RESOLUÇÃO CD/ANPD Nº 19, DE 23 DE AGOSTO DE 2024
Aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), com base nas competências previstas no art. 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018, no art.2º, inciso XIII, do Anexo I, do Decreto nº 10.474, de 26 de agosto de 2020, no art. 5º, inciso I, do Regimento Interno da ANPD, e tendo em vista a deliberação tomada no processo nº 00261.000968/2021-06, resolve:
Art. 1º Esta Resolução aprova, na forma dos Anexos I e II, o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, nos termos do art. 33, incisos I e II, alíneas 'a', 'b' e 'c', art. 34, art. 35, caput e §§ 1º, 2º e 5º, e art. 36 da Lei nº 13.709, de 14 de agosto de 2018.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
Parágrafo único. Os agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados deverão incorporar as cláusulas-padrão contratuais aprovadas pela ANPD aos seus respectivos instrumentos contratuais, no prazo de até 12 (doze) meses, contados da data de publicação desta Resolução.
WALDEMAR GONÇALVES ORTUNHO JUNIOR
Diretor-Presidente
ANEXO
REGULAMENTO DE TRANSFERÊNCIA INTERNACIONAL DE DADOS
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção I
Objetivo e Escopo
Art. 1º Este Regulamento estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709, de 14 de agosto de 2018, mediante reconhecimento da adequação pela ANPD; ou
II - quando controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais; ou
c) normas corporativas globais.
Parágrafo único. O disposto neste Regulamento não exclui a possibilidade da realização de transferência internacional de dados com base nos demais mecanismos previstos no art. 33 da Lei nº 13.709, de 14 de agosto de 2018, que não dependam de regulamentação, desde que atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.
Seção II
Diretrizes
Art. 2º A transferência internacional de dados será realizada em conformidade com o disposto na Lei nº 13.709, de 14 de agosto de 2018, e neste Regulamento, observadas as seguintes diretrizes:
I - garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência, inclusive após o término do tratamento e nas hipóteses de transferências posteriores;
II - adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com normas e boas práticas internacionais;
III - promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares;
IV - responsabilização e prestação de contas, mediante a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento dos princípios dos direitos do titular e do regime de proteção de dados pessoais previstos na Lei nº 13.709, de 14 de agosto de 2018, inclusive, da eficácia dessas medidas;
V - implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização da transferência, observados os segredos comercial e industrial; e
VI - adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados pessoais tratados, a finalidade do tratamento e os riscos envolvidos na operação.
CAPÍTULO II
DAS DEFINIÇÕES
Art. 3º Para efeitos deste Regulamento são adotadas as seguintes definições:
I - exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para importador;
II - importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por exportador;
III - transferência: operação de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento;
IV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
V - coleta internacional de dados: coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado no exterior;
VI - grupo ou conglomerado de empresas: conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes;
VII - entidade responsável: sociedade empresária, com sede no Brasil, que responde por qualquer violação de norma corporativa global, ainda que decorrente de ato praticado por um membro do grupo ou conglomerado de empresas com sede em outro país;
VIII - mecanismos de transferência internacional de dados: hipóteses previstas nos incisos I a IX do art. 33 da Lei nº 13.709, de 14 de agosto de 2018, que autorizam uma transferência internacional de dados;
IX - organismo internacional: organização regida pelo direito internacional público, incluindo seus órgãos subordinados ou qualquer outro órgão criado mediante acordo firmado entre dois ou mais países; e
X - medidas de segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
CAPÍTULO III
TRANSFERÊNCIA INTERNACIONAL DE DADOS
Seção I
Requisitos Gerais
Art. 4º Cabe ao controlador verificar, nos termos da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, se a operação de tratamento:
I - caracteriza transferência internacional de dados;
II - submete-se à legislação nacional de proteção de dados pessoais; e
III - está amparada em hipótese legal e em mecanismo de transferência internacional válidos.
§ 1º O operador prestará auxílio ao controlador mediante o fornecimento das informações de que dispuser e que se demonstrarem necessárias para o atendimento ao disposto no caput deste artigo.
§ 2º O controlador e o operador deverão adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com o mecanismo de transferência internacional utilizado.
Seção II
Caracterização da Transferência Internacional de Dados
Art. 5º A transferência internacional de dados será caracterizada quando o exportador transferir dados pessoais para o importador.
Art. 6º A coleta internacional de dados não caracteriza transferência internacional de dados.
