A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução nº 19 (“Resolução”), regulando aspectos importantes dentro do processo de Transferência Internacional de Dados.
Além de aprovar o conteúdo das cláusulas-padrão contratuais, a nova regra também estabelece o dever de adicioná-las aos instrumentos contratuais em que haja transferências internacionais de dados no prazo de até doze meses da publicação da Resolução.
As principais novidades da Resolução são:
- Diretrizes para a transferência: (i) garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, inclusive após o término do tratamento; (ii) adoção de procedimentos simples, preferencialmente interoperáveis; (iii) livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico; (iv) responsabilização e prestação de contas; (v) implementação de medidas efetivas de transparência; e (vi) adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis.
- Caracterização da transferência internacional: a Resolução traz regras claras sobre as hipóteses que configuram ou não a transferência internacional e a aplicabilidade da LGPD.
- Cláusulas-Padrão Contratuais como Base Legal: a Resolução inclui um modelo de cláusulas padrão que os responsáveis pelo tratamento de dados devem utilizar para efetuar transferências internacionais. Nestes casos, os responsáveis pelo tratamento de dados devem incluir em seus contratos, integralmente e sem alteração do texto, as cláusulas-padrão dentro de doze meses a partir da data de publicação da Resolução.
- Medidas de Transparência: o controlador de dados pessoais deve disponibilizar a íntegra das cláusulas utilizadas para a realização da transferência internacional de dados no prazo de 15 dias, se solicitado pelo titular. Adicionalmente, o controlador deve publicar em sua página da internet documento contendo informações sobre a realização da transferência internacional de dados, incluindo, informações sobre a forma, duração e finalidade específica da transferência internacional, o país de destino dos dados transferidos.
- Cláusulas Contratuais Específicas: se a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador, as cláusulas extravagantes devem ser submetidas à aprovação da ANPD.
- Possibilidade de normas corporativas globais: destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, as normas corporativas globais possuem caráter vinculante em relação aos membros do grupo que as subscreverem. As normas corporativas globais deverão ser submetidas à aprovação da ANPD.
A Resolução já está em vigor e podem ser acessadas na íntegra aqui. Portanto, o prazo de 12 meses para regularização das cláusulas-padrão dos contratos já está transcorrendo.
Nosso time de Privacidade e Proteção de Dados está à disposição para auxiliá-los neste processo de adequação.