search
BlogGeral

Regulamento de Transferência Internacional de D...

Regulamento de Transferência Internacional de Dados: saiba mais sobre a CD/ANPD Nº 19

Atualizado em 17 de setembro de 24 | Geral  por

Bárbara Guido.
Bárbara Guido

No dia 23 de agosto deste ano, a Resolução CD/ANPD n.º 19/2024 foi publicada no Diário Oficial da União. Esta resolução, aprovada pela Autoridade Nacional de Proteção de Dados, definiu o Regulamento de Transferência Internacional de Dados.

Este é um avanço importante na legislação brasileira, pois regulamenta as transferências internacionais de dados pessoais e estabelece cláusulas-padrão contratuais, dando mais proteção e segurança jurídica aos titulares de dados no Brasil e aos agentes de tratamento nacionais e estrangeiros.

Preparamos este artigo para você entender melhor as regras estabelecidas pela resolução e o que muda para os agentes de tratamento. Continue a leitura a seguir!

O que a LGPD diz sobre a transferência internacional de dados

A transferência internacional de dados ocorre em diversas situações, algumas mais complexas, como transações comerciais entre empresas multinacionais, outras mais corriqueiras, por exemplo, quando você faz uma compra em um site de e-commerce com servidor localizado em país estrangeiro, ou precisa tirar um visto para entrar em outro país.

Assim, o inciso XV do artigo 5º da Lei n.º 13.709 de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), define que a transferência internacional de dados é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o Brasil seja membro.

Além disso, os artigos 33 a 36 estabeleceram as regras gerais para atividades que envolvam transferência internacional de dados pessoais. Os incisos I a IX do artigo 33 autoriza esse procedimento em nove hipóteses. São elas:

  • Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei;
  • Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, na forma de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais; selos, certificados e códigos de conduta regularmente emitidos;
  • Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, segundo os instrumentos de direito internacional;
  • Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular, ou de terceiro;
  • Quando a autoridade nacional autorizar a transferência;
  • Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  • Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do artigo 23 da LGPD;
  • Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
  • Quando necessário para atender às hipóteses previstas nos incisos II, V e VI do art. 7º da LGPD.

Conhecendo as principais regras do Regulamento de Transferência Internacional de Dados

É importante frisar que a  Resolução CD/ANPD n.º 19/2024 regulamentou o artigo 33, incisos I e II, alíneas 'a', 'b' e 'c', artigo 34, artigo 35, caput e parágrafos 1º, 2º e 5º, e artigo 36 da LGPD.

Assim, o disposto no Regulamento não exclui a possibilidade da realização de transferência internacional de dados com base nos demais mecanismos previstos nos incisos III a IX do artigo 33, que não dependem de regulamentação, desde que atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.

Portanto, ao cadastrar-se em um site de e-commerce, por exemplo, a Resolução n.º 19 não se aplica.

Objetivo e escopo da norma

Estabelecer os procedimentos e regras aplicáveis às operações de transferência internacional de dados para países ou organismos internacionais que:

  • Proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD, mediante reconhecimento da adequação pela ANPD;
  • Quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, na forma de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; ou normas corporativas globais.

Diretrizes para transferência internacional de dados

  • Cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência, inclusive após o término do tratamento e nas hipóteses de transferências posteriores;
  • Adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais;
  • Promoção do livre fluxo transfronteiriço de dados, com observância aos direitos dos titulares;
  • Responsabilização e prestação de contas, mediante a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento dos princípios dos direitos do titular;
  • Implementação de medidas efetivas de transparência;
  • Adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.

Caracterização da transferência internacional de dados

Será caracterizada quando o exportador transferir dados pessoais para o importador. A coleta internacional de dados não caracteriza transferência internacional de dados.

Hipótese legal e mecanismo de transferência

A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Decisão de adequação

A ANPD poderá reconhecer, mediante decisão de adequação, a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais, observado o disposto na LGPD e no Regulamento.

Cláusulas-padrão contratuais

Definidas pela ANPD, as cláusulas estão no Anexo II do Regulamento e estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados.

Cláusulas-padrão contratuais equivalentes

A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas previstas no Anexo II.

Cláusulas contratuais específicas

O controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas, que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e no Regulamento.

Esses dispositivos somente serão aprovados quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.

Normas corporativas globais

São destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem.

Adequação à resolução

Os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas contratuais têm um prazo de até 12 meses, a partir da publicação, para incorporar as cláusulas-padrão aprovadas pela ANPD em seus contratos.

Qual a importância do Regulamento de Transferência Internacional de Dados?

Segundo a Autoridade Nacional de Proteção de Dados (ANPD), este regulamento é importante, pois estabelece procedimentos e regras para o reconhecimento de adequação de outros países ou organismos internacionais. O regulamento, ainda, disciplina mecanismos contratuais para a realização de transferências internacionais de dados pessoais.

Rodrigo Santana dos Santos, coordenador-geral de Normatização da ANPD, afirmou que “a norma promove maior segurança jurídica para a inserção dos agentes de tratamento no comércio global e nas relações transfronteiriças e, consequentemente, proporciona maior proteção aos dados dos titulares durante toda a cadeia de tratamento, conforme previsto na Lei”.

Além disso, a construção da norma foi um importante mecanismo de participação ativa da sociedade civil. Desde 2022, a ANPD colocou em debate a elaboração da resolução. Assim, para se chegar ao atual regulamento, a norma passou por diversas etapas.

Para fomentar o envolvimento da sociedade, a Autoridade realizou uma Tomada de Subsídios, instrumento simplificado e discricionário que consultou especialistas e autoridades internacionais, a fim de construir conhecimento, levantar dados e desenvolver propostas.

Contou, ainda, com uma Consulta e uma Audiência Pública. Ao todo, foram 1.763 contribuições da sociedade, que, ao longo do processo de elaboração do texto final, foram avaliadas pelas áreas técnicas da ANPD e, quando pertinentes, incorporadas ao Regulamento.

Assine nossa news!

Gostou do conteúdo? Então preencha o formulário abaixo e receba quinzenalmente em seu e-mail conteúdos sobre compliance, ESG, tecnologia, governança e muito mais!


Bárbara Guido é mineira, advogada pela UFJF e estudante de Jornalismo na UFOP. Apaixonada por comunicação, atua como analista de governança corporativa e redatora de conteúdo jurídico e técnico para sites e blogs.