A Resolução CD/ANPD Nº 19/2024 traz a necessidade de ajustes importantes na forma como as empresas brasileiras conduzem suas operações de transferência internacional de dados pessoais. Embora muitas organizações já estejam em conformidade com a Lei Geral de Proteção de Dados (LGPD), essa nova resolução especifica como essas transferências devem ser formalizadas e monitoradas. O objetivo é assegurar que a proteção dos dados seja mantida em um padrão elevado, independentemente do destino. Mas como se preparar para garantir que sua empresa não apenas esteja em conformidade, mas também possa tirar proveito dessas novas exigências?
Conceitos atualizados e novos padrões
Antes de mergulharmos nas ações práticas, é importante entender alguns dos conceitos-chave que a Resolução CD/ANPD Nº 19/2024 está reforçando ou introduzindo:
1. Transferências Internacionais e Cláusulas Contratuais
A Resolução reforça que qualquer transferência internacional de dados deve garantir que o nível de proteção oferecido seja equivalente ao da LGPD. Para isso, foram introduzidas cláusulas-padrão contratuais, que devem ser incorporadas em todos os contratos que envolvam tais transferências. Essas cláusulas são projetadas para uniformizar as práticas entre controladores e operadores, tanto no Brasil quanto no exterior.
Além disso, em determinadas situações, especialmente quando se trata de cláusulas contratuais específicas, essas precisam ser aprovadas pela ANPD antes de serem implementadas. Isso ocorre principalmente quando as circunstâncias são excepcionais e as cláusulas-padrão não podem ser aplicadas diretamente.
2. Normas Corporativas Globais
Outro conceito destacado é o de normas corporativas globais. Essas normas são úteis para grupos empresariais que operam em várias jurisdições, facilitando a transferência de dados entre diferentes entidades do mesmo grupo. As normas precisam ser aprovadas pela ANPD e devem cumprir requisitos rigorosos que assegurem a proteção dos dados em todas as operações internacionais dentro do grupo.
3. Decisões de Adequação e Requisitos de Segurança
A Resolução também aborda as decisões de adequação, onde a ANPD pode reconhecer que determinados países ou organismos internacionais oferecem um nível de proteção de dados equivalente ao da LGPD. Nessas situações, as transferências para esses países podem ser simplificadas.
Por fim, a Resolução enfatiza a importância da segurança na transferência de dados, exigindo que as empresas adotem medidas de segurança robustas para proteger os dados durante e após a transferência. Além disso, incidentes de segurança devem ser comunicados à ANPD e aos titulares dos dados em até 3 dias úteis.
Implementando as exigências da resolução
1. Atualize seus contratos com cláusulas-padrão
A Resolução introduz a obrigatoriedade de incluir cláusulas-padrão contratuais em todos os contratos que envolvem a transferência internacional de dados. Esse requisito visa uniformizar as práticas e assegurar que todos os parceiros internacionais estejam comprometidos com a proteção dos dados em conformidade com a legislação brasileira.
Ação: Revise todos os contratos existentes que envolvem a transferência de dados internacionais. Consulte sua equipe jurídica para garantir que as cláusulas-padrão sejam incorporadas adequadamente. Isso garantirá que sua empresa mantenha a conformidade sem comprometer a agilidade nos negócios.
2. Avalie o nível de proteção nos países de destino
Nem todos os países oferecem a mesma proteção de dados que o Brasil. A ANPD pode reconhecer que certos países oferecem uma proteção equivalente, simplificando as transferências para esses destinos. Para os outros, medidas adicionais precisam ser tomadas.
Ação: Mapeie os destinos internacionais de seus dados. Verifique se o país para o qual você transfere dados possui uma decisão de adequação emitida pela ANPD. Caso contrário, você precisará garantir que as cláusulas contratuais específicas ou normas corporativas globais sejam implementadas.
3. Considere a adoção de normas corporativas globais
Para empresas que fazem parte de grupos internacionais, as normas corporativas globais podem facilitar a transferência de dados entre diferentes filiais ou subsidiárias. Essas normas, se aprovadas pela ANPD, oferecem uma forma eficiente de gerenciar as transferências de dados, garantindo a conformidade de maneira integrada.
Ação: Avalie a possibilidade de implementar normas corporativas globais em seu grupo. Esse movimento pode não apenas simplificar processos, mas também reforçar o compromisso global da sua empresa com a proteção de dados.
4. Transparência e comunicação são fundamentais
A Resolução exige que as empresas sejam claras sobre como realizam as transferências internacionais de dados. Isso inclui disponibilizar informações acessíveis sobre essas práticas para os titulares dos dados.
Ação: Desenvolva e publique um documento explicando claramente as práticas de transferência internacional de dados da sua empresa. Isso inclui a finalidade da transferência, os países de destino e os direitos dos titulares. Esse passo não só atende à regulamentação como também pode fortalecer a confiança dos clientes e parceiros.
5. Mantenha a segurança no centro das operações
A Resolução reforça a importância de proteger os dados pessoais durante e após a transferência. As empresas devem estar preparadas para comunicar incidentes de segurança à ANPD e aos titulares em até 3 dias úteis.
Ação: Reforce suas políticas de segurança, especialmente em relação a dados transferidos internacionalmente. Estabeleça um plano de resposta a incidentes que garanta uma comunicação rápida e eficaz, minimizando impactos negativos para a empresa e os titulares.
O papel dos anexos na implementação
A Resolução CD/ANPD Nº 19/2024 inclui anexos que detalham os requisitos técnicos e contratuais necessários para as transferências internacionais. Esses anexos são fundamentais, pois fornecem o guia prático para a elaboração dos contratos e para a aplicação das normas corporativas globais. Eles especificam os termos das cláusulas-padrão e orientam como elas devem ser aplicadas, ajudando a garantir que todos os requisitos legais sejam atendidos.
Ação: Certifique-se de que sua equipe jurídica e de compliance esteja familiarizada com os anexos da Resolução. Eles são essenciais para a correta adaptação dos contratos e das práticas internas.
Mais que uma obrigação, uma oportunidade
A Resolução CD/ANPD Nº 19/2024 não impõe mudanças radicais, mas sim ajustes que visam melhorar a proteção de dados em um cenário internacional. Para muitas empresas, isso representará uma reafirmação das práticas já em vigor. No entanto, a conformidade com essas novas regras pode se tornar um diferencial competitivo, reforçando a confiança de clientes e parceiros e demonstrando o compromisso da empresa com a segurança e a transparência.
Ao adotar essas medidas, você não apenas garante que sua empresa esteja em conformidade com a legislação, mas também fortalece sua posição no mercado. Em um ambiente de negócios cada vez mais focado em privacidade e segurança, estar à frente dessas exigências pode ser a chave para construir uma reputação sólida e duradoura. Portanto, veja essa Resolução como uma oportunidade para não apenas se adequar, mas para destacar sua empresa como um líder em proteção de dados no cenário global.
Texto desenvolvido com a colaboração de ChatGPT, um modelo de linguagem da OpenAI.