A transferência internacional de dados pessoais é um tema de grande relevância no cenário atual de proteção de dados, especialmente com a crescente globalização das operações empresariais e a interconexão de sistemas de informação em nível mundial. Com a publicação da Resolução nº 19 pela Autoridade Nacional de Proteção de Dados (ANPD) em 23 de agosto de 2024, o Brasil dá um passo significativo para regulamentar de forma mais clara e detalhada os procedimentos de transferência internacional de dados. Este artigo tem como objetivo explorar as novidades trazidas por essa resolução, identificar os principais mecanismos previstos para a transferência de dados e comparar essas disposições com a General Data Protection Regulation (GDPR), a regulamentação europeia sobre o tema.
Nos termos da Resolução ANPD 19, a transferência internacional de dados ocorre quando dados pessoais são coletados em território brasileiro e enviados para fora do território nacional, seja para países ou organizações internacionais. Esse processo envolve diversas regras que visam garantir que os dados pessoais dos titulares brasileiros sejam protegidos de acordo com padrões equivalentes à Lei Geral de Proteção de Dados (LGPD).
A LGPD trouxe normas gerais para a realização da transferência internacional de dados, disciplinando-as em seus dispositivos do art. 33 ao art. 36, de forma que a Resolução ANPD 19 veio para regulamentar na prática as especificidades destas transferências internacionais.
A Resolução ANPD 19 define mecanismos específicos que podem ser utilizados para viabilizar essas transferências, garantindo que os dados pessoais mantenham um nível adequado de proteção. Dentre os mecanismos principais, destacam-se:
- Cláusulas-Padrão Contratuais – modelos de cláusulas contratuais especificados e aprovados pela ANPD no Anexo II da Resolução 19, que estabelecem obrigações claras às partes envolvidas na transferência.
- Certificações – empresas certificadas em boas práticas de proteção de dados, reconhecidas pela ANPD, que podem facilitar a transferência internacional.
- Selos e Certificações – métodos de conformidade que demonstram que as organizações seguem padrões de proteção de dados compatíveis com a LGPD.
- Normas Corporativas Globais (Binding Corporate Rules - BCRs) – regras aplicáveis a grupos econômicos multinacionais, assegurando que os dados sejam protegidos dentro do grupo em qualquer país.
- Cláusulas Contratuais Específicas – cláusulas contratuais personalizadas para uma determinada transferência internacional de dados e previamente aprovadas pela ANPD, que asseguram a conformidade com os requisitos da LGPD mas que não poderiam ser Cláusulas-Padrão Contratuais em razão da especificidade da operação.
Esses mecanismos visam facilitar o fluxo de dados para fora do Brasil, garantindo, ao mesmo tempo, a proteção dos direitos dos titulares. No entanto, à luz dessa nova regulamentação, surgem desafios contratuais importantes para as empresas que lidam com transferências internacionais de dados.
Comparação com a GDPR: Diferenças e Similaridades
A GDPR, vigente na União Europeia desde 2018, serviu como referência para a criação da LGPD e, por consequência, para a Resolução nº 19. Ambas as regulamentações visam garantir a segurança dos dados pessoais em um ambiente globalizado. No entanto, há diferenças marcantes nos mecanismos de transferência internacional previstos em cada uma.
Mecanismos de Transferência Internacional
Tanto a GDPR quanto a Resolução ANPD 19 preveem cláusulas contratuais padrão e regras corporativas globais como formas seguras de viabilizar a transferência de dados. No entanto, enquanto a GDPR já possui um conjunto consolidado de cláusulas contratuais padrão aprovadas pela Comissão Europeia, a ANPD ainda está em processo de elaboração e divulgação de seus modelos. Em que pese a disponibilização das primeiras Cláusulas-Padrão Contratuais no Anexo II da Resolução, o cenário pode mudar considerando a incipiência do regulamento, o que traz insegurança para as empresas brasileiras, que atuam diariamente com este tipo de operação.