Parágrafo único. A coleta internacional de dados observará as disposições da Lei nº 13.709, de 14 de agosto de 2018, quando verificada uma das hipóteses indicadas no art. 3º da Lei.
Seção III
Aplicação da Legislação Nacional de Proteção de Dados Pessoais
Art. 7º A transferência internacional de dados deverá observar as disposições da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, quando:
I - a operação de tratamento for realizada no território nacional, ressalvado o disposto no inciso IV do caput do art. 4º da Lei nº 13.709, de 14 de agosto de 2018, e observado o disposto no art. 8º deste Regulamento;
II - a atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais, objeto do tratamento, forem coletados no território nacional.
Parágrafo único. A aplicação da legislação nacional à transferência internacional de dados independe do meio utilizado para sua realização, do país de sede dos agentes de tratamento ou do país onde estejam localizados os dados.
Art. 8º Aplica-se a Lei nº 13.709, de 14 de agosto de 2018, aos dados pessoais provenientes do exterior sempre que estes sejam objeto de tratamento no território nacional.
§ 1º A Lei nº 13.709, de 14 de agosto de 2018, não se aplica aos dados pessoais provenientes do exterior somente quando ocorrer:
I - trânsito de dados pessoais, sem a ocorrência de comunicação ou uso compartilhado de dados com agente de tratamento situado em território nacional; ou
II - retorno dos dados pessoais, objeto de tratamento no território nacional, exclusivamente ao país ou organismo internacional de proveniência, desde que:
a) o país ou organismo internacional de proveniência proporcione grau de proteção de dados pessoais adequado, reconhecido por decisão da ANPD;
b) a legislação do país ou as normas aplicáveis ao organismo internacional de proveniência se apliquem à operação realizada; e
c) a situação específica e excepcional de não aplicação da Lei nº 13.709, de 14 de agosto de 2018, esteja expressamente prevista na decisão de adequação referida na alínea "a".
§ 2º Para fins do inciso II do § 1º, a decisão de adequação emitida pela ANPD não excepcionará a aplicação da Lei nº 13.709, de 14 de agosto de 2018, em situações que possam violar ou colocar em risco a observância dos princípios gerais de proteção de dados pessoais e os direitos dos titulares previstos na legislação nacional.
§ 3º A não aplicação da Lei nº 13.709, de 14 de agosto de 2018, nas hipóteses previstas neste artigo não afasta a necessidade de observância de outras leis ou regulamentos, especialmente os que dispõem sobre inviolabilidade e sigilo das comunicações, requisitos técnicos e de segurança e acesso a dados por autoridades públicas.
Seção IV
Hipótese Legal e Mecanismo de Transferência
Art. 9º A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em:
I - uma das hipóteses legais previstas no art. 7º ou no art. 11 da Lei nº 13.709, de 14 de agosto de 2018; e
II - um dos seguintes mecanismos válidos de realização da transferência internacional:
a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709, de 14 de agosto de 2018, e em normas complementares, conforme reconhecido por decisão de adequação emitida pela ANPD;
b) cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas, na forma deste Regulamento; ou
c) nas hipóteses previstas nos incisos II, "d", e III a IX do art. 33 da Lei nº 13.709, de 14 de agosto de 2018.
Parágrafo único. A transferência internacional de dados deverá se limitar ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
CAPÍTULO IV
DECISÃO DE ADEQUAÇÃO
Seção I
Disposições Gerais
Art. 10. A ANPD poderá reconhecer, mediante decisão de adequação, a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais, observado o disposto na Lei nº 13.709, de 14 de agosto de 2018, e neste Regulamento.
Seção II
Critérios para Avaliação do Nível de Proteção de Dados Pessoais
Art. 11. A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração:
I - as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018;
IV - a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares;
V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência.
§ 1º A avaliação das normas mencionadas no inciso I do caput deste artigo será limitada à legislação diretamente aplicável ou que gere impactos relevantes sobre o tratamento de dados pessoais e sobre os direitos dos titulares.
§ 2º Para fins do disposto nos incisos III e IV do caput deste artigo, será avaliado se a legislação local estabelece aos agentes de tratamento obrigações de implementação de medidas de segurança adequadas, considerando a natureza dos dados e os riscos envolvidos no tratamento, entre outros fatores relevantes, em conformidade com os parâmetros estabelecidos na Lei nº 13.709, de 14 de agosto de 2018.
