Resolução ANPD 19 - Desafios Contratuais

September 18, 2024

A transferência internacional de dados pessoais é um tema de grande relevância no cenário atual de proteção de dados, especialmente com a crescente globalização das operações empresariais e a interconexão de sistemas de informação em nível mundial. Com a publicação da Resolução nº 19 pela Autoridade Nacional de Proteção de Dados (ANPD) em 23 de agosto de 2024, o Brasil dá um passo significativo para regulamentar de forma mais clara e detalhada os procedimentos de transferência internacional de dados. Este artigo tem como objetivo explorar as novidades trazidas por essa resolução, identificar os principais mecanismos previstos para a transferência de dados e comparar essas disposições com a General Data Protection Regulation (GDPR), a regulamentação europeia sobre o tema.

Nos termos da Resolução ANPD 19, a transferência internacional de dados ocorre quando dados pessoais são coletados em território brasileiro e enviados para fora do território nacional, seja para países ou organizações internacionais. Esse processo envolve diversas regras que visam garantir que os dados pessoais dos titulares brasileiros sejam protegidos de acordo com padrões equivalentes à Lei Geral de Proteção de Dados (LGPD).

A LGPD trouxe normas gerais para a realização da transferência internacional de dados, disciplinando-as em seus dispositivos do art. 33 ao art. 36, de forma que a Resolução ANPD 19 veio para regulamentar na prática as especificidades destas transferências internacionais.  

A Resolução ANPD 19 define mecanismos específicos que podem ser utilizados para viabilizar essas transferências, garantindo que os dados pessoais mantenham um nível adequado de proteção. Dentre os mecanismos principais, destacam-se:

  • Cláusulas-Padrão Contratuais – modelos de cláusulas contratuais especificados e aprovados pela ANPD no Anexo II da Resolução 19, que estabelecem obrigações claras às partes envolvidas na transferência.
  • Certificações – empresas certificadas em boas práticas de proteção de dados, reconhecidas pela ANPD, que podem facilitar a transferência internacional.
  • Selos e Certificações – métodos de conformidade que demonstram que as organizações seguem padrões de proteção de dados compatíveis com a LGPD.
  • Normas Corporativas Globais (Binding Corporate Rules - BCRs) – regras aplicáveis a grupos econômicos multinacionais, assegurando que os dados sejam protegidos dentro do grupo em qualquer país.
  • Cláusulas Contratuais Específicas – cláusulas contratuais personalizadas para uma determinada transferência internacional de dados e previamente aprovadas pela ANPD, que asseguram a conformidade com os requisitos da LGPD mas que não poderiam ser Cláusulas-Padrão Contratuais em razão da especificidade da operação.

Esses mecanismos visam facilitar o fluxo de dados para fora do Brasil, garantindo, ao mesmo tempo, a proteção dos direitos dos titulares. No entanto, à luz dessa nova regulamentação, surgem desafios contratuais importantes para as empresas que lidam com transferências internacionais de dados.

Comparação com a GDPR: Diferenças e Similaridades

A GDPR, vigente na União Europeia desde 2018, serviu como referência para a criação da LGPD e, por consequência, para a Resolução nº 19. Ambas as regulamentações visam garantir a segurança dos dados pessoais em um ambiente globalizado. No entanto, há diferenças marcantes nos mecanismos de transferência internacional previstos em cada uma.

Mecanismos de Transferência Internacional

Tanto a GDPR quanto a Resolução ANPD 19 preveem cláusulas contratuais padrão e regras corporativas globais como formas seguras de viabilizar a transferência de dados. No entanto, enquanto a GDPR já possui um conjunto consolidado de cláusulas contratuais padrão aprovadas pela Comissão Europeia, a ANPD ainda está em processo de elaboração e divulgação de seus modelos. Em que pese a disponibilização das primeiras Cláusulas-Padrão Contratuais no Anexo II da Resolução, o cenário pode mudar considerando a incipiência do regulamento, o que traz insegurança para as empresas brasileiras, que atuam diariamente com este tipo de operação.

A GDPR também introduziu o conceito de "adequação", permitindo a transferência de dados para países que apresentem um nível de proteção de dados equivalente ao da UE. A Resolução ANPD 19 adota um conceito similar, mas a lista de países considerados adequados pela ANPD ainda não foi publicada. Essa lacuna pode gerar dificuldades para empresas que precisam realizar transferências urgentes de dados, enquanto aguardam orientações mais claras da ANPD.

