Aprova o Regulamento de Transferência Internacional de Dados e os modelos de cláusulas-padrão contratuais.   

O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), com base nas competências previstas no art. 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018, no art. 2º, inciso XIII, do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, no art. 5º, inciso I do Regimento Interno da ANPD e, tendo em vista a deliberação tomada no Circuito Deliberativo nº XX/2022, e pelo que consta no processo nº 00261.000968/2021-06, RESOLVE:   

Art. 1º Aprovar, na forma dos Anexos I e II, o Regulamento de Transferência Internacional de Dados para país estrangeiro ou organismo internacional do qual o País seja membro e os modelos de cláusulas-padrão contratuais, nos termos do art. 33, I e II, alíneas a, b e c, art. 34, art. 35, caput e §§ 1º, 2º e 5º, e art. 36 da Lei nº 13.709, de 14 de agosto de 2018 ? Lei Geral de Proteção de Dados Pessoais (LGPD).   

Art. 2º Esta Resolução entra em vigor na data de sua publicação.   

Parágrafo único. Os agentes de tratamento que realizam transferências internacionais de dados por meio de cláusulas-padrão contratuais deverão incorporar as cláusulas aprovadas pela ANPD aos seus respectivos instrumentos contratuais no prazo de até 180 (cento e oitenta) dias, contados da data de publicação desta Resolução.  

Art. 1º Este Regulamento estabelece os procedimentos e as regras aplicáveis às operações de transferência internacional de dados realizadas:

I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD; e

II - nas hipóteses em que o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais; ou

c) normas corporativas globais.  

Parágrafo único. O disposto neste Regulamento não exclui a possibilidade da realização de transferência internacional de dados com base nas demais modalidades previstas no art. 33 da LGPD, desde que atendidas as especificidades do caso concreto e os requisitos legais aplicáveis.  

Art. 2º A transferência internacional de dados será realizada em conformidade com o disposto na LGPD e neste Regulamento, observadas as seguintes diretrizes:   

I - garantia de cumprimento dos princípios, dos direitos do titular e de nível de proteção equivalente ao previsto na legislação nacional, independentemente do país onde estejam localizados os dados pessoais objeto da transferência, inclusive após o término do tratamento e nas hipóteses de transferências posteriores;

II - adoção de procedimentos simples, interoperáveis e compatíveis com normas e boas práticas internacionais reconhecidas, e que promovam o desenvolvimento social e econômico e assegurem o livre fluxo transfronteiriço de dados pessoais com confiança e respeito aos direitos dos titulares;

III - adoção de medidas de responsabilização e prestação de contas, mediante o oferecimento e a comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais previstos na LGPD;

IV - implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização da transferência; e

V - adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a criticidade dos dados tratados e com os riscos envolvidos na operação.

Art. 3º Para efeitos deste Regulamento são adotadas as seguintes definições: 

I - exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para importador; 

II - importador: agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por exportador;

III - transferência: operação de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento;

IV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

V - coleta internacional de dados: coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado no exterior;

VI - grupo ou conglomerado de empresas: conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre a demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes;

VII - entidade responsável: sociedade empresária, com sede no Brasil, que responde por qualquer violação de norma corporativa global, ainda que decorrente de ato praticado por um membro do grupo econômico com sede em outro país;

VIII - modalidade de transferência internacional de dados: hipóteses previstas nos incisos I a IX do art. 33 da LGPD que autorizam uma transferência internacional de dados; e

IX - organismo internacional: organização regida pelo direito internacional público, incluindo seus órgãos subordinados ou qualquer outro órgão criado mediante acordo firmado entre dois ou mais países.  

Art. 4º Para as transferências internacionais de dados pessoais os agentes de tratamento deverão apresentar condições e garantias suficientes de observância dos princípios gerais de proteção, dos direitos do titular e do regime de proteção de dados previstos na LGPD.  

Parágrafo único.  As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo agente de tratamento, de acordo com o previsto nos §§ 1º e 2º do art. 46 da LGPD.  

Art. 5º Cabe ao controlador verificar, nos termos da LGPD e deste Regulamento, se a operação de tratamento:  

I - caracteriza transferência internacional de dados;  

II - submete-se à legislação nacional de proteção de dados pessoais; e  

III - está amparada em hipótese legal e em modalidade de transferência internacional válidas.  

§ 1º O operador prestará auxílio ao controlador mediante o fornecimento das informações de que dispuser e que se demonstrarem necessárias para o atendimento ao disposto no caput deste artigo.  

§ 2º O controlador e o operador deverão adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas, de forma compatível com o grau de risco do tratamento e com a modalidade de transferência internacional utilizada.  

Art. 6º A transferência internacional de dados será caracterizada quando o exportador transferir dados pessoais para o importador.  

Art. 7º A coleta internacional de dados não caracteriza transferência internacional de dados.  

Parágrafo único. A coleta internacional de dados observará as disposições da LGPD quando verificada uma das hipóteses indicadas no art. 3º da Lei.  

Art. 8º A transferência internacional de dados deverá ser realizada em conformidade com as disposições da LGPD e deste Regulamento, quando:  

I - a operação de tratamento for realizada no território nacional, ressalvado o disposto no inciso IV do caput do art. 4º da LGPD;  

II - a atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou  

III - os dados pessoais, objeto do tratamento, forem coletados no território nacional.  

Parágrafo único. A aplicação da legislação nacional à transferência internacional de dados independe do meio utilizado para sua realização, do país de sede dos agentes de tratamento ou do país onde estejam localizados os dados.  

