Novo Regulamento da ANPD: Transferências Internacionais

Escopo do Regulamento

A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD nº 19/20224, que trata da realização de transferências internacionais de dados pessoais (“Regulamento”). O Regulamento estabelece as diretrizes para as hipóteses do artigo 33 da LGPD (Lei nº 13.709/2018) que exigem o pronunciamento específico da ANPD: decisão de adequação, cláusulas contratuais específicas, cláusulas-padrão contratuais e normas corporativas globais. O Regulamento não menciona, porém, selos, certificados e códigos de conduta regularmente emitidos, previstos na alínea ‘d’ do inciso II do art. 33 da LGPD.

O Regulamento deixa claro que cabe tanto ao controlador como ao operador comprovar o cumprimento do Regulamento. Na hipótese, portanto, de um operador estrangeiro receber dados pessoais do Brasil, como importador, cabe a ele também documentar a transferência e a sua conformidade com a LGPD.

Prazo de adequação das cláusulas-padrão contratuais

Com o Regulamento, finalmente, as cláusulas-padrão contratuais foram publicadas pela ANPD. Nesse quesito, o Regulamento concede 12 (doze) meses para que os agentes de tratamento (controladores ou operadores) alterem os contratos vigentes, por meio de aditivo, para incluir as novas cláusulas, ou seja, até 23 de agosto de 2025.

Caracterização de uma transferência internacional

Estão abrangidas no escopo do Regulamento, como uma transferência internacional:

• Transferências (transmissão, compartilhamento ou concessão de acesso) de dados pessoais a partir do Brasil para o exterior;

• Transferências ocorridas diretamente no exterior, entre um ou mais países, quando (i) a atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens ou serviços no Brasil, (ii) a atividade de tratamento tiver por objetivo o tratamento de dados de indivíduos localizados no Brasil ou (iii) os dados pessoais forem coletados no território brasileiro.

Esse conceito amplia o comumente utilizado para transferências internacionais, pois, a rigor, compartilhamentos de dados pessoais que não sejam resultado de uma transferência prévia do Brasil (onward transfers) entre dois países estrangeiros para fins de, por exemplo, traçar o perfil de crédito de uma pessoa estabelecida no Brasil caracterizaria uma transferência internacional por esse Regulamento, exigindo a utilização de um dos mecanismos previstos no art. 33 da LGPD. Nesse exemplo, poderíamos discutir sobre a aplicação extraterritorial da LGPD, com base no art. 3º, II da LGPD, porém entender como uma transferência internacional, exigindo, por exemplo, a utilização de cláusulas-padrão contratuais, traz um cenário de conformidade diverso e potencialmente mais rigoroso na ANPD.

Por outro lado, não estão abrangidas no escopo do Regulamento, não se caracterizando como transferências internacionais:

• O mero acesso a dados pessoais localizados no Brasil, a partir do exterior; ou
• A coleta de dados pessoais diretamente do titular localizado no Brasil, a partir de um país estrangeiro.

Nos casos em que o acesso ou a coleta diretamente a partir do exterior não configurar uma transferência internacional segundo a LGPD, os agentes estrangeiros envolvidos devem se atentar para a eventual aplicação extraterritorial da LGPD prevista em seu art. 3º (e.g., oferta de produtos e/ou serviços para indivíduos localizados no Brasil).

O Regulamento traz uma hipótese específica de não aplicação da LGPD: o retorno para o exterior de dados pessoais provenientes também do exterior, quando tenham sido enviados ao Brasil para tratamentos específicos, desde que (i) o país do qual os dados foram enviados para o Brasil seja reconhecido como adequado pela ANPD e que essa situação excepcional de não aplicação da LGPD esteja expressamente prevista nessa decisão de adequação, e (ii) a legislação do país de proveniência dos dados se aplique a esse retorno. O Regulamento ainda complementa no sentido de que a ANPD não excepcionará a aplicação da LGPD nesses casos se essa transferência puder ‘violar ou colocar em risco a observância dos princípios gerais de proteção de dados pessoais e os direitos dos titulares previstos na legislação nacional.

Difícil verificar quando essa hipótese de não-aplicação da LGPD se enquadraria, mas potencialmente se relaciona a transferências para fins de interesse público, realizada por órgãos governamentais e que mereçam destaque específico nas decisões de adequação da ANPD.