Normas Corporativas Globais (BCRs)

Ambas as regulamentações aceitam as BCRs como um mecanismo válido para a transferência de dados dentro de grupos econômicos multinacionais. Contudo, na prática, as empresas brasileiras podem enfrentar desafios ao adotar as BCRs, uma vez que esse procedimento ainda é pouco difundido no Brasil. Além disso, o processo de aprovação das BCRs pela ANPD pode ser mais lento do que o previsto, gerando um descompasso entre a implementação prática e a conformidade regulatória, visto que a Resolução ANPD 19 apenas apontou informações mínimas que as BCRs devem conter, o que pode tornar o processo de avaliação e aprovação pela autoridade reguladora mais subjetivo e aberto à interpretações diversas.

Certificações e Selos

A GDPR permite que organizações utilizem mecanismos de certificação como prova de conformidade com os regulamentos de proteção de dados. A Resolução ANPD 19 segue a mesma linha, mas ainda carece de um sistema robusto de certificações no Brasil, o que pode ser um entrave para empresas que desejam usar essa via como um facilitador para transferências internacionais de dados.

Diferenças na Prática Contratual

Um dos principais desafios contratuais para as empresas brasileiras será a adaptação de seus contratos de transferência internacional de dados para atender aos requisitos da Resolução ANPD 19 no exíguo prazo de 12 meses contados da sua publicação. A ANPD impôs regras específicas quanto à inserção de cláusulas obrigatórias que garantam a proteção dos dados pessoais transferidos, criando uma necessidade de revisão nos acordos firmados com terceiros para este tipo de operação.

Outro ponto a se destacar é a necessidade de revisão das BCRs à luz dos critérios da Resolução, se já existentes, e, assim, a sua submissão à avaliação da ANPD; ou, a própria elaboração destas normas para validação da ANPD. Ainda, caso inexistentes, as empresas brasileiras deverão trabalhar ao máximo no sentido de elaborá-las em conjunto com as empresas estrangeiras de seu grupo econômico para validação da ANPD ou mesmo considerar a elaboração de um contrato com as cláusulas-padrão previstas no Anexo II da Resolução a fim de conferir celeridade à adequação. De todo modo, as empresas brasileiras encontram-se em uma verdadeira corrida contra o tempo.

Empresas que operam no mercado europeu já estão familiarizadas com a adaptação de contratos à GDPR, o que pode facilitar a adaptação à nova resolução da ANPD. Contudo, para aquelas que ainda não lidam diretamente com dados internacionais, a implementação dessas cláusulas contratuais pode requerer uma maior assistência jurídica e revisão interna dos procedimentos.

Conclusão

A Resolução ANPD 19 representa um avanço importante na proteção de dados no Brasil, alinhando-se às melhores práticas internacionais, especialmente à GDPR. No entanto, a implementação prática dessa resolução apresenta desafios contratuais significativos para as empresas brasileiras, que precisarão adaptar seus contratos e operações de transferência internacional de dados a um novo padrão regulatório.

Um dos maiores desafios será a adequação das cláusulas contratuais às exigências da ANPD, principalmente no tocante às operações de transferências que não se enquadram no padrão previsto pela ANPD. Além disso, a falta de uma lista clara de países adequados para a transferência de dados e a ausência de um sistema consolidado de certificações podem representar entraves adicionais.

Para superar esses desafios, as empresas brasileiras devem estar atentas às futuras orientações da ANPD e investir em consultoria jurídica especializada para garantir que seus contratos estejam em conformidade com a nova regulamentação. A adaptação à Resolução ANPD 19 é essencial não apenas para evitar sanções, mas também para garantir a competitividade das empresas em um mercado global cada vez mais pautado pela proteção de dados e privacidade.

Ellen Costa

RECENT POSTS

CFM Intervém na Relação do Médico com a Indústria Farmacêutica e de Produtos Médicos

September 12, 2024

Decisão do STJ Abre Precedente na Propaganda de Medicamentos

August 29, 2024

Programa Emprega + Mulheres e o Impacto nas Relações de Trabalho

August 20, 2024

The Brazilian Medical Association Intervenes in the Relationship between Physicians and the Pharmaceutical and Medical Products Industry

September 12, 2024

A Decision by the Brazilian Superior Court of Justice Sets Precedent in the Advertising of Medicines

August 29, 2024

The "Emprega + Mulheres" Program and the Impact on Employment Relationships

August 20, 2024

Resolução ANPD 19 - Desafios Contratuais

September 18, 2024

Due Diligence: Protegendo Seus Interesses Comerciais

September 3, 2024

Entenda o que são Derivativos

August 28, 2024

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Resolução ANPD 19 - Desafios Contratuais

September 18, 2024
No items found.

