia internacional de dados e observara´ as disposic¸o~es da LGPD, quando verificada uma das hipo´teses indicadas no art. 3º da LGPD.

12. Quaisquer operações que envolvam aspecto transnacional devem respeitar os princípios de proteção de dados e salvaguardar os direitos dos titulares. A lei preve^ um conjunto de normas destinadas a garantir a higidez das operac¸o~es de transfere^ncia internacional19, estabelecendo que os países interessados neste tipo de transação devem oferecer garantias em mesmo grau que aquele oferecido pela LGPD.

13. O controlador ou o operador que deixem de adotar as medidas de segurança cabíveis respondem pelos danos decorrentes de violação da segurança dos dados. A LGPD imputa responsabilidade aos agentes de tratamento a definição sobre medidas técnicas, administrativas e de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais, ou ilícitas, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito20.

14. As CPCs aprovadas pela ANPD garantem que exportadores e importadores de dados apliquem as mesmas medidas técnicas e organizacionais, em termos de proteção de dados no Brasil. Dessa forma, garantindo a proteção dos direitos e liberdades dos titulares dos dados.

15. Em todos os casos de fluxo internacional de dados, deve-se realizar avaliação de todas as circunstâncias da transferência e deve-se considerar a adoção de medidas adicionais para garantir proteção suficiente aos titulares.

16. As cláusulas-modelo elaboradas pela autoridade brasileira, contém as obrigações das partes envolvidas na transferência e os direitos dos titulares dos dados a serem transferidos. Caso o controlador adote as CPCs sugeridas pela autoridade, vincular-se-á a todos os requisitos e as obrigações estipuladas no documento, podendo realizar a transferência dos dados pessoais sem a necessidade de anuência da ANPD ou dos respectivos titulares.

CONSIDERAÇÕES FINAIS

A Resolução CD/ANPD nº 19 integra os esforços para que o Brasil conte com um sistema robusto de definição, aprovação e fiscalização do fluxo transnacional de dados pessoais, garantindo a efetividade internacional do sistema de proteção brasileiro.

Ao regulamentar o tema da transferência internacional de dados, a ANPD se posicionou no cenário internacional, defendendo o sistema de proteção de dados brasileiro. O estabelecimento de regras e procedimentos direcionados à garantia dos direitos dos titulares é fundamental para a eficácia da LGPD.

A disponibilização de cláusulas-tipo auxilia os agentes de tratamento diante do cumprimento de seus deveres e justa proteção de direitos dos titulares, ainda que existam diferentes níveis legislações de proteção de dados ao redor do mundo.

Fonte: Migalhas

Categorias: LGPD,Notícias,