Mecanismos de transferência internacional a serem adotados

Decisões de adequação

O Regulamento estabelece uma série de critérios para a análise da ANPD sobre a equivalência do nível de proteção de dados pessoais de país estrangeiro ou organismo internacional com a legislação brasileira de dados pessoais. Até o momento, nenhuma decisão foi proferida e seguimos acompanhando. Há grandes expectativas para que a União Europeia seja reconhecida como adequada, assim como os países igualmente reconhecidos pela União, como Argentina e Uruguai, que possuem um fluxo comercial e diplomático intenso com o Brasil. Uma vez reconhecido como adequado, as partes não precisarão implementar qualquer medida contratual, o que facilita a realização de transferências.

Apenas pessoas jurídicas de direito público podem requerer a instauração de procedimento para o reconhecimento de determinada jurisdição como adequada.

Cláusulas-padrão contratuais

As cláusulas-padrão contratuais se encontram anexa a essa atualização. Elas devem ser adotadas em sua integralidade, sem qualquer modificação, e podem integrar tanto um acordo específico para transferência internacional como um contrato maior que trate de outros aspectos. Porém, nesse segundo caso, o Regulamento deixa claro que nenhuma outra disposição do contrato pode excluir, modificar ou contrariar, direta ou indiretamente, o conteúdo das cláusulas-padrão.

A íntegra das cláusulas deve ser disponibilizada aos titulares mediante requerimento, em até 15 (quinze) dias corridos.

O Regulamento possibilita que a ANPD reconheça cláusulas-padrão de outros países ou organismos internacionais como equivalentes. Qualquer interessado, inclusive privado, pode requerer o reconhecimento dessa equivalência. Uma vez que a ANPD reconheça a cláusula-padrão de outro país como equivalente, ela poderá ser utilizada na mesma medida que a cláusula-padrão publicada pela ANPD no Regulamento. Esse pode ser um artifício importante para evitar a alteração dos contratos que já possuam as cláusulas-padrão emitidas pela Comissão Europeia, por exemplo. Porém, considerando que a inclusão das cláusulas-padrão da ANPD deve ser feita até 23 de agosto de 2025, pode ser um risco alto a eventual demora na publicação da decisão sobre a equivalência de cláusulas pela ANPD.

Normas corporativas globais

Segundo o Regulamento, são destinadas às transferências internacionais entre organizações do mesmo grupo econômico ou do mesmo conglomerado de empresas, sendo vinculante a todos os membros que as subscrevem. O Regulamento trouxe uma série de requisitos formais para realizar o requerimento de aprovação de normas corporativas globais perante a ANPD. Durante a aprovação, a ANPD pode realizar inclusive diligências para verificar as operações de tratamento de dados pessoais objeto das normas, além de poder requerer uma série de documentos e informações.

O Regulamento define o que seria um conglomerado de empresas: conjunto de empresas de fato ou de direito, com personalidades jurídicas próprias, sob direção, controle ou administração por pessoa ou grupo de pessoas, jurídicas ou naturais, que detenham, isolada ou conjuntamente, poder de controle sobre todas as demais. O Regulamento exige, porém, que seja demonstrado interesse integrado entre as empresas componentes do conglomerado, efetiva comunhão de interesses e a sua atuação conjunta.

As normas corporativas globais devem conter, entre outros aspectos:

• A vinculação à implementação de programa de governança em privacidade, que atenda, no mínimo, ao disposto no §2º do art. 50 da LGPD, que prevê, entre outros diversos aspectos, a necessidade de estabelecimento de políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade, conte com planos de resposta a incidentes e remediação e seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
• A descrição das transferências internacionais de dados para as quais as normas se aplicam (e.g., categorias dos dados e de titulares, finalidades e base legal de tratamento);
• Identificação dos países destinatários dos dados;
• Lista das entidades que compõem o conglomerado ou grupo de empresas, destacando o papel exercido por cada uma, e os dados de contato de cada organização que efetue o tratamento de dados pessoais;
• Delimitação de responsabilidades pelos tratamentos, com a indicação de cada entidade responsável;
• Os direitos dos titulares e os meios para o seu exercício;
• Necessidade de comunicação à ANPD em caso de alteração nas garantias apresentadas como suficientes para a observância dos princípios, dos direitos dos titulares e do regime de proteção da LGPD, sobretudo se um dos membros do grupo ou conglomerado estiver sujeito a determinação legal que impeça o cumprimento das normas corporativas globais.