§ 3º Para fins do disposto no inciso V do caput deste artigo, serão consideradas, entre outras garantias institucionais relevantes, a existência e o efetivo funcionamento de um órgão regulador independente, com competência para assegurar o cumprimento das normas de proteção de dados e garantir os direitos dos titulares.
Art. 12. Para a avaliação do nível de proteção de dados pessoais, também serão levados em consideração:
I - os riscos e os benefícios proporcionados pela decisão de adequação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018; e
II - os impactos da decisão sobre o fluxo internacional de dados, as relações diplomáticas, o comércio internacional e a cooperação internacional do Brasil com outros países e organismos internacionais.
Parágrafo único. A ANPD priorizará a avaliação do nível de proteção de dados de países estrangeiros ou organismos internacionais que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países e organismos internacionais.
Seção III
Emissão de Decisão de Adequação
Art. 13. O procedimento para emissão de decisão de adequação:
I - poderá ser instaurado por decisão do Conselho Diretor, de ofício ou após solicitação das pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011;
II - será instruído pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito da decisão, indicando, se for o caso, as condicionantes a serem observadas; e
III - após a manifestação da Procuradoria Federal Especializada, será objeto de deliberação final pelo Conselho Diretor, na forma do Regimento Interno da ANPD.
§ 1º Os órgãos e entidades da Administração Pública com competências afetas ao tema poderão ser cientificados da instauração do processo, sendo-lhes facultada a apresentação de manifestação, no âmbito de suas competências legais.
§ 2º A decisão de adequação será proferida por Resolução do Conselho Diretor e publicada na página da ANPD na Internet.
Art. 14. O processo instaurado no âmbito da ANPD com vistas à elaboração de documentos, fornecimento de informações e quaisquer outros atos relativos ao reconhecimento do Brasil como país adequado por outro país ou organismo internacional observarão os procedimentos descritos no art. 13 deste Regulamento.
CAPÍTULO V
CLÁUSULAS-PADRÃO CONTRATUAIS
Seção I
Disposições Gerais
Art. 15. As cláusulas-padrão contratuais, elaboradas e aprovadas pela ANPD na forma do Anexo II, estabelecem garantias mínimas e condições válidas para a realização de transferências internacionais de dados baseadas no inciso II, alínea "b", do art. 33 da Lei nº 13.709, de 14 de agosto de 2018.
Parágrafo único. As cláusulas-padrão contratuais visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018, incluindo as determinações da ANPD.
Art. 16. A validade da transferência internacional de dados, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto disponibilizado no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.
§ 1º As cláusulas-padrão contratuais poderão integrar:
I - contrato celebrado para reger especificamente transferências internacionais de dados;
II - contrato com objeto mais amplo, inclusive mediante a assinatura de termo aditivo pelo exportador e pelo importador envolvidos na operação de transferência internacional de dados.
§ 2º As demais disposições, previstas no instrumento contratual ou em contratos coligados firmados pelas partes, não poderão excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.
§ 3º Na hipótese do inciso II do § 1º deste artigo, as Seções I, II e III do Anexo II deverão figurar como documento anexo do instrumento contratual assinado entre exportador e importador.
Seção II
Medidas de Transparência
Art. 17. O controlador deverá disponibilizar ao titular, em caso de solicitação, a íntegra das cláusulas utilizadas para a realização da transferência internacional de dados, observados os segredos comercial e industrial.
§ 1º O prazo para atendimento da solicitação é de 15 (quinze) dias, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.
§ 2º O controlador deverá ainda publicar em sua página na Internet documento contendo informações em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados, incluindo, pelo menos, informações sobre:
I - a forma, a duração e a finalidade específica da transferência internacional;
II - o país de destino dos dados transferidos;
III - a identificação e os contatos do controlador;
IV - o uso compartilhado de dados pelo controlador e a finalidade;
V - as responsabilidades dos agentes que realizarão o tratamento e as medidas de segurança adotadas; e
VI - os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.
§ 3º O documento referido no § 2º poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou a instrumento equivalente.
Seção III
Cláusulas-padrão Contratuais Equivalentes
Art. 18. A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas previstas no Anexo II.
§ 1º O procedimento para reconhecimento da equivalência de cláusulas-padrão contratuais:
I - poderá ser instaurado por decisão do Conselho Diretor, de ofício ou a requerimento dos interessados;
II - será instruído pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito da proposta de equivalência, indicando, se for o caso, as condicionantes a serem observadas; e
III - após a manifestação da Procuradoria Federal Especializada, será objeto de deliberação pelo Conselho Diretor, na forma do Regimento Interno da ANPD.