A transferência internacional de dados pessoais é um tema de grande relevância no cenário atual de proteção de dados, especialmente com a crescente globalização das operações empresariais e a interconexão de sistemas de informação em nível mundial. Com a publicação da Resolução nº 19 pela Autoridade Nacional de Proteção de Dados (ANPD) em 23 de agosto de 2024, o Brasil dá um passo significativo para regulamentar de forma mais clara e detalhada os procedimentos de transferência internacional de dados. Este artigo tem como objetivo explorar as novidades trazidas por essa resolução, identificar os principais mecanismos previstos para a transferência de dados e comparar essas disposições com a General Data Protection Regulation (GDPR), a regulamentação europeia sobre o tema.

Nos termos da Resolução ANPD 19, a transferência internacional de dados ocorre quando dados pessoais são coletados em território brasileiro e enviados para fora do território nacional, seja para países ou organizações internacionais. Esse processo envolve diversas regras que visam garantir que os dados pessoais dos titulares brasileiros sejam protegidos de acordo com padrões equivalentes à Lei Geral de Proteção de Dados (LGPD).

A LGPD trouxe normas gerais para a realização da transferência internacional de dados, disciplinando-as em seus dispositivos do art. 33 ao art. 36, de forma que a Resolução ANPD 19 veio para regulamentar na prática as especificidades destas transferências internacionais.  

A Resolução ANPD 19 define mecanismos específicos que podem ser utilizados para viabilizar essas transferências, garantindo que os dados pessoais mantenham um nível adequado de proteção. Dentre os mecanismos principais, destacam-se:

  • Cláusulas-Padrão Contratuais – modelos de cláusulas contratuais especificados e aprovados pela ANPD no Anexo II da Resolução 19, que estabelecem obrigações claras às partes envolvidas na transferência.
  • Certificações – empresas certificadas em boas práticas de proteção de dados, reconhecidas pela ANPD, que podem facilitar a transferência internacional.
  • Selos e Certificações – métodos de conformidade que demonstram que as organizações seguem padrões de proteção de dados compatíveis com a LGPD.
  • Normas Corporativas Globais (Binding Corporate Rules - BCRs) – regras aplicáveis a grupos econômicos multinacionais, assegurando que os dados sejam protegidos dentro do grupo em qualquer país.
  • Cláusulas Contratuais Específicas – cláusulas contratuais personalizadas para uma determinada transferência internacional de dados e previamente aprovadas pela ANPD, que asseguram a conformidade com os requisitos da LGPD mas que não poderiam ser Cláusulas-Padrão Contratuais em razão da especificidade da operação.

Esses mecanismos visam facilitar o fluxo de dados para fora do Brasil, garantindo, ao mesmo tempo, a proteção dos direitos dos titulares. No entanto, à luz dessa nova regulamentação, surgem desafios contratuais importantes para as empresas que lidam com transferências internacionais de dados.

Comparação com a GDPR: Diferenças e Similaridades

A GDPR, vigente na União Europeia desde 2018, serviu como referência para a criação da LGPD e, por consequência, para a Resolução nº 19. Ambas as regulamentações visam garantir a segurança dos dados pessoais em um ambiente globalizado. No entanto, há diferenças marcantes nos mecanismos de transferência internacional previstos em cada uma.

Mecanismos de Transferência Internacional

Tanto a GDPR quanto a Resolução ANPD 19 preveem cláusulas contratuais padrão e regras corporativas globais como formas seguras de viabilizar a transferência de dados. No entanto, enquanto a GDPR já possui um conjunto consolidado de cláusulas contratuais padrão aprovadas pela Comissão Europeia, a ANPD ainda está em processo de elaboração e divulgação de seus modelos. Em que pese a disponibilização das primeiras Cláusulas-Padrão Contratuais no Anexo II da Resolução, o cenário pode mudar considerando a incipiência do regulamento, o que traz insegurança para as empresas brasileiras, que atuam diariamente com este tipo de operação.

A GDPR também introduziu o conceito de "adequação", permitindo a transferência de dados para países que apresentem um nível de proteção de dados equivalente ao da UE. A Resolução ANPD 19 adota um conceito similar, mas a lista de países considerados adequados pela ANPD ainda não foi publicada. Essa lacuna pode gerar dificuldades para empresas que precisam realizar transferências urgentes de dados, enquanto aguardam orientações mais claras da ANPD.

Normas Corporativas Globais (BCRs)

Ambas as regulamentações aceitam as BCRs como um mecanismo válido para a transferência de dados dentro de grupos econômicos multinacionais. Contudo, na prática, as empresas brasileiras podem enfrentar desafios ao adotar as BCRs, uma vez que esse procedimento ainda é pouco difundido no Brasil. Além disso, o processo de aprovação das BCRs pela ANPD pode ser mais lento do que o previsto, gerando um descompasso entre a implementação prática e a conformidade regulatória, visto que a Resolução ANPD 19 apenas apontou informações mínimas que as BCRs devem conter, o que pode tornar o processo de avaliação e aprovação pela autoridade reguladora mais subjetivo e aberto à interpretações diversas.