Art. 9º A transferência internacional de dados somente poderá ser realizada para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, e desde que amparada em:  

I - uma das hipóteses legais previstas no art. 7º ou no art. 11 da LGPD; e  

II - uma das seguintes modalidades válidas de realização da transferência internacional:  

a) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais equivalente ao previsto na LGPD e em normas complementares, conforme reconhecido por decisão de adequação da ANPD;  

b) cláusulas-padrão contratuais, normas corporativas globais ou cláusulas contratuais específicas, na forma deste Regulamento; ou  

c) nas hipóteses previstas nos incisos II, d, e III a IX do art. 33 da LGPD.  

Parágrafo único. A transferência internacional de dados deverá se limitar ao mínimo necessário para o alcance de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.  

Art. 10. A ANPD poderá reconhecer, mediante decisão de adequação, a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais, observado o disposto na LGPD e neste Regulamento.  

Art. 11. A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração:  

I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;  

II - a natureza dos dados;  

III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos na LGPD;

IV - a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares;  

V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e  

VI - outras circunstâncias específicas relativas à transferência.  

§ 1º A avaliação das normas mencionadas no inciso I do caput deste artigo será limitada à legislação diretamente aplicável ou que gere impactos relevantes sobre o tratamento de dados pessoais e os direitos dos titulares, podendo ser analisados, se necessário, regulamentos e normas complementares.  

§ 2º Para fins do disposto no inciso III do caput deste artigo, será avaliado se a legislação local estabelece aos agentes de tratamento obrigações de implementação de medidas de segurança adequadas, considerando a natureza dos dados e os riscos envolvidos no tratamento, entre outros fatores relevantes, em conformidade com os parâmetros estabelecidos na LGPD.  

§ 3º Para fins do disposto no inciso V do caput deste artigo, serão considerados, entre outras garantias institucionais relevantes, a existência e o efetivo funcionamento de um órgão regulador independente, com competência para assegurar o cumprimento das normas de proteção de dados e o respeito aos direitos dos titulares.   

§ 4º A ANPD poderá dispor, por meio de orientações ou normas complementares, sobre os critérios de avaliação do nível de proteção de dados pessoais, previstos no caput deste artigo.  

§ 5º As orientações e normas complementares mencionadas no § 4º serão desenvolvidas com a finalidade de fornecer diretrizes técnicas, jurídicas e organizacionais que subsidiem a correta aplicação dos critérios de adequação, visando à proteção dos direitos e garantias dos titulares.  

Art. 12. Para a avaliação do nível de proteção de dados pessoais, serão levados em consideração, ainda, os riscos e os benefícios proporcionados pela decisão de adequação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, das relações diplomáticas e da cooperação internacional do Brasil com outros países e organismos internacionais.  

Parágrafo único. A ANPD priorizará a avaliação do nível de proteção de dados de países estrangeiros ou organismos internacionais que garantam tratamento recíproco ao Brasil e cujo reconhecimento de adequação viabilize a ampliação do livre fluxo de transferências internacionais de dados pessoais entre os países.  

Art. 13. O procedimento para emissão de decisão de adequação:  

I - será instaurado por decisão do Conselho Diretor, de ofício ou após solicitação das pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011;  

II - será instruído pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito da decisão, indicando, se for o caso, as condicionantes a serem observadas; e  

III - após a manifestação da Procuradoria, será objeto de deliberação final pelo Conselho Diretor, na forma do Regimento Interno da ANPD.  

§ 1º O Ministério das Relações Exteriores será cientificado da instauração do processo, sendo-lhe facultada a apresentação de manifestação nos autos, no âmbito de suas competências legais.  

§ 2º A decisão de adequação será proferida por Resolução do Conselho Diretor e publicada na página da ANPD na Internet.  

§ 3º O Conselho Diretor poderá editar normas complementares sobre o procedimento de emissão de decisão de adequação, bem como sobre o procedimento de reavaliação periódica do nível de proteção e de revisão da decisão de adequação.

Art. 14. As cláusulas-padrão contratuais, elaboradas e aprovadas pela ANPD na forma do Anexo II, estabelecem garantias mínimas e condições válidas para a realização de transferência internacional de dados baseadas no inciso II, alínea b, do art. 33 da LGPD.  

Parágrafo único. As cláusulas-padrão contratuais visam a garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, incluindo as determinações da ANPD.  

Art. 15. A validade da transferência internacional de dados pressupõe a adoção integral e sem alteração do texto das cláusulas-padrão contratuais disponibilizadas no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.  

§ 1º As cláusulas-padrão contratuais poderão ser:  

I - utilizadas como parte de contrato específico para reger a transferência internacional de dados; ou  

II - incorporadas a um contrato de objeto mais amplo.  

§ 2º Nas hipóteses dos incisos I e II do § 1º deste artigo, eventuais cláusulas adicionais e as demais disposições previstas no instrumento contratual ou em contratos coligados firmados entre as Partes não poderão excluir, modificar ou contrariar, direta ou indiretamente, o disposto nas cláusulas-padrão contratuais.  

§ 3º Na hipótese do inciso II do § 1º deste artigo, as Seções I, II e III das cláusulas-padrão contratuais previstas no Anexo II deverão ser preenchidas e incorporadas aos anexos do contrato assinado pelo exportador e pelo importador.  

