Regulamentação da transferência internacional de dados avança
Featured

Regulamentação da transferência internacional de dados avança

O Sistema OCB tem acompanhado de perto a regulamentação da transferência internacional de dados pessoais em razão da atuação significativa de cooperativas no cenário internacional, além das diversas rotinas e atividades que envolvem, em maior ou menor grau, a realização de transferência de dados pessoais para outros países (Ex.: servidores de armazenamento, plataformas digitais, etc.).

O Grupo Temático do Conselho Nacional de Proteção de Dados (CNPD), responsável por propor diretrizes estratégicas relacionadas à transferência internacional de dados pessoais convidou o Sistema OCB para falar sobre o tema aplicado a realidade do cooperativismo. A participação se deu por meio de entrevista com o encarregado pelo tratamento de dados pessoais da organização, Cristhian Homero Groff, e pelo envio de documento contendo respostas para um rol de questionamentos apresentados pelo grupo.

A Agência Nacional de Proteção de Dados (ANPD) também divulgou o início da consulta pública sobre a minuta de Resolução que se refere ao Regulamento de Transferências Internacionais de Dados Pessoais e ao modelo de Cláusulas-Padrão Contratuais, em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD. A consulta está disponível na plataforma Participa Mais Brasil até o dia 14 de setembro de 2023.

A minuta divulgada busca regular a transferência de dados pessoais para países estrangeiros ou organismos internacionais dos quais o Brasil seja membro, bem como os modelos de Cláusulas-Padrão Contratuais (CPC), o fluxo de aprovação das Cláusulas Específicas (CE) e Normas Corporativas Globais (NCG), além do mecanismo da Decisão de Adequação.

As hipóteses legais e modalidades de transferência internacional são, resumidamente:

 

Decisão de adequação

O que é: instrumento pelo qual a ANPD reconhece, por decisão do Conselho Diretor, de ofício ou após solicitação das pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527/2011, que determinado país estrangeiro ou de organismo internacional apresenta equivalência do nível de proteção de dados pessoais com a LGPD.

Requisitos: o mecanismo é realizado por meio de um processo de avaliação do nível de proteção de dados pessoais que levará em consideração (i) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; (ii) a natureza dos dados; (iii) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD; (iv) a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; (v) a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e (vi) outras circunstâncias específicas relativas à transferência.

 

Cláusulas-padrão contratuais (CPC)

O que é: instrumento que estabelece garantias mínimas e condições válidas para a realização de transferência internacional de dados baseadas no inciso II, alínea b, do art. 33 da LGPD.

Requisitos: devem ser utilizadas como parte de contrato específico para reger a transferência internacional de dados ou incorporadas a um contrato de objeto mais amplo. As disposições previstas no instrumento contratual ou em contratos coligados firmados entre as Partes não podem excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.

Ponto de atenção: O agente de tratamento designado nas cláusulas-padrão contratuais deverá (i) disponibilizar ao titular, em caso de solicitação, o instrumento contratual utilizado para a realização da transferência internacional de dados, observados os segredos comercial e industrial; e (ii) publicar em sua página na Internet documento contendo informações redigidas em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados.

Equivalência de cláusulas de outros países: a minuta prevê a possibilidade do agente de tratamento solicitar à ANPD o reconhecimento de equivalência de cláusulas-padrão contratuais de outros países ao padrão adotado e indicado no Anexo 2 da Resolução. Uma vez reconhecida a equivalência, o documento poderá ser utilizado por outros agentes de tratamento, constituindo modalidade válida para a realização de transferências internacionais de dados, na forma do art. 33, II, b, da LGPD, observadas as condicionantes estabelecidas na decisão do Conselho Diretor.

 

Cláusulas contratuais específicas

O que é: instrumento que estabelece garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no Regulamento para ser utilizado pelo controlador em razão da singularidade de determinadas transferências, desde que as cláusulas-padrão contratuais estabelecidas no Anexo 2 da Resolução não possam ser utilizadas em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas.

Requisitos: o controlador deverá apresentar o instrumento contratual que regerá a transferência internacional de dados, contendo as cláusulas específicas, para a aprovação pela ANPD.

 

Normas Corporativas Globais

O que é: instrumento que estabelece normas vinculantes para possibilitar a realização de transferência internacional de dados entre organizações do mesmo grupo econômico.

Requisitos: as normas corporativas globais devem ser submetidas à aprovação da ANPD e conter, no mínimo: (i) especificação das categorias de transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados; (ii) identificação dos países para os quais os dados são transferidos; (iii) estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais; (iv) determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo econômico, inclusive para seus funcionários; (v) delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável; (vi) indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD; (vii) regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e (viii) previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas, especialmente na hipótese em que um dos membros do grupo estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.

 

Prática

As informações preliminares sobre a regulação das transferências internacionais disponibilizadas pela ANPD demonstram a importância e a complexidade que o tema possui. Por isso, recomenda-se que as cooperativas envolvam seus Encarregados pelo tratamento de dados pessoais na avaliação da minuta disponibilizada e iniciem o levantamento das transferências internacionais realizadas para que, a partir disso e após a publicação da resolução, sejam iniciados os procedimentos de adequação com o uso do(s) instrumento(s) jurídico(s) pertinente(s).

Gostou do tema? Nos acompanhe e fique por dentro da evolução regulatória da ANPD sobre proteção de dados pessoais. 

Conteúdos Relacionados