A ANPD publicou, nesta sexta-feira, o novo regulamento de transferência internacional de dados pessoais, que se aplica a todas as situações em que uma empresa precisa enviar dados pessoais sujeitos à LGPD ao exterior ou compartilhá-los com qualquer destinatário fora do país.
A função desse novo regulamento é possibilitar o cumprimento de disposição da LGPD que garante a aplicação de seu regime de proteção mesmo fora do território brasileiro, obrigando as empresas que enviam dados pessoais ao exterior a salvaguardar os direitos dos titulares dos dados pessoais. Assim, transferência internacional desses dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e, também, desde que amparada em uma base legal adequada e em um mecanismo de transferência previsto no regulamento.
O principal mecanismo a ser usado neste primeiro momento são as cláusulas-padrão contratuais, elaboradas e aprovadas pela ANPD. Elas constam expressamente no regulamento e estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais, devendo ser incorporadas em contratos de prestação de serviços e outros contratos entre empresas brasileiras e empresas estrangeiras que recebem ou tenham acesso a dados pessoais sujeitos à LGPD. As empresas nessa situação terão até a data de 22 de agosto de 2025 para implementar as cláusulas-padrão em seus contratos.
O regulamento se aplica a todas as empresas que realizem transferência internacional de dados pessoais, tanto controladoras de dados pessoais como também operadoras. Isso inclui a transferência para prestadores de serviços terceirizados e de hospedagem em nuvem no exterior. Ele também afetará grupos empresariais que compartilharem dados entre as empresas localizadas em diversos países, caso esses dados sejam sujeitos à LGPD – por exemplo, quando forem provenientes de uma subsidiária brasileira. O regulamento também prevê outras possibilidades para legalizar a transferência internacional de dados pessoais, mas todas elas dependem de atuação futura da ANPD, de modo que, hoje, as cláusulas-padrão são a única possibilidade para cumprir esse dever.
Mais informações e o texto completo do regulamento (Res. CD/ANPD nº 19/2024), podem ser encontrados clicando aqui
A equipe de privacidade, proteção de dados e cibersegurança do BTLAW está à disposição para apoiá-los no que for necessário para o cumprimento dessa nova normativa, que já está em vigor.