A íntegra das normas corporativas globais, aprovadas pela ANPD, deve ser disponibilizada aos titulares mediante requerimento, em até 15 (quinze) dias corridos. Caso haja algum segredo comercial ou industrial nas normas, o controlador pode removê-los antes de disponibilizar aos titulares.

Qualquer alteração no conteúdo das normas corporativas globais deve ser submetida a aprovação prévia da ANPD.

Cláusulas contratuais específicas

O controlador pode solicitar à ANPD a aprovação de cláusulas contratuais específicas, que, segundo o Regulamento, devem oferecer e comprovar garantias de cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados previstos na LGPD. Há igualmente uma série de requisitos formais para esse requerimento. Assim como para a aprovação das normas corporativas globais, para realizar a aprovação das cláusulas contratuais específicas, a ANPD pode realizar diligências para verificar as operações de tratamento de dados pessoais objeto das cláusulas, além de poder requerer uma série de documentos e informações.

Importante notar que essa aprovação somente pode ser requerida se as cláusulas-padrão da ANPD não puderem ser adotadas, por circunstâncias excepcionais que devem ser comprovadas à ANPD no requerimento.

O Regulamento deixa margem para que essa aprovação se estenda para outros controladores que realizem transferências internacionais em circunstâncias similares – a ANPD inclusive publicará essas cláusulas específicas, observados segredos comerciais e industriais, se for o caso de poderem ser utilizadas por terceiros. Mais uma vez, na medida em que determinado controlador, na ausência das cláusulas-padrão, vinha adotando uma cláusula específica para embasar suas transferências internacionais, a solicitação de sua aprovação pela ANPD pode ser um meio para evitar a alteração de todos os seus contratos vigentes. Ressalta-se, porém, o fator tempo, uma vez que a eventual demora da ANPD em publicar essa aprovação pode colocar em risco o cumprimento do prazo de 12 (doze) meses do Regulamento para alterar todos os contratos vigentes para inclusão das novas cláusulas-padrão da ANPD.

A íntegra das cláusulas contratuais específicas, aprovadas pela ANPD, deve ser disponibilizada aos titulares mediante requerimento, em até 15 (quinze) dias corridos. Caso haja algum segredo comercial ou industrial nas cláusulas em questão, o controlador pode removê-los antes de disponibilizar aos titulares.

Qualquer alteração no conteúdo das cláusulas deve ser submetida a aprovação prévia da ANPD.

Medidas específicas de transparência aos titulares

O Regulamento trouxe a exigência de um novo aviso ou política de privacidade, específico para transferências internacionais, a ser colocado em página da internet do controlador, em língua portuguesa, em linguagem simples, clara, precisa e acessível. Inclusive, prevê que esse documento de transparência sobre transferências internacionais seja disponibilizado em página específica ou integrado ao aviso ou política já existente. Esse aviso específico de transferências transnacionais deve contar, no mínimo:

• As formas, a durações e as finalidades específicas das transferências internacionais realizadas;
• Os países de destino dos dados pessoais;
• A identificação e os contatos dos controladores;
• Informações sobre o compartilhamento de dados pelo controlador e as finalidades, o que nos parece redundante com o primeiro ponto acima;
• As responsabilidades dos agentes que realização os tratamentos, no sentido de identificar se os destinatários são controladores e/ou operadores;
• As medidas de segurança adotadas nessa transferência internacional;
• Os direitos dos titulares, por meio de canal de fácil acesso (e.g., e-mail), destacando o direito de peticionar à ANPD contra o controlador.

O Regulamento não concedeu nenhum período para implementar as medidas acima, de maneira que, via de regra, os novos avisos específicos sobre transferência internacional devem estar disponibilizados nos sítios eletrônicos dos controladores o quanto antes.

Conclusão

O Regulamento impõe uma série de desafios para os controladores e para os operadores, seja para implementar os mecanismos mencionados acima, seja com relação às medidas de transparência exigidas. De toda forma, ainda que o Regulamento não imponha uma obrigação de avaliação de impacto específica, é recomendável que os controladores também calculem os riscos envolvidos na legislação dos países destinatários, tal como já praticado no contexto da União Europeia.

Estaremos monitorando os próximos passos da ANPD, sobretudo o volume e a velocidade de aprovação de normas corporativas globais e de cláusulas contratuais específicas.