A ANPD (Autoridade Nacional de Proteção de Dados) publicou nesta sexta-feira, 23, no Diário Oficial da União, o regulamento de transferência internacional de dados com cláusulas contratuais, padrões e a definição de regras para o reconhecimento da adequação de outras jurisdições. A resolução CD/ANPD no 19/2024 cria uma norma, oferecendo mais segurança jurídica e define que o envio de dados só pode ocorrer caso o outro país ou o organismo internacional ofereça o mesmo nível de proteção de dados pessoais que o Brasil.

As empresas devem:

– fornecer garantia de que vai haver cumprimento dos direitos do titular e de nível de proteção equivalente ao previsto na legislação brasileira;

– adotar procedimentos de preferência interoperáveis e compatíveis com normas e boas práticas internacionais;

– promover o fluxo livre transfronteiriço de dados “com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares”;

– se responsabilizar e prestar contas a partir de medidas eficazes que comprovem “a observância e o cumprimento dos princípios dos direitos do titular e do regime de proteção de dados pessoais”;

– implementar medidas de transparência para os titulares dos dados que sejam claras, precisas e acessíveis; e

– adotar “boas práticas e medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação”.

ANPD estipula o envio mínimo de dados

Os controladores de dados devem informar detalhes sobre a duração do uso desses dados, a finalidade, para qual país será enviado e quais medidas de segurança serão adotadas. A ANPD estipula 15 dias de prazo para que esses mesmos controladores forneçam a íntegra das cláusulas contratuais usadas, caso o titular as solicite.

“A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, diz a regulação.

A autoridade também estipula que a transferência internacional de dados se limite ao mínimo necessário para que a empresa alcance “suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.”

As empresas que realizam transferências internacionais de dados deverão atender às normas da ANPD em seus contratos em um prazo de 12 meses a contar desta sexta-feira.