A Autoridade Nacional de Proteção de Dados aprovou no final do mês de agosto a Resolução que aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais.
A importância desta normativa passa pelo fato de que as IES tratam diariamente uma grande quantidade de dados que são ou que podem ser transferidos internacionalmente; ela chega justamente para estabelecer os procedimentos e as regras aplicáveis a estas operações já previstas na LGDP e às quais as instituições de ensino superior devem manter conformidade.
O compliance e a nova Resolução
Um documento importante no programa de adequação à lei de dados é o mapeamento de dados. O mapeamento vai indicar os dados e a finalidade do uso das informações coletadas, indicando a base legal que o justifique. Se o tratamento de dados é realizado com base em obrigação legal ou regulatória, originária, ela precisa ser nominalmente citada.
A listagem dos dados pessoais que serão tratados precisa ser apresentada, bem como o tempo que os dados ficarão retidos em poder da IES. Terceiros com os quais os dados são compartilhados também devem ser indicados no data mapping. Em alguns casos o compartilhamento independe do consentimento do titular.
Leia a respeito em nosso texto LGPD: o mapeamento de dados nas Instituições de Ensino
O mapeamento também vai especificar se existe compartilhamento internacional de dados e quais as medidas de segurança a IES adota em relação a estes dados pessoais tratados.
Dados sujeitos à transferência internacional
Para a prestação de seus serviços, as IES precisam se utilizar de dados pessoais dos alunos. Desde antes da matrícula, durante os processos de seleção para as vagas disponíveis, a Instituição trata dados pessoais dos candidatos. Matriculados, os alunos têm a frequência em aulas controlada, participam de atividades complementares e cursos de extensão, todos documentados.
Os estudantes são eventualmente transferidos, participam de atividades devidamente avaliadas pelo professor, dentre inúmeras outras ações coordenadas entre os atores da educação, aqui considerados aluno, professor e a instituição em si, definida como controladora pela LGPD.
Toda esta movimentação administrativa dentro de uma IES pode ser reportada – em algum momento – para um chamado importador de dados, que é o agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos pela própria IES, ou exportadora.
O que caracteriza uma transferência internacional de dados é simplesmente a transferência de dados pessoais para o importador, o que, no caso das Instituições de Ensino, pode ocorrer em vários casos, como o das atividades de extensão, de monitorias, de iniciação científica, de intercâmbio no exterior ou o dos mestrados e doutorados sanduíche.
A primeira contribuição do Regulamento, portanto, é conceitual. Agora delimitou-se o significado de “transferência”, que é a transmissão, compartilhamento ou disponibilização de acesso a dados pessoais entre agentes de tratamento; “transferência internacional” como a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país é membro; e “coleta internacional”, que é quando um agente de tratamento localizado no exterior coleta dados de um titular.
Para conhecimento, a coleta internacional dos dados pessoais diretamente do titular, por meio de um site de e-commerce, por exemplo, não configurará transferência internacional de dados.
Mais novidades do Regulamento
O capítulo V da LGPD trouxe regras gerais sobre a transferência internacional de dados e o disposto no Regulamento esmiuçou diretrizes, definições, hipóteses legais, mecanismos de transferência, entre outros detalhes importantes para que os agentes de proteção de dados possam trabalhar adequadamente a matéria.
O regulamento não exclui, a propósito, a possibilidade da realização da transferência com base nos mecanismos já previstos no art. 33 da LGPD que não dependam de regulamentação, desde que atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.
Um dos principais pontos do novo Regulamento é o de que a transferência internacional só poderá ocorrer quando estiver amparada por uma base legal prevista na LGPD e por um dos 03 mecanismos de transferência internacional nele previstos. Além disto, o país receptor precisa ter normas, garantias de proteção e cláusulas e normas contratuais adequadas.
Os três mecanismos de transferência internacional regulamentados:
A Decisão de Adequação é um mecanismo que permite o livre fluxo internacional de dados e que dispensa o uso de cláusulas-padrão contratuais caso o importador esteja em um país ou seja um organismo internacional reconhecido pela ANPD. Em outras palavras, é o reconhecimento de países estrangeiros como aptos a receber os dados pessoais brasileiros.
A Autoridade de Dados, vale ressaltar, ainda não reconheceu os países ou organismos internacionais que proporcionam o grau de proteção de dados pessoais adequado ao previsto no ordenamento jurídico brasileiro, pelo que este mecanismo ainda não tem plena aplicabilidade, mas, de qualquer forma, o Regulamento já estabelece os procedimentos e critérios para o reconhecimento da adequação.
A decisão de adequação incluirá análises técnica e jurídica e deliberação pelo Conselho Diretor por meio de Resolução e deverá ser considerado se a legislação aplicável ao importador estabelece aos agentes de tratamento obrigações de implementação de medidas de segurança adequadas, bem como a existência e o funcionamento de um órgão regulador independente, com competência para assegurar o cumprimento das normas de proteção de dados.
Mais uma observação a se fazer é que a inexistência de reconhecimento de uma jurisdição como segura não impede a transferência internacional de dados. Nós temos, por exemplo, as cláusulas-padrão contratuais, que podem ser utilizadas para garantir esse fluxo. Mas a decisão de adequação facilita as trocas de dados com controladores estrangeiros uma vez que reduzem as etapas negociais. Isto gera, claro, um aumento das relações transnacionais. No caso das IES, facilita o trânsito de alunos e pesquisadores entre centros de excelência mundiais.
As Cláusulas-padrão Contratuais, portanto, devem ser o mecanismo mais utilizado enquanto a ANPD não proferir as demais decisões de adequação. Neste mecanismo, a validade da transferência internacional dependerá do uso de uma minuta anexada ao Regulamento (sem nenhuma alteração de texto). E se o agente de tratamento realizar transferências internacionais via cláusulas contratuais, deverá incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus instrumentos contratuais, no prazo de até doze meses.
O Regulamento introduziu medidas de transparência relacionadas às cláusulas-padrão: o controlador deverá disponibilizar ao titular a íntegra das cláusulas utilizadas para a realização da transferência internacional e publicar em seu site informações sobre transferências internacionais, como o país de destino dos dados transferidos.
Há também o mecanismo residual das Cláusulas Contratuais Específicas, que ainda precisam ser aprovadas pela ANPD, que irá verificar se elas oferecem e garantem o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.
Além dos mecanismos de transferências, foram previstas no Regulamento as Normas corporativas globais, que são transferências internacionais de dados pessoais entre empresas do mesmo grupo ou conglomerados que podem ser fundamentadas no uso de “normas corporativas globais”, mecanismo previsto na LGPD.
A regularização dos artigos 33 a 36 da LGPD - via Resolução CD/ANPD nº 19, de 23 de agosto de 24 - foi construída em diversas etapas, dentre as quais a Tomada de Subsídios, com consequente diálogo entre a ANPD, especialistas e autoridades internacionais. Houve participação social via Consulta Pública e Audiência Pública.
Enfim, o maior passo rumo à construção do modelo regulatório para a transferência internacional de dados pessoais já foi dado. Agora restam faltosas algumas regulamentações por parte da ANPD, como mencionamos no texto.
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Parceria ILAPE - Jacobs Consultoria. e Ensino. O Edital do Programa Mais Médicos foi modificado. São dias a mais para preparar seus projetos. Quer saber como? Entre em contato.
Temos cursos regulares já consagrados e modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.
Comments