Resolução ANPD para transferência internacional de dados tem prazo de 12 meses para adequação.
Nova resolução define modelo das cláusulas contratuais que garantem a segurança dos dados armazenados fora do país.
Publicada em 23 de agosto de 2024, a regulamentação para transferências internacionais de dados define modelos de cláusulas contratuais e normas corporativas para assegurar a proteção dos dados em conformidade com a legislação brasileira. O texto estabelece um prazo de 12 meses para as empresas se adequarem às normas.
A Lei Geral de Proteção de Dados (LGPD) determina que os agentes (empresas e entidades) precisam garantir que os dados transferidos internacionalmente sigam a legislação. Com as novas diretrizes, a ANPD padroniza essas garantias em três casos: cláusulas contratuais padronizadas, cláusulas específicas ou normas corporativas globais.
De acordo com a resolução, a importação e exportação de dados poderá ocorrer entre diferentes agentes, como diferentes empresas, ou entre empresas de um mesmo conglomerado internacional. No caso da transferência de dados entre diferentes agentes, a norma determina que sejam implementadas cláusulas contratuais padronizadas ou específicas para identificar a finalidade da transferência e as garantias previstas pela LGPD.
Para as empresas de um mesmo grupo, o texto determina a criação de normas corporativas globais, que precisam estar vinculadas ao programa de segurança de dados da empresa. Nesse sentido, tanto as cláusulas contratuais entre empresas quanto às normas corporativas deverão ser submetidas à avaliação da ANPD, que também poderá pedir informações complementares.
O texto garante que a ANPD também fará uma avaliação do nível de proteção de dados dos países estrangeiros, dando prioridade aos Estados que possuem um tratamento recíproco com o Brasil.
Segundo Andre Alves Soares, DPO da TERA Tecnologia e segurança da informação, a nova resolução impacta principalmente empresas que contratam serviços de nuvem de companhias internacionais para armazenamento de dados.
“Em um cenário globalizado, muitas empresas armazenam dados coletados no Brasil em servidores localizados no exterior. Essa prática se apoia fortemente em contratos que formalizam essas relações. A ANPD agora introduziu um modelo de cláusulas que devem ser obrigatoriamente incluídas nesses contratos, sem possibilidade de alteração. Essas medidas visam assegurar que os dados armazenados fora do Brasil recebam o mesmo nível de proteção que teriam se estivessem no território nacional.”, explicou.
Confira RESOLUÇÃO CD/ANPD Nº 19