Como a Resolução CD/ANPD nº 19/2024 Impacta a Transferência de Dados?
Foi publicada no Diário Oficial da União em 23 de agosto de 2024, a Resolução CD/ANPD nº 19/2024, que visa regulamentar a transferência internacional de dados pessoais no Brasil, de acordo com os artigos 33 a 36 da Lei Geral de Proteção de Dados Pessoais (LGPD).
Seu objetivo é garantir a efetividade do sistema de proteção de dados brasileiro no cenário internacional, estabelecendo regras e procedimentos para a proteção dos direitos dos titulares, bem como auxiliar os agentes de tratamento no cumprimento de seus deveres, inclusive disciplinando mecanismos contratuais para a realização de transferências internacionais de dados pessoais.
O Regulamento define procedimentos e regras para a transferência internacional de dados, seja para países com proteção adequada reconhecida pela Autoridade ou quando o controlador comprovar garantias de conformidade com a LGPD, por meio de cláusulas contratuais ou normas corporativas globais. O normativo não exclui a possibilidade de transferências com base em outros mecanismos previstos no artigo 33 da LGPD, desde que atendidos os requisitos legais e as especificidades do caso concreto.
É nesse cenário que a Resolução nº 19 deixa claro a necessidade de revisão de fluxos e adequação pontual de processos nas organizações, acima de tudo se considerada a previsão trazida em seu art. 17§ 2º, uma etapa importante para se atingir tal transparência consiste em realizar uma adequada revisão de suas políticas de privacidade para incluir informações contendo, minimamente, aspectos importantes sobre a transferência internacional realizada, quais sejam:
- Forma, duração e finalidade da transferência realizada;
- Natureza dos dados;
- País de destino dos dados transferidos, quais normas são adotadas e verificação se há observância aos princípios de proteção aos direitos dos titulares;
- Identificação e contatos do controlador;
- Descrição do uso e finalidade de compartilhamento dos dados;
- Responsabilidades dos agentes de tratamento envolvidos na operação e;
- Descrição dos direitos do titular, contando ainda com indicação do meio de exercício destes direitos;
- As garantias judiciais e institucionais existentes, incluindo a presença de um órgão regulador independente.
Além desses critérios pontuais, também devem ser consideradas pelas empresas, algumas questões estratégicas, tais como: i) os riscos e benefícios da decisão de adequação; ii) os impactos no fluxo internacional de dados; iii) as relações diplomáticas, o comércio e a cooperação internacional, destacando que os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas contratuais têm um prazo de até 12 meses, a partir da publicação deste regulamento, para incorporar as cláusulas-padrão aprovadas pela ANPD em seus contratos.