O mês de agosto trouxe mudanças significativas para o cenário de transferência internacional de dados. No dia 23, a ANPD (Autoridade Nacional de Proteção de Dados) publicou o aguardado Regulamento de Transferência Internacional de Dados Pessoais e as cláusulas-padrão contratuais[1]. No panorama internacional, no dia 26, a autoridade holandesa de proteção de dados (Autoriteit Persoonsgegevens) impôs uma multa histórica de 290 milhões de Euros ao Uber por realizar, sem as proteções adequadas, transferências de dados pessoais de motoristas europeus para a sua sede nos Estados Unidos[2]. Ainda, no dia 27, as autoridades chinesas e europeias se reuniram para discutir mecanismos de fluxo transfronteiriço de dados não pessoais, amplamente classificados como “dados importantes” pela legislação chinesa, visando otimizar operações europeias que atualmente enfrentam gargalos[3].
À medida que o fluxo internacional de dados se torna cada vez mais complexo e vital para a economia global, o âmbito regulatório cria mecanismos mais robustos para operacionalizá-lo. Este artigo visa esclarecer a quem o novo Regulamento da ANPD se aplica e como deve ser implementado, no prazo de 12 meses estabelecido pela autoridade.
De acordo com o novo regulamento, há transferência internacional de dados pessoais quando o exportador, agente de tratamento localizado no território nacional ou em país estrangeiro, transfere dados pessoais para o importador, que recebe os dados pessoais em um país diferente do exportador. Essa transferência está sujeita à legislação brasileira de proteção de dados (LGPD) quando:
(I) a operação de tratamento for realizada no território nacional; ou
(II) a atividade de tratamento tiver como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil ou
(III) os dados pessoais objeto do tratamento forem coletados no território nacional.
Embora, à primeira vista, essas atividades possam parecer distantes do cotidiano de muitas organizações, um exame mais atento revela que, se a organização (i) utiliza ferramentas de armazenamento em nuvem com servidores localizados no exterior, como Microsoft 365 ou Google Workplace; (ii) possui fornecedores e prestadores de serviços estrangeiros com quem compartilha dados pessoais; ou (iii) compartilha dados pessoais com a matriz ou filial localizada no exterior, entre outras situações, ela está realizando transferência internacional de dados conforme definido pela ANPD e, portanto, deve se adequar ao novo Regulamento.
Para realizar as transferências internacionais, é necessário que ela esteja amparada em pelo menos uma das hipóteses de tratamento previstas no art. 7º (dados pessoais) ou no art. 11 (dados pessoais sensíveis) da LGPD. Além disso, a organização precisa adotar um dos seguintes mecanismos:
(I) decisão de adequação da ANPD declarando que o país importador proporciona grau de proteção de dados adequado ao previsto na LGPD;
(II) cláusulas-padrão contratuais da ANPD;
(III) declaração de equivalência de cláusulas-padrão contratuais de outros países ou
(IV) normas corporativas globais ou cláusulas contratuais específicas, ambas com aprovação da ANPD; ou (v) outros mecanismos elencados no art. 33 da LGPD.
Como medida de transparência, o controlador deve disponibilizar em sua Política de Privacidade ou em outra parte de seu site, as seguintes informações:
(I) a forma, a duração e a finalidade específica da transferência internacional;
(II) o país de destino dos dados transferidos;
(III) a identificação e os contatos do controlador;
(IV) o uso compartilhado de dados pelo controlador e finalidade;
(V) as responsabilidades dos agentes de tratamento e as medidas de segurança adotadas e
(VI) os direitos do titular.
O CQT Advogados está à disposição para ajudar a sua organização a identificar a necessidade de adequação ao Regulamento de Transferência Internacional da ANPD, bem como às outras normas de proteção de dados pessoais.
Por Karen Yui Sagawa