El 23 de agosto de 2024, la Autoridad Nacional de Protección de Datos brasileña («ANPD» o «Autoridad») publicó la Resolución CD/ANPD n. 19 («Reglamento»), que establece las normas para la transferencia internacional de datos personales en el marco de la Ley General de Protección de Datos Personales («LGPD»). El Reglamento fue objeto de consulta pública en 2023, que analizamos en este informativo, y su publicación era ampliamente esperada.
El Reglamento estableció detalles y procedimientos sobre la emisión de la decisión de adecuación del país o del organismo extranjero de destino, y sobre las herramientas contractuales que podrán utilizarse para las transferencias internacionales, siendo estas las cláusulas contractuales específicas, las cláusulas contractuales modelo (“CCMs”) y las normas corporativas globales, en inglés, binding corporate rules (“BCR”).
Las CCMs fueron establecidas por el Reglamento, con su texto adjunto a la norma, y deberán ser adoptadas en su totalidad, sin modificación alguna de su texto. Asimismo, en el futuro, la ANPD podrá reconocer, las CCMs de otros países u organismos como equivalentes a las previstas en el Reglamento, permitiendo que estas CCMs extranjeras sean utilizadas como alternativas.
Además, la normativa determinó que la información sobre la transferencia internacional de datos deberá incluirse en el sitio web del responsable, en su Política de Privacidad o en un documento separado, con detalles como los países de destino, la forma, duración y finalidad de la transferencia.
El Reglamento también dispuso que el responsable podrá utilizar cláusulas contractuales específicas cuando no se puedan aplicar las CCMs. Las BCRs podrán utilizarse cuando la transferencia se realice entre empresas del mismo grupo económico. Cabe destacar que tanto las cláusulas contractuales específicas como las BCRs deberán ser sometidas a la aprobación previa de la ANPD.
Los responsables y encargados que actualmente utilizan cláusulas contractuales para regular la transferencia internacional de datos tendrán un plazo de 12 meses para incluir las SCCs establecidas en el Reglamento en sus contratos.
Nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br