Certificações e Selos

A GDPR permite que organizações utilizem mecanismos de certificação como prova de conformidade com os regulamentos de proteção de dados. A Resolução ANPD 19 segue a mesma linha, mas ainda carece de um sistema robusto de certificações no Brasil, o que pode ser um entrave para empresas que desejam usar essa via como um facilitador para transferências internacionais de dados.

Diferenças na Prática Contratual

Um dos principais desafios contratuais para as empresas brasileiras será a adaptação de seus contratos de transferência internacional de dados para atender aos requisitos da Resolução ANPD 19 no exíguo prazo de 12 meses contados da sua publicação. A ANPD impôs regras específicas quanto à inserção de cláusulas obrigatórias que garantam a proteção dos dados pessoais transferidos, criando uma necessidade de revisão nos acordos firmados com terceiros para este tipo de operação.

Outro ponto a se destacar é a necessidade de revisão das BCRs à luz dos critérios da Resolução, se já existentes, e, assim, a sua submissão à avaliação da ANPD; ou, a própria elaboração destas normas para validação da ANPD. Ainda, caso inexistentes, as empresas brasileiras deverão trabalhar ao máximo no sentido de elaborá-las em conjunto com as empresas estrangeiras de seu grupo econômico para validação da ANPD ou mesmo considerar a elaboração de um contrato com as cláusulas-padrão previstas no Anexo II da Resolução a fim de conferir celeridade à adequação. De todo modo, as empresas brasileiras encontram-se em uma verdadeira corrida contra o tempo.

Empresas que operam no mercado europeu já estão familiarizadas com a adaptação de contratos à GDPR, o que pode facilitar a adaptação à nova resolução da ANPD. Contudo, para aquelas que ainda não lidam diretamente com dados internacionais, a implementação dessas cláusulas contratuais pode requerer uma maior assistência jurídica e revisão interna dos procedimentos.

Conclusão

A Resolução ANPD 19 representa um avanço importante na proteção de dados no Brasil, alinhando-se às melhores práticas internacionais, especialmente à GDPR. No entanto, a implementação prática dessa resolução apresenta desafios contratuais significativos para as empresas brasileiras, que precisarão adaptar seus contratos e operações de transferência internacional de dados a um novo padrão regulatório.

Um dos maiores desafios será a adequação das cláusulas contratuais às exigências da ANPD, principalmente no tocante às operações de transferências que não se enquadram no padrão previsto pela ANPD. Além disso, a falta de uma lista clara de países adequados para a transferência de dados e a ausência de um sistema consolidado de certificações podem representar entraves adicionais.

Para superar esses desafios, as empresas brasileiras devem estar atentas às futuras orientações da ANPD e investir em consultoria jurídica especializada para garantir que seus contratos estejam em conformidade com a nova regulamentação. A adaptação à Resolução ANPD 19 é essencial não apenas para evitar sanções, mas também para garantir a competitividade das empresas em um mercado global cada vez mais pautado pela proteção de dados e privacidade.

Related
No items found.

ABOUT US

Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.

Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

ABOUT US

Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

QUEM SOMOS

O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.

Follow Us on Social Media

Offices

Rio de Janeiro

Av. Oscar Niemeyer, 2000
9th floor, Aqwa Corporate
Rio de Janeiro RJ - Brazil
20220-297
Phone: +55 21 3550 3700
Fax: +55 21 3956 9444
info@lickslegal.com

Sao Paulo

Rua George Ohm, 230
Tower A CJ 112/113
Sao Paulo SP - Brazil
04576-020
Phone: +55 11 3033 3700
info@lickslegal.com

Brasilia

SH/Sul Zone 06, Unit A,
Complexo Brasil 21, Block E,
Rooms 515 and 516 – Asa Sul
Brasilia DF - Brazil
70316-902
Phone: + 55 61 3772 3700
info@lickslegal.com

Curitiba

Rua da Glória, 251, #601
Centro Cívico
Curitiba - Brazil
80030-060
Phone: + 55 41 2391 0680
info@lickslegal.com

Tokyo

Chiyoda Kaikan Bldg, 6F, 1-6-17
Kudan Minami Chiyoda-Ku
Tokyo - Japan
102-0074
Phone:+81 3 6256 8972
Fax:+81 (03) 6740 1453
japan@lickslegal.com

© Copyright 2024 Licks Attorneys

Selo COVID-19 FIRJAN e Albert Einstein
Covid-19 Safe Certified Office