Art. 16. O agente de tratamento designado nas cláusulas-padrão contratuais deverá disponibilizar ao titular, em caso de solicitação, o instrumento contratual utilizado para a realização da transferência internacional de dados, observados os segredos comercial e industrial.  

§ 1º O agente de tratamento referido no caput deverá ainda publicar em sua página na Internet documento contendo informações redigidas em língua portuguesa, em linguagem simples, clara, precisa e acessível sobre a realização da transferência internacional de dados, incluindo, pelo menos, informações sobre:  

I - a forma, a duração e a finalidade específica da transferência internacional;   

II - o país de destino dos dados transferidos;  

III - a identificação e os contatos do controlador;  

IV - o uso compartilhado de dados pelo controlador e a finalidade;  

V - as responsabilidades dos agentes que realizarão o tratamento; e 

VI - os direitos do titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD.  

§ 2º O documento referido no § 1º poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou a instrumento equivalente.

Art. 17.  A ANPD poderá reconhecer a equivalência de cláusulas-padrão contratuais de outros países ou de organismos internacionais com as cláusulas previstas no Anexo II.

§ 1º O procedimento de que trata o caput:

I - poderá ser instaurado de ofício ou a requerimento dos interessados;

II - será instruído pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito da proposta de equivalência, indicando, se for o caso, as condicionantes a serem observadas; e

III - após a manifestação da Procuradoria, será objeto de deliberação pelo Conselho Diretor, na forma do Regimento Interno da ANPD.

§ 2º O Conselho Diretor poderá determinar a realização de consulta à sociedade durante o procedimento previsto no § 1º.

§ 3º O requerimento encaminhado à ANPD deve ser acompanhado dos seguintes documentos e informações:

I - inteiro teor das cláusulas-padrão contratuais, traduzidas para o português;

II - legislação relevante aplicável ou qualquer documento pertinente, incluindo guias e orientações expedidos pela respectiva autoridade de proteção de dados pessoais; e

III - análise de compatibilidade com as disposições da LGPD e deste Regulamento, que inclua comparativo entre o conteúdo das cláusulas nacionais e das que se pretende obter reconhecimento de equivalência.

Art. 18. A decisão sobre a proposta de equivalência levará em consideração, entre outras circunstâncias relevantes:

I - se as cláusulas-padrão contratuais são compatíveis com as disposições da LGPD e deste Regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e

II - os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos, a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos sobre o fluxo internacional de dados, relações diplomáticas e cooperação internacional do Brasil com outros países e organismos internacionais.

Parágrafo único. Para fins do disposto no inciso II do caput, a ANPD priorizará a aprovação de cláusulas que possam ser utilizadas em escala por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares.

Art. 19.  As cláusulas-padrão contratuais reconhecidas como equivalentes serão aprovadas por Resolução do Conselho Diretor e publicadas na página da ANPD na Internet.

Parágrafo único.  As cláusulas-padrão contratuais reconhecidas como equivalentes constituem modalidade válida para a realização de transferências internacionais de dados, na forma do art. 33, II, b, da LGPD, observadas as condicionantes estabelecidas na decisão do Conselho Diretor.  

Art. 20. Em razão da singularidade de determinadas transferências internacionais de dados, o controlador poderá solicitar à ANPD a aprovação de cláusulas contratuais específicas, que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD e neste Regulamento.  

§ 1º As cláusulas contratuais específicas somente serão aprovadas para transferências internacionais de dados que não possam ser realizadas com base nas cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.  

§ 2º Em qualquer hipótese, as cláusulas contratuais específicas deverão prever a aplicação da legislação nacional de proteção de dados pessoais à transferência internacional de dados e a sua submissão à fiscalização da ANPD.  

Art. 21. O controlador deverá apresentar o instrumento contratual que regerá a transferência internacional de dados, contendo as cláusulas específicas, para a aprovação pela ANPD.  

§ 1º A análise efetuada pela ANPD levará em consideração, entre outras circunstâncias relevantes:  

I - se as cláusulas específicas são compatíveis com as disposições da LGPD e deste Regulamento, bem como se asseguram nível de proteção de dados equivalente ao garantido pelas cláusulas-padrão contratuais nacionais; e  

II - os riscos e os benefícios proporcionados pela aprovação, considerando, entre outros aspectos a garantia dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, além dos impactos quanto ao fluxo internacional de dados, relações diplomáticas e cooperação internacional do Brasil com outros países e organismos internacionais.  

§ 2º Para fins do disposto no inciso II do § 1º, a ANPD priorizará a aprovação de cláusulas específicas que também possam ser utilizadas por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares.

Art. 22. No instrumento contratual apresentado à aprovação da ANPD, o controlador deverá:  

I - adotar, sempre que possível, a redação das cláusulas-padrão contratuais; e

II - indicar as cláusulas específicas adotadas, com a respectiva justificativa, nos termos do art. 20.  

Art. 23.  As cláusulas contratuais específicas deverão ser submetidas à aprovação da ANPD, nos termos do processo descrito no Capítulo VII.    

Art. 24. As normas corporativas globais são destinadas às transferências internacionais de dados entre organizações do mesmo grupo econômico, possuindo caráter vinculante em relação a todos os membros do grupo.  

Art. 25.  As normas corporativas globais deverão estar vinculadas ao estabelecimento e à implementação de programa de governança em privacidade, que, no mínimo:  

I - demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;  

II - seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou a coleta;  

III - seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;  

IV - estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade e à proteção de dados pessoais;  

V - tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;  

VI - esteja integrado à estrutura geral de governança, bem como estabeleça e aplique mecanismos de supervisão internos e externos;  

VII - conte com planos de resposta a incidentes e remediação; e  

VIII - seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.  

