Informações importantes sobre a transferência internacional de dados
Com a aprovação do Regulamento de Transferência Internacional de Dados, pela Autoridade Nacional de Proteção de Dados (ANPD), as organizações precisam promover ações para garantir a conformidade às novas regras.
O conhecimento de alguns pontos é essencial para que haja eficiência na adoção dessas ações e ofereça-se um grau de conformidade satisfatório às empresas.
Hipóteses de transferência regulamentadas pela ANPD
A transferência internacional de dados demanda o enquadramento em uma das hipóteses que permita esse fluxo. Além das cláusulas-padrão contratuais, aprovadas e divulgadas pela ANPD, existem outros mecanismos que dependem de aprovação pela ANPD.
Um desses mecanismos é a decisão de adequação, pela ANPD, de que um país ou organismo internacional proporciona grau de proteção de dados pessoais adequado ao previsto na LGPD.
No entanto, as empresas não podem solicitar à ANPD essa validação. Esse procedimento pode ser instaurado de ofício pelo Conselho Diretor, ou mediante requerimento das pessoas jurídicas de direito público.
Por sua vez, a ANPD já está analisando um requerimento desses, promovido pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome (MDS), solicitando a emissão de decisão de adequação e equivalência do grau de proteção de dados pessoais do Banco Mundial com a LGPD. Apesar de haver pouco, se algum, impacto nas organizações privadas nacionais, de certo que servirá para demonstrar alguns entendimentos e interpretações da ANPD.
Já as solicitações para validação de cláusulas-padrão equivalentes, cláusulas contratuais específicas ou normas corporativas globais podem ser promovidas pelas empresas. A ANPD disponibilizou os respectivos formulários para preenchimento pelas partes interessadas e os resultados das aprovações serão publicados pela ANPD – no caso das cláusulas específicas, se puderem ser utilizadas por outras organizações, serão publicadas na íntegra.
Um ponto interessante é que as normas corporativas globais podem, a princípio, serem candidatas a uma estratégia favorável às empresas pertencentes a grupos internacionais. Contudo, caso haja a validação, as normas corporativas somente poderão ser alteradas mediante prévia autorização pela ANPD – o que pode se tornar burocrático e oneroso. Existe, contudo, a previsão para que o Conselho Diretor da ANPD estabeleça procedimento simplificado para aprovação das alterações que não afetem garantias de observância dos principais pontos de proteção aos titulares.
Cuidados nos casos de transferência posterior
Em muitos casos, ocorre a transferência internacional de dados e, posteriormente, uma nova transferência, de modo que algumas regras precisam ser observadas. Quando forem utilizadas as cláusulas-padrão contratuais, deverá haver a descrição das informações referentes à continuidade do compartilhamento de dados.
Veja, para que haja transferência posterior, deverá haver autorização expressa pela empresa exportadora dos dados, indicando-se as principais finalidades da transferência, categorias de dados pessoais transferidos, período de armazenamento dos dados e eventuais outras informações pertinentes.
O agente de tratamento importador assumirá obrigações relacionadas à garantia de que as finalidades para a primeira transferência internacional continuem sendo observadas, formalizar em contrato escrito que o novo destinatário irá observar as condições de proteção dos dados previstas no contrato, bem como se responsabilizará por eventuais irregularidades praticadas pelo novo destinatário.
No entanto, a hipótese de autorização para a transferência internacional (que, até então, era apoiada nas cláusulas-padrão contratuais) pode ser outra, como o envio a país estrangeiro com nível de proteção aos dados pessoais equivalente ao da LGPD (caso assim tenha validado a ANPD).
É importante observar, portanto, que mesmo que a transferência posterior seja baseada em outro mecanismo autorizado para a transferência internacional, em até certa medida haverá a necessidade de formalização em contrato escrito para a previsão de normas específicas.
Portanto, o mapeamento de todo o fluxo dos dados é essencial para que as ações de atendimento às novas regras para transferência internacional de dados sejam eficazes.
Por que é importante ter esses conhecimentos?
Estar em conformidade com as regras de proteção de dados pessoais é mais complexo do que se pode imaginar. A LGPD e os Regulamentos da ANPD dialogam entre si e trazem convergências e, em alguns casos, podem gerar conflitos ou obstáculos à adequação.
A Alves Oliveira está preparada para orientar empresas na adequação às novas regras de conformidade da LGPD e transferência internacional de dados. Estamos à disposição para discutir como as novas regras impactam sua empresa e esclarecer dúvidas sobre a adequação à LGPD
