A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta sexta-feira, 23, o Regulamento de Transferência Internacional de Dados (Resolução nº 19/24). O texto dita as regras às quais empresas estão sujeitas caso precisem remeter dados pessoais a outros países. Elenca ainda as cláusulas-padrão que todos os contratos sobre o assunto devem trazer. As empresa têm 12 meses para adequar os contratos.
As cláusulas-padrão, diz a ANPD, estabelecem as garantias mínimas e condições para as transferências internacionais de dados. “Visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular”.
As empresas deverão adotar as cláusulas sem nenhuma alteração. Além disso, outros itens nos contratos “não poderão excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais”.
Entre as regras estão medidas de transparência. O controlador dos dados deverá, sempre que solicitado pelo titular, disponibilizar as cláusulas que orientam as transferências internacionais em no máximo 15 dias.
Também tem que informar em seu site na internet a forma das transferências, a duração, a finalidade, o país de destino dos dados e apresentar maneiras de ser contatado pelos titulares. A página ainda deverá dizer se há uso compartilhado de dados e para quê, qual a responsabilidade dos agentes que farão tratamento destes dados no exterior, e explicar as medidas de segurança e proteção das informações.
Empresas que não utilizarem as cláusulas padrão deverão solicitar à ANPD uma análise das cláusulas equivalentes em seus contratos. Será instaurado um processo, com elaboração de parecer também pela Procuradoria Federal Especializada, e julgamento pelo Conselho Diretor a respeito da proposta alternativa apresentada.
O colegiado poderá, inclusive, determinar a realização de consulta pública sobre as cláusulas apresentadas por uma empresa que sejam alternativas ao modelo padrão publicado hoje.
O regulamento abarca transferências feitas entre empresas de uma mesmo grupo econômico com atuação em outros países. Neste caso, os conglomerados deverão submeter suas normas corporativas globais de transferência de dados à aprovação da ANPD.
A autarquia publicará em seu site eletrônico a relação das cláusulas contratuais específicas e das normas corporativas globais aprovadas, com indicação do respectivo requerente, da data de aprovação e da decisão proferida pelo Conselho Diretor. Publicará a íntegra das cláusulas contratuais específicas somente caso possam ser utilizadas por outros agentes de tratamento e não revelem segredos comercial e industrial.
Ao todo, o regulamento elenca 24 cláusulas contratuais-padrão, que podem ser vista no Diário Oficial. Trata-se do Anexo II da regra editada hoje.
Não apenas deixam explícita à adesão das parte à lei brasileira de proteção de dados, como orientam a adesão de terceiros ao tratamento de dados, o registro de incidentes, o uso de salvaguardas adicionais para dados sensíveis, de crianças e adolescentes, direitos dos titulares e ressarcimento. Por exemplo, dita que o operador responde solidariamente pelos danos causados por um agente de tratamento no exterior.
O Regulamento de Transferência Internacional de Dados também determina que, em caso de desentendimento entre as partes, há possibilidade de arbitragem. Para situações assim, o processo deve ser conduzido no Brasil.