§ 2º O Conselho Diretor poderá determinar a realização de consulta à sociedade durante o procedimento previsto no § 1º.
§3º Os órgãos e entidades da Administração Pública com competências afetas ao tema poderão ser cientificados da instauração do processo, sendo-lhes facultada a apresentação de manifestação, no âmbito de suas competências legais.
§ 4º O requerimento encaminhado à ANPD deve ser acompanhado dos seguintes documentos e informações:
I - inteiro teor das cláusulas-padrão contratuais traduzidas para o português;
II - legislação relevante aplicável e demais documentos pertinentes, incluindo guias e orientações expedidos pela respectiva autoridade de proteção de dados pessoais; e
III - análise de compatibilidade com as disposições da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, que inclua comparativo entre o conteúdo das cláusulas nacionais e das que se pretende obter reconhecimento de equivalência.
Art. 19. A decisão sobre a proposta de equivalência levará em consideração, entre outras circunstâncias relevantes:
I - se as cláusulas-padrão contratuais são compatíveis com as disposições da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e
II - os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil com outros países e organismos internacionais.
Parágrafo único. Para fins do disposto no inciso II do caput, a ANPD priorizará a aprovação de cláusulas que possam ser utilizadas por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares.
Art. 20. As cláusulas-padrão contratuais reconhecidas como equivalentes serão aprovadas por Resolução do Conselho Diretor e publicadas na página da ANPD na Internet.
Parágrafo único. As cláusulas-padrão contratuais reconhecidas como equivalentes constituem mecanismo válido para a realização de transferências internacionais de dados, na forma do art. 33, inciso II, alínea "b", da Lei nº 13.709, de 14 de agosto de 2018, observadas as condicionantes estabelecidas na decisão do Conselho Diretor.
CAPÍTULO VI
CLÁUSULAS CONTRATUAIS ESPECÍFICAS
Art. 21. O controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas, que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018, e neste Regulamento.
§ 1º As cláusulas contratuais específicas somente serão aprovadas quando a transferência internacional de dados não puder ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.
§ 2º Em qualquer hipótese, as cláusulas contratuais específicas deverão prever a aplicação da legislação nacional de proteção de dados pessoais à transferência internacional de dados e a sua submissão à fiscalização da ANPD.
Art. 22. O controlador deverá apresentar a íntegra das cláusulas que regerão a transferência internacional de dados, incluindo as cláusulas específicas, para a aprovação pela ANPD.
§ 1º A análise efetuada pela ANPD levará em consideração, entre outras circunstâncias relevantes:
I - se as cláusulas específicas são compatíveis com as disposições da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e
II - os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018, além dos impactos quanto ao fluxo internacional de dados, relações diplomáticas, comércio internacional e cooperação internacional do Brasil com outros países e organismos internacionais.
§ 2º Para fins do disposto no inciso II do § 1º, a ANPD priorizará a aprovação de cláusulas específicas que também possam ser utilizadas por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares.
Art. 23. Nas cláusulas submetidas à aprovação da ANPD, o controlador deverá:
I - adotar, sempre que possível, a redação das cláusulas-padrão contratuais; e
II - indicar as cláusulas específicas adotadas, com a respectiva justificativa, nos termos do art. 22.
Art. 24. As cláusulas contratuais específicas deverão ser submetidas à aprovação da ANPD, nos termos do processo descrito no Capítulo VIII.
CAPÍTULO VII
DAS NORMAS CORPORATIVAS GLOBAIS
Art. 25. As normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem.
Parágrafo único. A norma corporativa global constitui mecanismo válido para realizar transferências internacionais de dados pessoais apenas para as organizações ou países abrangidos pelas normas corporativas globais.
Art. 26. As normas corporativas globais deverão estar vinculadas à implementação de programa de governança em privacidade que atenda às condições mínimas estabelecidas no § 2º do art. 50 da Lei nº 13.709, de 14 de agosto de 2018.
Art. 27. Além de atender ao disposto no art. 26, as normas corporativas globais deverão conter, no mínimo:
I - descrição das transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados;
II - identificação dos países para os quais os dados podem ser transferidos;
III - estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais;
IV - determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo ou conglomerado de empresas que as subscreverem, inclusive para seus funcionários;
V - delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável;
VI - indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD, após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VII - regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e
VIII - previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas como suficientes de observância dos princípios, dos direitos do titular e do regime de proteção de dados previsto na Lei nº 13.709, de 14 de agosto de 2018, especialmente na hipótese em que um dos membros do grupo ou conglomerado de empresas estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.