Art. 26.  Além de atender ao disposto no art. 25, as normas corporativas globais deverão conter, no mínimo:

I - especificação das categorias de transferências internacionais de dados para as quais o instrumento se aplica, incluindo as categorias de dados pessoais, a operação de tratamento e suas finalidades, a hipótese legal e os tipos de titulares de dados; 

II - identificação dos países para os quais os dados são transferidos;

III - estrutura do grupo ou conglomerado de empresas, contendo a lista de entidades vinculadas, o papel exercido por cada uma delas no tratamento e os dados de contato de cada organização que efetue tratamento de dados pessoais;

IV - determinação da natureza vinculante da norma corporativa global para todos os integrantes do grupo econômico, inclusive para seus funcionários;

V - delimitação de responsabilidades pelo tratamento, com a indicação da entidade responsável;

VI - indicação dos direitos dos titulares aplicáveis e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o controlador perante a ANPD, após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;

VII - regras sobre o processo de revisão das normas corporativas globais e previsão de submissão à prévia aprovação da ANPD; e

VIII - previsão de comunicação à ANPD em caso de alterações nas garantias apresentadas como suficientes de observância dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, especialmente na hipótese em que um dos membros do grupo estiver submetido a determinação legal de outro país que impeça o cumprimento das normas corporativas.

§ 1º Para fins de cumprimento do inciso VIII, a norma corporativa global deve prever obrigação de notificação imediata à entidade responsável sempre que um membro situado em outro país esteja submetido a uma determinação legal que impeça o cumprimento das obrigações corporativas, ressalvada a hipótese de expressa proibição legal de realizar essa notificação.  

§ 2º Para fins do inciso VI, qualquer solicitação relacionada ao cumprimento da norma corporativa global deverá ser respondida no prazo previsto na LGPD e em regulamentação específica.  

§ 3º As normas corporativas globais constituem modalidade válida para realizar transferências internacionais de dados pessoais apenas para as organizações ou países abrangidos pelas normas corporativas globais.  

Art. 27.  As normas corporativas globais deverão ser submetidas à aprovação da ANPD, nos termos do processo descrito no Capítulo VII.  

Art. 28. O requerimento de aprovação de cláusulas contratuais específicas ou de normas corporativas globais deverá ser instruído, conforme o caso, com:   

I - a minuta de contrato ou da norma corporativa;

II - os documentos de constituição social do agente de tratamento ou grupo econômico; e

III - a demonstração do atendimento aos requisitos previstos nos Capítulos V ou VI deste Regulamento.

Art. 29. O requerimento de aprovação de cláusulas contratuais específicas e de normas corporativas globais:  

I - será analisado pela área técnica competente, nos termos do Regimento Interno da ANPD, que se manifestará sobre o mérito do pedido, indicando, se for o caso, as condicionantes a serem observadas; e

II - após a manifestação da Procuradoria, será objeto de deliberação pelo Conselho Diretor, na forma do Regimento Interno da ANPD.

§ 1º Na análise das cláusulas contratuais específicas ou de normas corporativas globais submetidas à aprovação da ANPD, poderá ser requerida a apresentação de outros documentos e informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.  

§ 2º O processo será arquivado sumariamente, por decisão da área técnica competente, se não forem apresentados os documentos e as informações suplementares solicitados.  

Art. 30. Caberá pedido de reconsideração, devidamente fundamentado, no prazo de 10 (dez) dias úteis, em face da decisão do Conselho Diretor que negar a aprovação de cláusulas contratuais específicas ou de normas corporativas globais.  

Parágrafo único. O pedido de reconsideração será distribuído e tramitará na forma do Regimento Interno da ANPD.  

Art. 31. A ANPD publicará em seu sítio eletrônico a relação das cláusulas contratuais específicas e das normas corporativas globais aprovadas.  

Parágrafo único. A ANPD poderá publicar a íntegra de cláusulas contratuais específicas nas hipóteses em que essas cláusulas possam ser utilizadas por outros agentes de tratamento, observados os segredos comercial e industrial.  

Art. 32. O agente de tratamento deverá disponibilizar ao titular, em caso de solicitação, as cláusulas contratuais específicas e as normas corporativas globais e publicar em sua página na Internet documento redigido em linguagem simples sobre a realização da transferência internacional de dados, conforme previsto no art. 16 deste Regulamento, observadas as condicionantes estabelecidas na decisão de aprovação.  

Art. 33. As alterações nas cláusulas contratuais específicas e nas normas corporativas globais dependem de prévia aprovação da ANPD, observado o procedimento descrito neste Capítulo.  

Parágrafo único. O Conselho Diretor poderá estabelecer procedimento simplificado para a aprovação de alterações que não afetem as garantias apresentadas como suficientes de observância dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD.  

Art. 34. Os processos de transferência internacional de dados, de que trata este Regulamento, poderão ser analisados de forma agregada, e as eventuais providências deles decorrentes poderão ser adotadas de forma padronizada.

(OBS: Conforme previsto no Anexo I - Regulamento de Transferência Internacional de Dados, as Cláusulas previstas neste ANEXO poderão ser utilizadas como parte de contrato específico para reger a transferência internacional de dados ou incorporadas a um contrato de objeto mais amplo).

