A Autoridade Nacional de Proteção de Dados publicou nesta sexta, 23 de agosto de 2024, a Resolução 19/24, que estabelece diretrizes para a transferência internacional de dados.
Para a ANPD, o regulamento, previsto na Lei Geral de Proteção de Dados (Lei nº 13.709/18), visa garantir a proteção dos dados pessoais dos brasileiros mesmo quando transferidos para outros países.
A resolução define que a transferência internacional só pode ocorrer para países ou organismos internacionais que ofereçam um nível de proteção de dados pessoais equivalente ao da legislação brasileira. Isso significa que antes de realizar uma transferência, a ANPD deve reconhecer a adequação das normas do país de destino.
Uma das formas de garantir a proteção dos dados é a utilização de cláusulas-padrão contratuais. Essas cláusulas, aprovadas pela ANPD e estabelecidas como anexo da resolução, devem ser adotadas integralmente sem alterações, em qualquer contrato que envolva a transferência internacional de dados.
A ideia, segundo a ANPD, é que essas cláusulas servem como salvaguardas mínimas para assegurar que os direitos dos titulares sejam respeitados.
Empresas que realizam transferências internacionais de dados devem se adequar às novas regras, incorporando as cláusulas-padrão contratuais no prazo de 12 meses.
A resolução também exige que os controladores de dados, responsáveis por gerenciar as transferências, forneçam informações claras e acessíveis aos titulares sobre a transferência de seus dados.
Isso inclui detalhes sobre a finalidade, a duração, o país de destino, e as medidas de segurança adotadas para proteger esses dados. Além disso, os controladores têm 15 dias para fornecer a íntegra das cláusulas contratuais utilizadas, caso solicitado pelo titular.
Os controladores e operadores devem adotar medidas eficazes para comprovar a observância das normas de proteção de dados, com responsabilidade sobre eventuais violações. Essas medidas devem ser proporcionais ao risco envolvido na operação de tratamento de dados.
A ANPD tem a competência para reconhecer, por meio de uma decisão de adequação, a equivalência do nível de proteção de dados pessoais em países estrangeiros ou organismos internacionais. Essa decisão deve se basear em análise das leis locais, medidas de segurança adotadas e a existência de garantias institucionais dos direitos dos titulares.