A Autoridade Nacional de Proteção de Dados (ANPD), autarquia vinculada ao Ministério da Justiça e Segurança Pública, criou um conjunto de regras para regulamentar a gestão e transferência internacional de dados pessoais de brasileiros. As normas foram publicadas como um complemento à Lei Geral de Proteção de Dados Pessoais (LGPD).
Um dos pontos-chave do novo regulamento é que a proteção de dados prevista na legislação do Brasil se aplica também às operações de transferência envolvendo empresas e organismos internacionais. Isso significa que as exigências devem ser observadas mesmo que as informações sejam compartilhadas e armazenadas em países que adotem regras mais flexíveis para o tratamento desses dados.
“A garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência, inclusive após o término do tratamento e nas hipóteses de transferências posteriores”, diz o regulamento.
O texto também prevê que a transferência internacional de dados só pode ser realizada para “atender a propósitos legítimos, específicos, explícitos e informados ao titular” e deve “se limitar ao mínimo necessário para o alcance de suas finalidades”.
Entre as exigências para a transferência internacional de dados estão:
- Adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais;
- Promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares;
- Responsabilização e prestação de contas, mediante a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento dos princípios dos direitos do titular e do regime de proteção de dados pessoais previstos na Lei nº 13.709 (LGPD);
- Implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização da transferência, observados os segredos comercial e industrial;
- Adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.

A regulamentação define “cláusulas-padrão” que deverão ser incorporadas nos contratos de transferência internacional de dados. Para os contratos vigentes, foi estabelecido um prazo de 12 meses para adequação. Essas cláusulas dispõem sobre garantias mínimas e condições válidas para a transferência de informações.
O regulamento ainda define procedimentos e critérios usados pela ANPD para verificar o nível de proteção de dados pessoais de outros países e organismos internacionais em comparação ao regime brasileiro.
Em nota, a ANPD explicou que o regulamento incide sobre operações que envolvam a transferência de dados pessoais de um agente de tratamento (exportador) para outro agente de tratamento (importador) localizado em país estrangeiro ou organismo internacional do qual o Brasil seja membro.
“Assim, a mera coleta internacional dos dados pessoais diretamente do titular, por meio de um sítio de e-commerce, por exemplo, não caracteriza esse procedimento.”
O regulamento foi publicado no Diário Oficial da União no dia 23 de agosto. A versão final foi elaborada pela área técnica da ANPD a partir de contribuições de especialistas, autoridades internacionais e da sociedade civil.