(OBS: Esta Seção contém Cláusulas que podem ser complementadas pelas Partes, exclusivamente, nos espaços indicados e conforme as orientações apresentadas. As definições dos termos utilizados nestas Cláusulas encontram-se detalhadas na CLÁUSULA 6).

CLÁUSULA 1. Identificação das Partes

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante, Partes), abaixo identificados, resolvem adotar as cláusulas-padrão contratuais (doravante Cláusulas) aprovadas pela Autoridade Nacional de Proteção de Dados - ANPD, para reger a Transferência Internacional de Dados descrita na CLÁUSULA 2, em conformidade com as disposições da Legislação Nacional.

Exportador (Controlador)     Exportador (Operador)

(OBS:  assinalar a opção correspondente a  Controlador ou Operador e preencher com as informações de identificação, conforme indicadas no quadro.)

Importador (Controlador)     Importador (Operador)

(OBS: assinalar a opção correspondente a Controlador ou Operador e preencher com as informações de identificação, conforme indicadas no quadro)

CLÁUSULA 2. Objeto

2.1. Este contrato se aplica às Transferências Internacionais de Dados do Exportador para o Importador, conforme a descrição abaixo.

Descrição da transferência internacional

(OBS: preencher da forma mais detalhada possível com as informações relativas à transferência internacional)

CLÁUSULA 3. Transferências Posteriores

(OBS: escolher entre a OPÇÃO A e a OPÇÃO B, conforme o caso.).

OPÇÃO A. 3.1. O Importador não poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas.

OPÇÃO B. 3.1. O Importador poderá realizar Transferência Posterior dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, nas hipóteses e conforme as condições descritas abaixo e desde que observadas as disposições da CLÁUSULA 18.

(OBS: preencher da forma mais detalhada possível com as informações relativas às transferências posteriores autorizadas).

CLÁUSULA 4. Parte Designada

(OBS: escolher entre a OPÇÃO A  a OPÇÃO B, conforme o caso.).

OPÇÃO A. 4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo a responsabilidade principal pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

(OBS:  nas alíneas a, b e c assinalar a opção correspondente a Exportador, Importador ou ambos, conforme o caso).

                    a) Responsável por publicar o documento previsto na CLÁUSULA 14;

                   Exportador             Importador

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:

Exportador             Importador

c) Responsável por realizar a comunicação de incidente de segurança prevista na CLÁUSULA 16:

Exportador             Importador

4.2. Para os fins destas Cláusulas, caso a Parte Designada na forma do item 4.1. seja o Operador, o Controlador permanecerá responsável:

a) pelo cumprimento das obrigações previstas nas CLÁUSULAS 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;

b) pelo atendimento às determinações da ANPD; e

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados.

OPÇÃO B. (OBS:  a Opção B é exclusiva para as transferências internacionais de dados realizadas entre operadores e somente será válida mediante a autorização e a assinatura das Cláusulas pelo Terceiro Controlador, na forma do item 4.2)

4.1. Considerando que ambas as Partes atuam, exclusivamente, como Operadores no âmbito da Transferência Internacional de Dados regida por estas Cláusulas, o Exportador declara e garante que a transferência é efetuada com a autorização e em conformidade com as instruções fornecidas por escrito pelo Terceiro Controlador identificado no quadro abaixo.

(OBS: preencher da forma mais detalhada possível com as informações de identificação e de contato do Terceiro Controlador e, se for o caso, do Contrato Coligado).

4.2. O Terceiro Controlador, abaixo assinado, autoriza a realização da Transferência Internacional de Dados conforme as suas instruções, em atendimento às disposições destas Cláusulas e de eventual Contrato Coligado firmado com o Exportador.

4.3. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, caberá à Parte Designada abaixo a responsabilidade principal pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

(OBS:  nas alíneas a, b e c assinalar a opção correspondente a Exportador, Terceiro Controlador ou ambos, conforme o caso)

                     a) Responsável por publicar o documento previsto na CLÁUSULA 14;

                  Exportador             Terceiro Controlador

b) Responsável por atender às solicitações de titulares de que trata a CLÁUSULA 15:

                  Exportador              Terceiro Controlador

c) Responsável por realizar a comunicação de incidente de segurança prevista na CLÁUSULA 16:

Exportador              Terceiro Controlador

4.4 O Importador fornecerá todas as informações de que dispuser e que se demonstrarem necessárias para que o Exportador ou o Terceiro Controlador, conforme o caso, possa cumprir adequadamente as obrigações previstas no item 4.3.

4.5. Ainda que a Parte Designada na forma do item 4.3. seja o Exportador, o Terceiro Controlador abaixo assinado permanecerá responsável:

a) pelo cumprimento das obrigações previstas nas CLÁUSULAS 14, 15 e 16 e demais disposições estabelecidas na Legislação Nacional, especialmente em caso de omissão ou descumprimento das obrigações pela Parte Designada;

b) pelo atendimento às determinações da ANPD; e

c) pela garantia dos direitos dos Titulares e pela reparação dos danos causados.

(OBS: Esta Seção contém Cláusulas que devem ser adotadas integralmente e sem qualquer alteração em seu texto a fim de assegurar a validade da transferência internacional de dados).

CLÁUSULA 5. Finalidade

5.1. Estas Cláusulas se apresentam como mecanismo viabilizador do fluxo internacional seguro de dados pessoais, estabelecem garantias mínimas e condições válidas para a realização de Transferência Internacional de Dados e visam garantir a adoção das salvaguardas adequadas para o cumprimento dos princípios, dos direitos do Titular e do regime de proteção de dados previstos na Legislação Nacional.

