Tecnologia & Digital
soluções para viabilização e governança da transferência internacional de dados_
transferência internacional de dados_
As transferências internacionais de dados devem ser ajustadas para estar em conformidade com as normas da ANPD.
Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu a Resolução nº 19/24, que aprovou o regulamento que trata das transferências internacionais de dados no Brasil.
O que caracteriza uma transferência internacional de dados?
De acordo com a regulamentação da ANPD, a transferência internacional de dados se refere ao envio de dados pessoais para um país estrangeiro ou para uma organização internacional da qual o país faça parte.
Exemplos de situações empresariais cotidianas que podem envolver a transferência internacional de dados incluem:
-
Compartilhamento de banco de dados de RH entre empresas do mesmo grupo (matriz-filial);
-
Armazenamento de dados em data centers localizados fisicamente no exterior;
-
Terceirização do serviço de atendimento ao cliente para uma empresa estrangeira;
-
Contratação de provedor de computação em nuvem estrangeiro.
O que é necessário para que as transferências internacionais de dados estejam em conformidade com a nova regulamentação?
As obrigações referentes às transferências internacionais de dados aplicam-se tanto a controladores quanto a operadores de dados pessoais.
Todos os agentes de tratamento de dados devem identificar as operações que envolvem transferências internacionais e assegurar que elas cumpram pelo menos um dos requisitos legais que as legitimam, conforme o artigo 33 da LGPD.
Isso é feito em 4 passos:
Mapeamento
Compreender os fluxos de dados e as operações de transferência internacional de dados na organização.
Enquadramento
Definir os mecanismos legais que fundamentam as transferências internacionais de dados, garantindo conformidade com a LGPD e o Regulamento aprovado pela ANPD.
Estratégia
Desenvolver uma estratégia de governança para a gestão das transferências internacionais de dados.
Implementação
Acompanhar e prestar o auxílio jurídico necessário para a implementação da estratégia previamente definida.
1
Identificação de todos os dados pessoais coletados e tratados, classificando-os por tipo (sensíveis e não sensíveis), origem, finalidades e ciclo de vida.
Inventário de Dados
2
Identificar todos os agentes de tratamento (importadores de dados) envolvidos nas operações de transferência internacional. Determinar a localização dos dados e verificar quais países ou organizações internacionais estão envolvidos.
Mapeamento de Destinatários
3
Identificar as bases legais para cada transferência, conforme os artigos 7º, 11 e 33 da LGPD (ex.: consentimento, cumprimento de obrigação legal, contrato, etc.).
Análise das Bases Legais
4
Verificar se os países destinatários têm decisões de adequação reconhecidas pela ANPD ou outras autoridades internacionais. Se necessário, identificar as exigências legais adicionais aplicáveis a cada destino.
Avaliação de Normas Locais e Internacionais
5
Avaliar a necessidade de utilização de cláusulas-padrão contratuais. Implementar cláusulas-padrão aprovadas ou propor a criação de cláusulas específicas, se necessário.
Definição dos Mecanismos de Transferência
6
Verificar se as transferências estão sendo feitas para países ou organismos internacionais com decisões de adequação reconhecidas pela ANPD.
Avaliação de Decisões de Adequação
7
Incorporar cláusulas-padrão contratuais ou cláusulas específicas nos contratos existentes com importadores de dados. Revisar contratos para garantir que todos os agentes estejam de acordo com as novas obrigações e responsabilidades.
Ajustes contratuais
8
Criação de documentação para dar transparência às transferências internacionais de dados realizadas pelo exportador, a ser disponibilizada no sítio eletrônico. Estabelecer um procedimento eficiente para atender às solicitações de titulares que requerem a íntegra das cláusulas utilizadas na transferência internacional de dados.
Medidas para transparência