§ 1º Para fins de cumprimento do inciso VIII, a norma corporativa global deve prever obrigação de notificação imediata à entidade responsável sempre que um membro do grupo ou conglomerado de empresas situado em outro país esteja submetido a uma determinação legal que impeça o cumprimento das normas corporativas, ressalvada a hipótese de expressa proibição legal de realizar essa notificação.
§ 2º Para fins do inciso VI, as solicitações relacionadas ao cumprimento da norma corporativa global deverão ser respondidas no prazo previsto na Lei nº 13.709, de 14 de agosto de 2018, e em regulamentação específica.
Art. 28. As normas corporativas globais deverão ser submetidas à aprovação da ANPD, nos termos do processo descrito no Capítulo VIII.
CAPÍTULO VIII
DISPOSIÇÕES COMUNS ÀS CLÁUSULAS CONTRATUAIS ESPECÍFICAS E NORMAS CORPORATIVAS GLOBAIS
Seção I
Procedimento de Aprovação
Art. 29. O requerimento de aprovação de cláusulas contratuais específicas ou de normas corporativas globais deverá ser instruído, conforme o caso, com, no mínimo:
I - a íntegra das cláusulas ou da norma corporativa global;
II - os documentos de constituição social do agente de tratamento ou dos membros do grupo ou conglomerado de empresas;
III - se for o caso, cópia da decisão da autoridade de proteção de dados que tenha aprovado as cláusulas específicas ou normas corporativas globais objeto do requerimento de aprovação; e
IV - a demonstração do atendimento aos requisitos previstos nos Capítulos VI ou VII deste Regulamento.
Art. 30. O requerimento de aprovação de cláusulas contratuais específicas e de normas corporativas globais:
I - será analisado pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito do pedido, indicando, se for o caso, as condicionantes a serem observadas; e
II - após a manifestação da Procuradoria Federal Especializada, será objeto de deliberação pelo Conselho Diretor, na forma do Regimento Interno da ANPD.
§ 1º Na análise das cláusulas contratuais específicas ou de normas corporativas globais submetidas à aprovação da ANPD, poderá ser requerida a apresentação de outros documentos e informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 2º O processo poderá ser arquivado, sumariamente, por decisão da área técnica competente, caso não sejam apresentados os documentos e as informações suplementares solicitados.
Seção II
Medidas de Transparência
Art. 31. A ANPD publicará em seu sítio eletrônico a relação das cláusulas contratuais específicas e das normas corporativas globais aprovadas, com indicação do respectivo requerente, da data de aprovação e da decisão proferida pelo Conselho Diretor, além de outras informações consideradas necessárias pela área técnica responsável.
Parágrafo único. A ANPD publicará a íntegra das cláusulas contratuais específicas nas hipóteses em que tais cláusulas possam ser utilizadas por outros agentes de tratamento, observados os segredos comercial e industrial.
Art. 32. O controlador deverá disponibilizar ao titular, em caso de solicitação, a íntegra das cláusulas contratuais específicas ou as normas corporativas globais, na forma prevista pelo art. 17.
Parágrafo único. O controlador publicará em sua página na Internet documento redigido em linguagem simples sobre a realização da transferência internacional de dados, na forma prevista pelo art. 17, §§ 2º e 3º, observadas as condicionantes estabelecidas na decisão de aprovação.
Seção III
Alterações
Art. 33. As alterações nas cláusulas contratuais específicas e nas normas corporativas globais dependem de prévia aprovação da ANPD, observado o procedimento descrito neste Capítulo.
Parágrafo único. O Conselho Diretor poderá estabelecer procedimento simplificado para a aprovação de alterações que não afetem as garantias apresentadas como suficientes de observância dos princípios, dos direitos do titular e do regime de proteção de dados previsto na Lei nº 13.709, de 14 de agosto de 2018.
CAPÍTULO IX
DISPOSIÇÕES FINAIS
Art. 34. Caberá pedido de reconsideração das decisões do Conselho Diretor, devidamente fundamentado, no prazo de 10 (dez) dias úteis, contados da ciência oficial pelo interessado, na forma do art. 12 do Anexo da Resolução CD/ANPD nº 1, de 28 de outubro de 2021, nos procedimentos instaurados para:
I - emissão de decisão de adequação;
II - reconhecimento de equivalência de cláusulas-padrão contratuais; ou
III - aprovação de cláusulas contratuais específicas e normas corporativas globais.