CLÁUSULA 6. Definições

6.1. Para os fins destas Cláusulas, serão consideradas as definições do art. 5° da LGPD, do Regulamento de Transferência Internacional de Dados Pessoais e de outros atos normativos expedidos pela ANPD. As Partes concordam, ainda, em considerar os termos e seus respectivos significados, conforme exposto a seguir:

a) Agentes de tratamento: o controlador e o operador;

b) ANPD: Autoridade Nacional de Proteção de Dados;

c) Cláusulas: as cláusulas-padrão contratuais aprovadas pela ANPD, que integram as SEÇÕES I, II e III;

d) Contrato Coligado: instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados;

e) Controlador: Parte ou terceiro (Terceiro Controlador) a quem competem as decisões referentes ao tratamento de Dados Pessoais;

f) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

g) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

h) Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

i) Exportador: agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para Importador;

j) Importador: agente de tratamento, localizado em país estrangeiro, que recebe dados pessoais transferidos por Exportador;

k) Legislação Nacional: conjunto de dispositivos constitucionais, legais e regulamentares brasileiros a respeito da proteção de Dados Pessoais, incluindo a LGPD, o Regulamento de Transferência Internacional de Dados e outros atos normativos expedidos pela ANPD;

l) Lei de Arbitragem: Lei nº 9.307, de 23 de setembro de 1996; 

m) LGPD: Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709, de 14 de agosto de 2018);

n) Medidas de Segurança: medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

o) Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

p) Operador: Parte ou terceiro, incluindo um Subcontratado, que realiza o tratamento de Dados Pessoais em nome do Controlador;

q) Parte Designada: Parte do contrato ou um Terceiro Controlador designado, nos termos da CLÁUSULA 4, para cumprir obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança;

r) Partes: Exportador e Importador;

s) Solicitação de Acesso: solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;

t) Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados;

u) Terceiro Controlador: Controlador dos Dados Pessoais que autoriza e fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 (Opção B);

v) Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto da Transferência Internacional de Dados regida por estas Cláusulas;

w) Transferência: modalidade de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a Dados Pessoais a outro agente de tratamento; 

x) Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; e  

y) Transferência Posterior: transferência de Dados Pessoais, dentro do mesmo país ou para outro país, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.

CLÁUSULA 7. Legislação aplicável e fiscalização da ANPD

7.1. A Transferência Internacional de Dados objeto das presentes Cláusulas se submete à Legislação Nacional e à fiscalização da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como o de limitar, suspender ou proibir as transferências internacionais decorrentes deste contrato ou de um Contrato Coligado.

CLÁUSULA 8. Interpretação

8.1. Qualquer aplicação destas Cláusulas deve ocorrer de acordo com os seguintes termos:

a) estas Cláusulas devem sempre ser interpretadas de forma mais favorável ao Titular e de acordo com as disposições da Legislação Nacional;

b) em caso de dúvida sobre o significado de termos destas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Nacional;

c) nenhum item destas Cláusulas, incluindo-se aqui um Contrato Coligado e as disposições previstas na SEÇÃO IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer uma das Partes em relação a obrigações previstas na Legislação Nacional; e

d) as disposições das SEÇÕES I e II prevalecem em caso de conflito de interpretação com cláusulas adicionais e demais disposições previstas nas SEÇÕES III e IV deste contrato ou em Contratos Coligados.

CLÁUSULA 9. Possibilidade de adesão de terceiros

9.1. Em comum acordo entre as Partes, é possível a um agente de tratamento aderir a estas Cláusulas na condição de Exportador ou de Importador, por meio do preenchimento e assinatura de documento escrito, que integrará o presente contrato.

9.2. A partir da data de adesão, a parte aderente terá os mesmos direitos e obrigações das Partes originárias, conforme a posição assumida de Exportador ou Importador e de acordo com a categoria de agente de tratamento correspondente.

CLÁUSULA 10. Obrigações gerais das Partes

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das disposições destas Cláusulas e da Legislação Nacional e, inclusive, da eficácia dessas medidas e, em especial:

a) utilizar os Dados Pessoais somente para as finalidades específicas descritas na CLÁUSULA 2, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, observadas, em qualquer caso, as limitações, garantias e salvaguardas previstas nestas Cláusulas;

b) garantir a compatibilidade do tratamento com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;

c) limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de Dados Pessoais;

d) garantir aos Titulares, observado o disposto na CLÁUSULA 4:

(d.1.) informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

(d.2.) consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus Dados Pessoais; e

(d.3.) a exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

e) utilizar as medidas técnicas e administrativas adequadas para prevenir a ocorrência de danos em virtude do tratamento de Dados Pessoais e aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

f) não realizar tratamento de Dados Pessoais para fins discriminatórios ilícitos ou abusivos;

g) assegurar que qualquer pessoa que atue sob sua autoridade, inclusive subcontratados ou qualquer agente que com ele colabore, de forma gratuita ou onerosa, realize tratamento de dados apenas em conformidade com suas instruções e com o disposto nestas Cláusulas; e

h) manter registro das operações de tratamento dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, e apresentar a documentação pertinente à ANPD, quando solicitado.

CLÁUSULA 11. Dados pessoais sensíveis

11.1. Quando a transferência internacional de dados pessoais envolver dados sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo Medidas de Segurança específicas e proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na SEÇÃO III.

