Em 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 19, que aprova o Regulamento de Transferência Internacional de Dados e estabelece o conteúdo das cláusulas-padrão contratuais. O regulamento tem como objetivo definir as regras e procedimentos para a transferência de dados pessoais do Brasil para o exterior, assegurando que essas operações estejam em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Em vigor desde 2020, a LGPD incluiu disposições gerais sobre a transferência internacional de dados, mas a regulamentação detalhada ainda estava pendente pela ANPD. Agora, a Resolução nº 19 traz diretrizes objetivando proteger os direitos dos titulares de dados pessoais ao assegurar que suas informações não sejam comprometidas durante o processo de transferência para fora do território nacional. Isso é especialmente relevante para empresas que utilizam serviços de armazenamento em nuvem com datacenters localizados no exterior, ou que possuam parcerias com entidades estrangeiras. Vale lembrar que a LGPD será aplicável sempre que o tratamento dos dados pessoais ocorrer no Brasil, mesmo que o armazenamento se dê em servidores fora do país.

Entre os principais pontos da Resolução, destaca-se:

· Princípios e Direitos dos Titulares: As transferências devem respeitar os direitos e os princípios estabelecidos pela LGPD, garantindo que os dados pessoais sejam tratados de forma segura.

· Boas Práticas e Medidas de Segurança: A adoção de boas práticas e medidas de segurança é indispensável para proteger os dados durante a transferência.

· Cláusulas-Padrão Contratuais: A resolução exige que as operações internacionais de dados sejam formalizadas com cláusulas-padrão contratuais, as quais estabelecem as condições para garantir um nível adequado de proteção.

· Reconhecimento de Adequação: A ANPD poderá reconhecer o nível de proteção de dados em outros países, permitindo a transferência de dados sem a necessidade de salvaguardas adicionais, caso o país destinatário tenha um nível de proteção equivalente ao da LGPD. Porém, esta análise ainda está pendente pela ANPD.

A Resolução segue na linha do que já havia sido estabelecido na União Europeia, a partir do Regulamento Geral de Proteção de Dados (GDPR). Conforme estabelecido pelo GDPR, somente é permitida a transferência internacional de dados para um país terceiro quando este for capaz de assegurar um nível de proteção de dados compatível com o oferecido pela legislação europeia, considerando a segurança jurídica e a uniformidade em termos de proteção de dados.

Recentemente, a Uber foi multada em €290 milhões pela Autoridade Holandesa de Proteção de Dados (AP) por violações à GDPR. A AP acusou a Uber de transferir dados pessoais de motoristas da Área Econômica Europeia (EEA) para os Estados Unidos sem as devidas salvaguardas, em violação à GDPR. Esta foi a terceira vez que a AP aplicou uma multa à Uber, sendo que as anteriores ocorreram devido a falhas no controle de acesso a dados e práticas de gestão de dados obscuras.

A decisão demonstra a postura rigorosa das autoridades europeias em relação às transferências internacionais de dados, e serve como um alerta para as empresas brasileiras, considerando a nova regulamentação da ANPD. É esperada, agora, uma intensificação na fiscalização e na aplicação de sanções, visando garantir que as empresas estejam em conformidade e cumpram rigorosamente com as disposições da LGPD, com a implementação de boas práticas e medidas de segurança adequadas.

Jéssica Postingher

Advogada