Parágrafo único. O pedido de reconsideração será distribuído e tramitará na forma do Regimento Interno da ANPD.
ANEXO II
CLÁUSULAS-PADRÃO CONTRATUAIS
(OBS: Conforme previsto no Anexo I - Regulamento de Transferência Internacional de Dados, as Cláusulas previstas neste ANEXO II poderão integrar contrato celebrado para reger, especificamente, a transferência internacional de dados ou contrato com objeto mais amplo, inclusive mediante a assinatura de termo aditivo pelo exportador e pelo importador envolvidos na operação de transferência internacional de dados).
Seção I - Informações Gerais
(OBS: Esta Seção contém Cláusulas que podem ser complementadas pelas Partes, exclusivamente, nos espaços indicados e conforme as orientações apresentadas. As definições dos termos utilizados nestas Cláusulas encontram-se detalhadas na CLÁUSULA 6).
CLÁUSULA 1. Identificação das Partes
1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), para reger a Transferência Internacional de Dados descrita na Cláusula 2, em conformidade com as disposições da Legislação Nacional.
Nome: Qualificação: Endereço principal: Endereço de e-mail: Contato para o Titular: Outras informações: |
( ) Exportador/Controlador) ( ) Exportador/Operador)
(OBS: assinalar a opção correspondente a "Controlador" ou "Operador" e preencher com as informações de identificação, conforme indicadas no quadro).
Nome: Qualificação: Endereço principal: Endereço de e-mail: Contato para o Titular: Outras informações: |
( ) Importador/Controlador ( ) Importador/Operador
(OBS: assinalar a opção correspondente a "Controlador" ou "Operador" e preencher com as informações de identificação, conforme indicadas no quadro).
CLÁUSULA 2. Objeto
2.1. Estas Cláusulas se aplicam às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo.
Descrição da transferência internacional de dados:
Principais finalidades da transferência: Categorias de dados pessoais transferidos: Período de armazenamento dos dados: Outras informações: |
(OBS: preencher da forma mais detalhada possível com as informações relativas à transferência internacional)
CLÁUSULA 3. Transferências Posteriores
(OBS: escolher entre a "OPÇÃO A" e a "OPÇÃO B", conforme o caso.).
OPÇÃO A. 3.1. O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, salvo nas hipóteses previstas no item 18.3.
OPÇÃO B. 3.1. O Importador poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas nas hipóteses e conforme as condições descritas abaixo e desde que observadas as disposições da Cláusula 18.
Principais finalidades da transferência: Categorias de dados pessoais transferidos: Período de armazenamento dos dados: Outras informações: |
(OBS: preencher da forma mais detalhada possível com as informações relativas às transferências posteriores autorizadas).
CLÁUSULA 4. Responsabilidades das Partes
(OBS: escolher entre a "OPÇÃO A" e a "OPÇÃO B", conforme o caso)
OPÇÃO A. (a "Opção A" é exclusiva para as transferências internacionais de dados nas quais ao menos uma das Partes atua como Controlador)
4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo, na condição de Controlador, a responsabilidade pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:
a) Responsável por publicar o documento previsto na Cláusula 14;
( ) Exportador ( ) Importador
b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:
( ) Exportador ( ) Importador
c) Responsável por realizar a comunicação de incidente de segurança prevista na Cláusula 16:
( ) Exportador ( ) Importador
(OBS: nas alíneas "a", "b" e "c", assinalar a opção correspondente a: (i) "Exportador" ou "Importador", nos casos em que apenas uma das Partes atua como controlador; ou (ii) assinalar ambas as opções, nos casos em que as duas Partes atuam como controladores. A responsabilidade pelo cumprimento das obrigações referidas nas Cláusulas 14 a 16 não pode ser atribuída à Parte que atua como Operador. Caso se verifique, posteriormente, que a Parte Designada atua como Operador, aplicar-se-á o disposto no item 4.2)
4.2. Para os fins destas Cláusulas, verificado, posteriormente, que a Parte Designada na forma do item 4.1. atua como Operador, o Controlador permanecerá responsável:
a) pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;
b) pelo atendimento às determinações da ANPD; e
c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados, observado o disposto na Cláusula 17.