CLÁUSULA 12. Dados de crianças e adolescentes

12.1. Se a Transferência Internacional regida por estas Cláusulas abranger Dados Pessoais de crianças e adolescentes, as Partes deverão adotar medidas que assegurem que o tratamento seja realizado em seu melhor interesse, nos termos da Legislação Nacional e dos instrumentos pertinentes de direito internacional.

CLÁUSULA 13. Uso legal dos dados

13.1. O Exportador garante que os Dados Pessoais foram coletados, tratados e transferidos para o Importador de acordo com a Legislação Nacional.

CLÁUSULA 14. Transparência

14.1. A Parte Designada publicará, em sua página na Internet, documento contendo informações facilmente acessíveis redigidas em linguagem simples, clara e precisa sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:

a) a forma, a duração e a finalidade específica da transferência internacional;

b) o país de destino dos dados transferidos;

c) a identificação e os contatos da Parte Designada;

d) o uso compartilhado de dados pelas Partes e a finalidade;

e) as responsabilidades dos agentes que realizarão o tratamento;

f) os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso disponibilizado para atendimento às suas solicitações e o direito de peticionar contra o Exportador e o Importador perante a ANPD; e

g) Transferências Posteriores, incluindo as relativas aos destinatários e à finalidade da transferência.

14.2. O documento referido no item 14.1. poderá ser disponibilizado em página específica ou integrado, de forma destacada e de fácil acesso, à Política de Privacidade ou documento equivalente.

14.3. A pedido, as Partes devem disponibilizar, gratuitamente, ao Titular uma cópia destas Cláusulas, observados os segredos comercial e industrial.

14.4. Todas as informações disponibilizadas aos titulares, nos termos destas Cláusulas, deverão ser redigidas na língua portuguesa.

CLÁUSULA 15. Direitos do Titular

15.1. O Titular tem direito a obter da Parte Designada, em relação aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, a qualquer momento, e mediante requisição, nos termos da Legislação Nacional:

a) confirmação da existência de tratamento;

b) acesso aos dados;

c) correção de dados incompletos, inexatos ou desatualizados;

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com estas Cláusulas e com o disposto na Legislação Nacional;

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;   

f) eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas na CLÁUSULA 20;

g) informação das organizações públicas e privadas com as quais as Partes realizaram uso compartilhado de dados;

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;

j) revisão de decisões tomadas unicamente com base em tratamento automatizado de Dados Pessoais que afete os interesses do Titular; e

k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

15.2. O prazo para atendimento às solicitações previstas nesta Cláusula e no item 14.3. é de 15 (quinze) dias contínuos, ressalvada a hipótese de prazo distinto estabelecido em regulamentação específica da ANPD.

15.3. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3., a Parte deverá:

a) informar ao Titular o canal de atendimento disponibilizado pela Parte Designada; ou

b) encaminhar a solicitação para a Parte Designada o quanto antes, a fim de viabilizar a resposta no prazo previsto no item 15.2.

15.4. As Partes deverão informar, de maneira imediata, aos Agentes de Tratamento com os quais tenham realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento.

15.5. As Partes devem promover assistência mútua com a finalidade de atender às solicitações dos Titulares.

CLÁUSULA 16. Comunicação de Incidente de Segurança

16.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante para os Titulares, a Parte Designada deverá comunicar à ANPD e aos Titulares, conforme previsto na Legislação Nacional.

16.2. A comunicação prevista no item 16.1. será realizada em prazo razoável, definido em regulamentação específica da ANPD, e deverá mencionar, no mínimo, observadas a regulamentação e as orientações expedidas pela ANPD:

a) a descrição da natureza dos Dados Pessoais afetados;

b) as informações sobre os Titulares envolvidos;

c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

d) os riscos relacionados ao incidente;

e) os motivos da demora, no caso de a comunicação não ter sido imediata; e

f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

16.3. O Importador deve manter o registro de incidentes de segurança nos termos da Legislação Nacional.

CLÁUSULA 17. Responsabilidade e ressarcimento de danos

17.1. A Parte que, em razão do exercício da atividade de tratamento de Dados Pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação às disposições destas Cláusulas e da Legislação Nacional, é obrigada a repará-lo.

17.2. O Titular poderá pleitear a reparação do dano causado por quaisquer das Partes em razão da violação destas Cláusulas.

17.3. A defesa dos interesses e dos direitos dos Titulares poderá ser pleiteada em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

17.4. A Parte que atuar como Operador responde, solidariamente, pelos danos causados pelo tratamento quando descumprir as presentes Cláusulas ou quando não tiver seguido as instruções lícitas do Controlador, ressalvado o disposto na Cláusula 17.6.

17.5. Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao Titular respondem, solidariamente, por estes danos, ressalvado o disposto na Cláusula 17.6.

17.6. Não caberá responsabilização das Partes se comprovado que:

a) não realizaram o tratamento de Dados Pessoais que lhes é atribuído;

b) embora tenham realizado o tratamento de Dados Pessoais que lhes é atribuído, não houve violação a estas Cláusulas; ou

c) o dano é decorrente de culpa exclusiva do Titular ou de terceiro não destinatário de Transferência Posterior ou não subcontratado pelas Partes.

17.7. Nos termos da Legislação Nacional, o juiz poderá inverter o ônus da prova a favor do Titular quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo Titular resultar-lhe excessivamente onerosa.

17.8. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos desta Cláusula podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

17.9. A Parte que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

CLÁUSULA 18. Salvaguardas para Transferência Posterior

18.1. O Importador somente poderá realizar Transferências Posteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, conforme as hipóteses e condições descritas na CLÁUSULA 3.

