*Por Giulio Franchi e Victor Di Sessa
No contexto jurídico da proteção de dados pessoais, a transferência internacional de dados sempre foi um tema relevante, especialmente devido aos riscos associados a esse tipo de atividade. Muitas empresas utilizam serviços externos para armazenar e gerenciar informações, frequentemente envolvendo plataformas estrangeiras.
A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), com o objetivo de proteger os direitos dos titulares de dados pessoais, trouxe diversas obrigações para as empresas, inclusive no que diz respeito a transferência internacional de dados pessoais e, recentemente, no final de agosto de 2024, foi publicada a Resolução CD/ANPD nº 19/2024 pela ANPD (Autoridade Nacional de Proteção de Dados), que aprovou os procedimentos e as regras aplicáveis às operações de transferência internacional de dados.
Dentre os mecanismos de segurança criados pela Resolução, vale destacar as (i) cláusulas contratuais específicas, (ii) cláusulas-padrão e (iii) normas corporativas globais. Cada uma dessas ferramentas – que podem ser utilizadas de forma alternativa – possui características próprias e traz implicações jurídicas importantes. Vamos a elas:
Cláusulas Contratuais Específicas para Determinada Transferência
Estas cláusulas são elaboradas para situações em que a transferência internacional de dados ocorre entre entidades que podem não estar sujeitas às mesmas regulamentações de proteção de dados. Isso permite que as partes criem cláusulas que reflitam as particularidades de suas operações e atendam à sua realidade jurídica e comercial.
Embora as cláusulas contratuais específicas ofereçam maior flexibilidade às empresas, elas precisam ser validadas pela ANPD, que avaliará se essas disposições atendem aos requisitos mínimos de proteção de dados exigidos pela LGPD. Esse processo de validação pode ser demorado e exigir planejamento estratégico por parte das empresas. Além disso, a ANPD pode solicitar modificações nas cláusulas, caso considere que as proteções oferecidas são insuficientes.
Cláusulas-Padrão Contratuais
As standard contractual clauses (SCCs), como são chamadas internacionalmente, são modelos de cláusulas previamente aprovados pela ANPD. Elas estabelecem um conjunto mínimo de obrigações entre as partes, incluindo disposições sobre segurança, transparência, direitos dos titulares de dados, cooperação com as autoridades de supervisão e responsabilidade das partes. O uso dessas cláusulas garante a conformidade automática com a LGPD para a realização de transferências internacionais de dados.
Essas cláusulas estão estabelecidas no Anexo II da Resolução CD/ANPD nº 19/2024 e oferecem uma alternativa prática e segura para empresas que precisam realizar transferências frequentes e desejam evitar o processo mais burocrático de validação de cláusulas específicas, pois já foram pré-aprovadas pela ANPD, dispensando a análise caso a caso.
Na prática, as SCCs são amplamente utilizadas por grandes corporações e empresas multinacionais, especialmente aquelas com fluxos de dados recorrentes entre diversas jurisdições. Elas permitem que as empresas sigam um procedimento padronizado para garantir que suas transferências estejam sempre em conformidade com as normas de proteção de dados, sem a necessidade de aprovação a cada nova transferência.
Apesar de serem uma solução prática, as SCCs apresentam algumas limitações. Por serem padronizadas, podem não se adequar perfeitamente às particularidades de determinadas transferências. Além disso, embora ofereçam uma camada de proteção, não substituem outras obrigações legais, como a necessidade de realizar avaliações de impacto de proteção de dados (DPIA) ou implementar outras medidas técnicas e organizacionais. Em casos de dados sensíveis ou de alto risco, as SCCs podem não ser suficientes para garantir a conformidade.
Normas Corporativas Globais (Binding Corporate Rules – BCRs)
As normas corporativas globais (BCRs) são outro mecanismo fundamental previsto na Resolução CD/ANPD nº 19/2024. Elas consistem em políticas internas de proteção de dados adotadas por um grupo empresarial para regular transferências internacionais de dados dentro do próprio grupo. Essas normas precisam ser aprovadas pela ANPD e garantem que todas as entidades do grupo sigam os mesmos padrões de proteção de dados, independentemente do país em que estão localizadas.
As BCRs são, essencialmente, um conjunto de regras internas que vinculam juridicamente todas as entidades de um grupo empresarial. Elas devem assegurar que os dados pessoais transferidos dentro do grupo sejam protegidos de acordo com os mesmos padrões estabelecidos pela LGPD.
Para serem aprovadas pela ANPD, as BCRs precisam cumprir uma série de requisitos rigorosos, incluindo a demonstração de que o grupo possui políticas adequadas de governança de dados, mecanismos eficazes para o exercício dos direitos dos titulares e medidas para mitigar os riscos associados às transferências internacionais.
As normas corporativas globais oferecem várias vantagens para grupos empresariais que operam em várias jurisdições. Primeiramente, proporcionam uma abordagem uniforme e integrada para a proteção de dados, o que simplifica o gerenciamento das transferências internacionais. Além disso, as BCRs podem ajudar a fortalecer a confiança dos clientes, parceiros e stakeholders, ao demonstrar um compromisso sólido com a proteção de dados em todas as operações do grupo.
Outro ponto positivo é que, uma vez aprovadas, as BCRs podem ser utilizadas de forma contínua pelo grupo empresarial, sem a necessidade de obter aprovações adicionais para cada transferência de dados. Isso torna o processo mais eficiente e menos burocrático, especialmente para grupos que realizam transferências frequentes entre diferentes países. No entanto, as BCRs precisam ser constantemente monitoradas e revisadas para garantir que continuem em conformidade com as mudanças na legislação e nas práticas de proteção de dados.
Conclusão
A Resolução CD/ANPD nº 19/2024 representa um avanço significativo na regulamentação das transferências internacionais de dados pessoais, estabelecendo mecanismos que garantem a proteção dos direitos dos titulares de dados em ambientes transnacionais e oferecendo alternativas eficazes para que grupos empresariais garantam a conformidade com a LGPD.
Entretanto, a aplicação desses mecanismos exige cuidado e atenção. As empresas têm um prazo de 12 meses para se adequar às novas exigências, e a presença de um advogado especializado em proteção de dados é fundamental para orientar as empresas na tomada de decisões estratégicas e na implementação das melhores práticas de proteção de dados. Somente com uma abordagem jurídica adequada é possível garantir que as transferências internacionais de dados ocorram de forma segura, lícita e em conformidade com as exigências da ANPD. Assim, além de evitar sanções, as empresas podem fortalecer sua reputação e garantir a confiança de seus stakeholders em um ambiente cada vez mais digital e globalizado.
*Victor Di Sessa é graduado em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC). Pós-graduado em Propriedade Intelectual, Direito do Entretenimento e Mídia pela Escola Superior de Advocacia da OAB de São Paulo (ESA OAB SP). Especialista em Direito Digital e Direito das Startups pela Escola Superior de Advocacia da OAB de São Paulo (ESA OAB SP). Especialista Certificado em Proteção de Dados Pessoais e Privacidade pelo Data Privacy Brasil. Presidente da Comissão de Propriedade Intelectual da 38ª Subseção da OAB em Santo André nos triênios (2017-2019), (2020 – 2022) e (2022 -2024). Atua na área de consultoria estratégica, auxiliando os clientes na proteção e no exercício dos seus direitos de propriedade intelectual, proteção de dados e privacidade.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).