A Resolução CD/ANPD nº 19/2024, publicada em 23 de agosto de 2024, estabelece um novo marco regulatório para a transferência internacional de dados no Brasil, delineando regras e procedimentos que devem ser seguidos para garantir a proteção adequada dos dados pessoais, conforme exigido pela Lei nº 13.709/2018 (LGPD).
Este regulamento visa assegurar que as transferências de dados para países ou organismos internacionais ofereçam um nível de proteção equivalente ao da legislação brasileira. Isso pode ocorrer através do reconhecimento da adequação por parte da Autoridade Nacional de Proteção de Dados (ANPD) ou mediante a comprovação, por parte do controlador, de que foram implementadas garantias suficientes para proteger os direitos dos titulares de dados. Tais garantias podem incluir cláusulas contratuais específicas, cláusulas-padrão contratuais ou normas corporativas globais.
O regulamento também permite a utilização de outros mecanismos de transferência internacional previstos na LGPD, desde que sejam cumpridos os requisitos legais específicos para cada caso. É imprescindível que a transferência seja feita em conformidade com a legislação vigente e com as diretrizes da ANPD, que incluem a garantia de proteção dos direitos dos titulares, a transparência e a segurança das operações, além de promover um fluxo de dados transfronteiriço seguro e confiável.
O controlador tem a responsabilidade de verificar se a operação configura uma transferência internacional de dados e se está devidamente amparada por uma base legal válida. Tanto o controlador quanto o operador devem adotar medidas eficazes para comprovar o cumprimento das normas de proteção de dados, compatíveis com o grau de risco envolvido na transferência.
Além disso, a transferência internacional de dados deve ser limitada ao mínimo necessário, alinhada a finalidades legítimas, específicas e informadas ao titular. A ANPD também desempenha um papel crucial ao avaliar e reconhecer a equivalência do nível de proteção de dados em outros países ou organismos internacionais, levando em conta fatores como normas em vigor, segurança, garantias judiciais e institucionais, entre outros.
As cláusulas-padrão contratuais representam um instrumento central para garantir que as transferências internacionais ocorram dentro dos parâmetros legais. Estas cláusulas, uma vez adotadas, devem ser aplicadas sem alterações e permitem que os titulares solicitem o acesso ao conteúdo dessas cláusulas, garantindo a transparência do processo.
No caso de transferências realizadas dentro de um mesmo grupo ou conglomerado de empresas, as normas corporativas globais se aplicam, sendo estas vinculantes e sujeitas à aprovação pela ANPD. Elas devem ser parte de um programa de governança em privacidade robusto, assegurando a proteção contínua dos dados transferidos.
A resolução também define prazos para que as empresas se adequem às novas regras, estabelecendo um período de 12 meses para a incorporação das cláusulas-padrão contratuais aos contratos em vigor.
Finalmente, cabe destacar que é possível solicitar reconsideração das decisões da ANPD dentro de 10 dias úteis, conforme previsto na legislação vigente. A resolução entrou em vigor na data de sua publicação, trazendo importantes mudanças para o cenário de proteção de dados no Brasil.