A GDPR também introduziu o conceito de "adequação", permitindo a transferência de dados para países que apresentem um nível de proteção de dados equivalente ao da UE. A Resolução ANPD 19 adota um conceito similar, mas a lista de países considerados adequados pela ANPD ainda não foi publicada. Essa lacuna pode gerar dificuldades para empresas que precisam realizar transferências urgentes de dados, enquanto aguardam orientações mais claras da ANPD.
Normas Corporativas Globais (BCRs)
Ambas as regulamentações aceitam as BCRs como um mecanismo válido para a transferência de dados dentro de grupos econômicos multinacionais. Contudo, na prática, as empresas brasileiras podem enfrentar desafios ao adotar as BCRs, uma vez que esse procedimento ainda é pouco difundido no Brasil. Além disso, o processo de aprovação das BCRs pela ANPD pode ser mais lento do que o previsto, gerando um descompasso entre a implementação prática e a conformidade regulatória, visto que a Resolução ANPD 19 apenas apontou informações mínimas que as BCRs devem conter, o que pode tornar o processo de avaliação e aprovação pela autoridade reguladora mais subjetivo e aberto à interpretações diversas.
Certificações e Selos
A GDPR permite que organizações utilizem mecanismos de certificação como prova de conformidade com os regulamentos de proteção de dados. A Resolução ANPD 19 segue a mesma linha, mas ainda carece de um sistema robusto de certificações no Brasil, o que pode ser um entrave para empresas que desejam usar essa via como um facilitador para transferências internacionais de dados.
Diferenças na Prática Contratual
Um dos principais desafios contratuais para as empresas brasileiras será a adaptação de seus contratos de transferência internacional de dados para atender aos requisitos da Resolução ANPD 19 no exíguo prazo de 12 meses contados da sua publicação. A ANPD impôs regras específicas quanto à inserção de cláusulas obrigatórias que garantam a proteção dos dados pessoais transferidos, criando uma necessidade de revisão nos acordos firmados com terceiros para este tipo de operação.
Outro ponto a se destacar é a necessidade de revisão das BCRs à luz dos critérios da Resolução, se já existentes, e, assim, a sua submissão à avaliação da ANPD; ou, a própria elaboração destas normas para validação da ANPD. Ainda, caso inexistentes, as empresas brasileiras deverão trabalhar ao máximo no sentido de elaborá-las em conjunto com as empresas estrangeiras de seu grupo econômico para validação da ANPD ou mesmo considerar a elaboração de um contrato com as cláusulas-padrão previstas no Anexo II da Resolução a fim de conferir celeridade à adequação. De todo modo, as empresas brasileiras encontram-se em uma verdadeira corrida contra o tempo.
Empresas que operam no mercado europeu já estão familiarizadas com a adaptação de contratos à GDPR, o que pode facilitar a adaptação à nova resolução da ANPD. Contudo, para aquelas que ainda não lidam diretamente com dados internacionais, a implementação dessas cláusulas contratuais pode requerer uma maior assistência jurídica e revisão interna dos procedimentos.
Conclusão
A Resolução ANPD 19 representa um avanço importante na proteção de dados no Brasil, alinhando-se às melhores práticas internacionais, especialmente à GDPR. No entanto, a implementação prática dessa resolução apresenta desafios contratuais significativos para as empresas brasileiras, que precisarão adaptar seus contratos e operações de transferência internacional de dados a um novo padrão regulatório.
Um dos maiores desafios será a adequação das cláusulas contratuais às exigências da ANPD, principalmente no tocante às operações de transferências que não se enquadram no padrão previsto pela ANPD. Além disso, a falta de uma lista clara de países adequados para a transferência de dados e a ausência de um sistema consolidado de certificações podem representar entraves adicionais.
Para superar esses desafios, as empresas brasileiras devem estar atentas às futuras orientações da ANPD e investir em consultoria jurídica especializada para garantir que seus contratos estejam em conformidade com a nova regulamentação. A adaptação à Resolução ANPD 19 é essencial não apenas para evitar sanções, mas também para garantir a competitividade das empresas em um mercado global cada vez mais pautado pela proteção de dados e privacidade.