18.2. Em qualquer caso, o Importador:

a) deve assegurar que a finalidade da Transferência Posterior é compatível com as finalidades específicas descritas na CLÁUSULA 2;

b) deve garantir, mediante instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas serão observadas pelo terceiro destinatário da Transferência Posterior; e

c) para fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerado o responsável por eventuais irregularidades praticadas pelo terceiro destinatário da Transferência Posterior.

18.3. A Transferência Posterior poderá, ainda, ser realizada com base em outra modalidade válida de Transferência Internacional de Dados prevista na Legislação Nacional.

CLÁUSULA 19. Notificação de Solicitação de Acesso

19.1. O Importador notificará o Exportador e o Titular sobre Solicitação de Acesso relacionada aos Dados Pessoais transferidos sob estas Cláusulas, salvo se a lei do país de tratamento dos dados o proibir.

19.2. O Importador adotará as medidas legais cabíveis, incluindo ações judiciais, para proteger os direitos dos Titulares sempre que houver fundamento jurídico adequado para questionar a legalidade da Solicitação de Acesso e, se for o caso, a proibição de realizar a notificação referida no item 19.1.

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter registro de Solicitações de Acesso, incluindo data, solicitante, finalidade da solicitação, tipo de dados solicitados, número de solicitações recebidas e medidas legais adotadas.

CLÁUSULA 20. Término do tratamento e eliminação dos dados

20.1. As Partes deverão eliminar os dados pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, autorizada a conservação apenas para as seguintes finalidades:

a) cumprimento de obrigação legal ou regulatória pelo Controlador;

b) estudo por Órgão de Pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

c) transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Nacional; e

d) uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

20.2. Para fins desta Cláusula, considera-se que o término do tratamento ocorrerá quando:

a) alcançada a finalidade prevista nestas Cláusulas;

b) os Dados Pessoais deixarem de ser necessários ou pertinentes ao alcance da finalidade específica prevista nestas Cláusulas;

c) encerrado o prazo para o tratamento de dados pactuados, inclusive após a extinção deste contrato;

d) atendida solicitação do Titular; e

e) determinado pela ANPD.

CLÁUSULA 21. Segurança no tratamento dos dados

21.1. As Partes deverão adotar Medidas de Segurança que garantam proteção suficiente de confidencialidade, integridade e disponibilidade aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

21.2. As Partes informarão, na SEÇÃO III, as Medidas de Segurança adotadas, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e a probabilidade e a gravidade dos riscos para os direitos dos Titulares, especialmente no caso de dados pessoais sensíveis.

21.3. As Partes deverão realizar os esforços necessários para adotar medidas periódicas de avaliação e revisão visando manter o nível de segurança adequado aos dados.

CLÁUSULA 22. Legislação do país destinatário dos dados

22.1. As Partes declaram que avaliaram a legislação do país destinatário dos dados e não identificaram leis ou práticas administrativas que impeçam o Importador de cumprir as obrigações assumidas nestas Cláusulas.

22.2. Sobrevindo alteração normativa que altere esta situação, o Importador notificará de imediato o Exportador para avaliação da continuidade do contrato.

CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador

23.1. Havendo violação das salvaguardas e garantias previstas nestas Cláusulas ou a impossibilidade de seu cumprimento pelo Importador, o Exportador deverá ser comunicado imediatamente, ressalvado o disposto no item 19.1.

23.2. Recebida a comunicação de que trata o item 23.1 ou verificado o descumprimento destas Cláusulas pelo Importador, o Exportador adotará as providências pertinentes para assegurar a proteção aos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Nacional e as presentes Cláusulas, podendo, conforme o caso:

a) suspender a Transferência Internacional de Dados;

b) solicitar a devolução dos Dados Pessoais, sua transferência a um terceiro, ou a sua eliminação; e

c) rescindir o contrato.

CLÁUSULA 24. Eleição do foro e jurisdição

24.1. Aplica-se a estas Cláusulas a legislação brasileira e qualquer controvérsia entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado, se for o caso, o foro eleito pelas Partes na Seção IV.

24.2. Os Titulares podem ajuizar ações judiciais contra o Exportador ou o Importador, conforme sua escolha, perante os tribunais competentes no Brasil, inclusive naqueles localizados no local de sua residência.

24.3. Em comum acordo, as Partes poderão se valer da arbitragem para resolver os conflitos decorrentes destas Cláusulas, desde que realizada no Brasil e conforme as disposições da Lei de Arbitragem.

(OBS:  Nesta Seção deve ser incluído o detalhamento das medidas de segurança adotadas, incluindo medidas específicas para a proteção de dados sensíveis. As medidas podem contemplar, entre outros, os seguintes aspectos, conforme indicados no quadro abaixo).

Seção IV 

(OBS:  Nesta Seção podem ser incluídas Cláusulas Adicionais e Anexos, a critério das Partes, para disciplinar, entre outras, questões de natureza comercial, rescisão contratual, prazo de vigência e eleição de foro no Brasil. Conforme previsto no Regulamento de Transferência Internacional de Dados, as cláusulas estabelecidas nesta Seção ou em Contratos Coligados não poderão excluir, modificar ou contrariar, direta ou indiretamente, as Cláusulas previstas nas Seções I, II e III).

(OBS: a assinatura do Terceiro Controlador é necessária apenas no caso de adotada a Opção B da Cláusula 4, aplicável exclusivamente para transferências internacionais de dados realizadas entre operadores)