OPÇÃO B. (OBS: a "Opção B" é exclusiva para as transferências internacionais de dados realizadas entre operadores)
4.1. Considerando que ambas as Partes atuam, exclusivamente, como Operadores no âmbito da Transferência Internacional de Dados regida por estas Cláusulas, o Exportador declara e garante que a transferência é efetuada em conformidade com as instruções fornecidas por escrito pelo Terceiro Controlador identificado no quadro abaixo.
Informações de identificação do Terceiro Controlador: Nome: Qualificação: Endereço principal: Endereço de e-mail: Contato para o Titular: Informações sobre Contrato Coligado: |
(OBS: preencher da forma mais detalhada possível com as informações de identificação e de contato do Terceiro Controlador e, se for o caso, do Contrato Coligado).
4.2. O Exportador responde, solidariamente, pelos danos causados pela Transferência Internacional de Dados caso está seja realizada em desconformidade com as obrigações da Legislação Nacional ou com as instruções lícitas do Terceiro Controlador, hipótese em que o Exportador se equipara a Controlador, observado o disposto na Cláusula 17.
4.3. Caso verificada a equiparação a Controlador de que trata o item 4.2, caberá ao Exportador o cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16.
4.4. Ressalvado o disposto nos itens 4.2. e 4.3, não se aplica às Partes, na condição de Operadores, o disposto nas Cláusulas 14, 15 e 16.
4.5. As Partes fornecerão, em qualquer hipótese, todas as informações de que dispuserem e que se demonstrarem necessárias para que o Terceiro Controlador possa atender a determinações da ANPD e cumprir adequadamente obrigações previstas na Legislação Nacional relacionadas à transparência, ao atendimento a direitos dos titulares e à comunicação de incidentes de segurança à ANPD.
4.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.
4.7. Em caso de recebimento de solicitação de Titular, a Parte deverá:
a) atender à solicitação, quando dispuser das informações necessárias;
b) informar ao Titular o canal de atendimento disponibilizado pelo Terceiro Controlador; ou
c) encaminhar a solicitação para o Terceiro Controlador o quanto antes, a fim de viabilizar a resposta no prazo previsto na Legislação Nacional.
4.8. As Partes devem manter o registro de incidentes de segurança com dados pessoais, nos termos da Legislação Nacional.
Seção II - Cláusulas Mandatórias
(OBS: Esta Seção contém Cláusulas que devem ser adotadas integralmente e sem qualquer alteração em seu texto a fim de assegurar a validade da transferência internacional de dados).
CLÁUSULA 5. Finalidade
5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.
CLÁUSULA 6. Definições
6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da Lei nº 13.709, de 14 de agosto de 2018, e do art. 3º do Regulamento de Transferência Internacional de Dados Pessoais, sem prejuízo de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:
a) Agentes de tratamento: o controlador e o operador;
b) ANPD: Autoridade Nacional de Proteção de Dados;
c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as Seções I, II e III;
d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;
e) Controlador: Parte ou terceiro ("Terceiro Controlador") a quem compete as decisões referentes ao tratamento de Dados Pessoais;
f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;
j) Importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por Exportador;
k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;
l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996;
m) Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
n) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
o) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;
p) Parte Designada: Parte do contrato designada, nos termos da Cláusula 4 ("Opção A"), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança;
q) Partes: Exportador e Importador;
r) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;
s) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;
t) Terceiro Controlador: Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 ("Opção B");
u) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;
v) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento;
w) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e
x) Transferência Posterior: transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.
CLÁUSULA 7. Legislação aplicável e fiscalização da ANPD
7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas submete-se à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes destas Cláusulas ou de um Contrato Coligado.
CLÁUSULA 8. Interpretação
8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:
a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;
b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;
c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e
d) as disposições das Seções I e II prevalecem em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Seções III e IV deste instrumento ou em Contratos Coligados.
CLÁUSULA 9. Possibilidade de adesão de terceiros
9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente instrumento.
9.2. A parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.
CLÁUSULA 10. Obrigações gerais das Partes
10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:
a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na Cláusula 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;
b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;
c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;
d) garantir aos Titulares, observado o disposto na Cláusula 4.
(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e
(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
e) adotar as medidas de segurança apropriadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;
f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;
g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e
h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.
CLÁUSULA 11. Dados pessoais sensíveis
11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.
CLÁUSULA 12. Dados pessoais de crianças e adolescentes
12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.
CLÁUSULA 13. Uso legal dos dados
13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.
