Em um cenário globalizado, onde informações circulam facilmente entre países, é fundamental garantir que essas transferências respeitem padrões rigorosos de proteção de dados para evitar o uso inadequado de informações pessoais e reduzir o risco de exposição a jurisdições com normas menos rigorosas. Dessa forma, à medida que a regulação fortalece a confiança no fluxo internacional de dados, criando um ambiente de negócios mais estável e previsível, normas claras e consistentes permitem que as empresas operem com maior eficiência e assegurem a conformidade com as leis de proteção de dados.
Nesse contexto, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 23 de agosto de 2024, o regulamento que detalha as regras da Lei Geral de Proteção de Dados (LGPD) para transferências internacionais de dados pessoais. Esse novo marco regulatório não apenas reforça a proteção dos dados pessoais em operações internacionais, mas também aumenta as chances de o Brasil obter uma decisão de adequação da União Europeia, facilitando a transferência segura de dados entre o Brasil e os países da União Europeia (UE).
Tomando o cotidiano dos diferentes agentes de tratamento em perspectiva, fica claro que a transferência internacional de dados pessoais é uma realidade cada vez mais presente. Seja ao compartilhar informações com outras empresas do mesmo grupo econômico, armazenar dados em sistemas de nuvem cujos servidores estão localizados em outros países, ou ao contratar serviços que envolvem o processamento de dados no exterior, essas transferências ocorrem com frequência. Nesse contexto, o novo Regulamento torna-se especialmente relevante para garantir a conformidade com a LGPD nessas operações.
O Regulamento traz então diretrizes específicas para que as empresas que realizam transferências internacionais se mantenham em adequação com as exigências da legislação de proteção de dados, oferecendo maior clareza, dentre outros, sobre os seguintes pontos:
- Decisões de Adequação: A ANPD pode reconhecer, mediante decisão de adequação, que a legislação de proteção de dados pessoais de um país estrangeiro ou de um organismo internacional é equivalente à brasileira.
- Cláusulas-Padrão Contratuais: As cláusulas-padrão contratuais, detalhadas no Anexo II da Resolução, podem ser utilizadas em contratos que envolvam transferências internacionais de dados, seja como parte de um contrato específico ou integradas a um contrato mais abrangente.
- Equivalência de Cláusulas: A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países com as cláusulas previstas no regulamento brasileiro, o que pode ser solicitado pelos interessados ou realizado de ofício pela própria ANPD, com as cláusulas reconhecidas sendo publicadas em seu site.
- Cláusulas Contratuais Específicas: Em situações excepcionais onde as cláusulas-padrão não possam ser aplicadas, a ANPD permite o uso de cláusulas contratuais específicas, que devem ser submetidas para aprovação prévia, sendo destinadas a cobrir circunstâncias particulares que impeçam a adoção das cláusulas-padrão.
- Normas Corporativas Globais (BCRs, na sigla em inglês - Binding Corporate Rules): Destinadas a empresas que fazem parte do mesmo grupo econômico e realizam transferências internas de dados, as normas corporativas globais precisam estar vinculadas a um programa robusto de governança em privacidade.
O novo regulamento da ANPD traz consigo importantes mudanças para o tratamento de dados pessoais no contexto internacional. No entanto, ele prevê ainda um prazo de 12 meses para que as empresas ajustem seus contratos, o que exige um mapeamento minucioso dos processos de transferência internacional, incluindo a identificação da finalidade, das categorias de dados pessoais transferidos e dos períodos de retenção dos dados.
Dada a complexidade e a abrangência do novo Regulamento, cabe às empresas começar sua preparação o quanto antes para garantir que todas as operações de transferência internacional de dados estejam em conformidade dentro do prazo estabelecido. Isso envolve desde a implementação das cláusulas-padrão e a requisição da aprovação de cláusulas específicas e normas corporativas globais perante a ANPD, até a revisão de toda a documentação necessária para assegurar a transparência e a conformidade das transferências internacionais.
Ao tomar essas medidas proativas, as empresas poderão não apenas cumprir com as exigências legais, mas também reforçar a confiança em suas práticas de proteção de dados no cenário global.