CLÁUSULA 14. Transparência
14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:
a) a forma, a duração e a finalidade específica da transferência internacional;
b) o país de destino dos dados transferidos;
c) a identificação e os contatos da Parte Designada;
d) o uso compartilhado de dados pelas Partes e a finalidade;
e) as responsabilidades dos agentes que realizarão o tratamento;
f) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Controlador perante a ANPD; e
g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.
14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.
14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.
14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.
CLÁUSULA 15. Direitos do Titular
15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:
a) confirmação da existência de tratamento;
b) acesso aos dados;
c) correção de dados incompletos, inexatos ou desatualizados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;
e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na Cláusula 20;
g) informação das entidades públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;
h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;
j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
15.2. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nestas Cláusulas ou na Legislação Nacional.
15.3. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contados da data do requerimento do titular, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.
15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:
a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou
b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.2.
15.5. As Partes deverão informar, imediatamente, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
15.6. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.
CLÁUSULA 16. Comunicação de Incidente de Segurança
16.1. A Parte Designada deverá comunicar à ANPD e aos Titulares, no prazo de 3 (três) dias úteis, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, observado o disposto na Legislação Nacional.
16.2. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.
CLÁUSULA 17. Responsabilidade e ressarcimento de danos
17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.
17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.
17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual e coletiva.
17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto no item 17.6.
17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto no item 17.6.
17.6. Não caberá responsabilização das Partes se comprovado que:
a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído;
b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas ou à Legislação Nacional; ou
c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro que não seja destinatário de Transferência Posterior ou subcontratado pelas Partes.
17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.
17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
CLÁUSULA 18. Salvaguardas para Transferência Posterior
18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na Cláusula 3.
18.2. Em qualquer caso, o Importador:
a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na Cláusula 2;
b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e
c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.
18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Nacional, independentemente da autorização de que trata a Cláusula 3.
CLÁUSULA 19. Notificação de Solicitação de Acesso
19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, ressalvada a hipótese de vedação de notificação pela lei do país de tratamento dos dados.
19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de realizar a notificação referida no item 19.1.
19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.
CLÁUSULA 20. Término do tratamento e eliminação dos dados
20.1. As Partes deverão eliminar os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:
a) cumprimento de obrigação legal ou regulatória pelo Controlador;
b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;
c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e
d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:
a) alcançada a finalidade prevista nestas Cláusulas;
b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;
c) finalizado o período de tratamento;
d) atendida solicitação do Titular; e
e) determinado pela ANPD, quando houver violação ao disposto nestas Cláusulas ou na Legislação Nacional.
CLÁUSULA 21. Segurança no tratamento dos dados
21.1. As Partes deverão adotar medidas de segurança que garantam proteção aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.
21.2. As Partes informarão, na Seção III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e de crianças e adolescentes.
21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter nível de segurança adequado às características do tratamento de dados.
CLÁUSULA 22. Legislação do país destinatário dos dados
22.1. O Importador declara que não identificou leis ou práticas administrativas do país destinatário dos Dados Pessoais que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.
22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará, de imediato, o Exportador para avaliação da continuidade do contrato.
CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador
23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.
23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:
a) suspender a Transferência Internacional de Dados;
b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e
c) rescindir o contrato.
CLÁUSULA 24. Eleição do foro e jurisdição
24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.
24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.
24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.
Seção III - Medidas De Segurança
(OBS: Nesta Seção deve ser incluído o detalhamento das medidas de segurança adotadas, incluindo medidas específicas para a proteção de dados sensíveis e de crianças e adolescentes. As medidas podem contemplar, entre outros, os seguintes aspectos, conforme indicados no quadro abaixo).
(i) governança e supervisão de processos internos: (ii) medidas de segurança técnicas e administrativas, incluindo medidas para garantir a segurança das operações realizadas, tais como a coleta, a transmissão e o armazenamento dos dados: |
Seção IV - Cláusulas Adicionais e Anexos
(OBS: Nesta Seção, de preenchimento e de divulgação facultativos, podem ser incluídas Cláusulas Adicionais e Anexos, a critério das Partes, para disciplinar, entre outras, questões de natureza comercial, rescisão contratual, prazo de vigência e eleição de foro no Brasil. Conforme previsto no Regulamento de Transferência Internacional de Dados, as Cláusulas estabelecidas nesta Seção ou em Contratos Coligados não poderão excluir, modificar ou contrariar, direta ou indiretamente, as Cláusulas previstas nas Seções I, II e III).
Local, data.
Assinaturas.