El Reglamento de Transferencia Internacional de Datos, publicado bajo la Solución CD/ANPD N° 19, define los procedimientos para transferir datos personales al extranjero o a organizaciones internacionales que proporcionen un nivel de protección de datos comparable al de la Ley N° 13.709 de 2018. La ANPD puede reconocer esta equivalencia mediante una decisión de adecuación, evaluando la normativa vigente, la seguridad adoptada y las garantías judiciales del país u organismo receptor. Este reconocimiento facilita el flujo libre de datos entre Brasil y las entidades evaluadas.
Para las transferencias
internacionales de datos, el reglamento establece mecanismos como las cláusulas
contractuales tipo, que proporcionan garantías mínimas y condiciones de
validez. Estas cláusulas aseguran el cumplimiento de los principios de protección
de datos y los derechos de los titulares, y no pueden ser modificadas o
excluidas por otras disposiciones contractuales. Las cláusulas contractuales
específicas se utilizan cuando las cláusulas tipo no son aplicables debido a
circunstancias excepcionales; deben ser aprobadas por la ANPD y cumplir con los
requisitos legales establecidos.
Los estándares corporativos globales son otro
mecanismo válido para las transferencias dentro de un mismo grupo empresarial,
y deben estar vinculados a un programa de gobernanza de la privacidad que
cumpla con la legislación aplicable. Además, el reglamento exige que la
transferencia de datos se limite al mínimo necesario para cumplir con los fines
especificados, garantizando que el alcance de los datos transferidos sea
proporcional y no excesivo en relación con el propósito del tratamiento.
El reglamento aclara
que la transferencia de datos debe limitarse al mínimo necesario para cumplir
con sus fines. Esto asegura que el alcance de los datos transferidos sea
proporcional y no excesivo en relación con el propósito del tratamiento. Aunque
se especifican mecanismos principales, el reglamento también reconoce que otras
opciones previstas por la ley pueden ser utilizadas siempre que se cumplan los
requisitos legales aplicables.
Anexo I
Boletín Oficial de la
Unión
Publicado el:
23/08/2024 | Edición: 163 | Sección: 1 | Página: 123
Órgano: Ministerio de
Justicia y Seguridad Pública/Autoridad Nacional de Protección de Datos/Consejo
Director
RESOLUCIÓN CD/ANPD N°
19, DE 23 DE AGOSTO DE 2024
Aprueba el Reglamento
de Transferencia Internacional de Datos y el contenido de las cláusulas
contractuales tipo.
EL CONSEJO DE
ADMINISTRACIÓN DE LA AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS (ANPD), con base
en las facultades previstas en el art. 55-J, inciso XIII, de la Ley N° 13.709,
de 14 de agosto de 2018, en el art.2, inciso XIII, del Anexo I, del Decreto N°
10.474, de 26 de agosto de 2020, en el art. 5°, inciso I, del Reglamento
Interno de la ANPD, y en vista de la deliberación tomada en el trámite n°
00261.000968/2021-06, resuelve:
Art. 1 Esta Resolución
aprueba, en la forma de los Anexos I y II, el Reglamento de Transferencia
Internacional de Datos y el contenido de las cláusulas contractuales tipo, de
conformidad con el art. 33, apartados I y II, apartados 'a', 'b' y 'c', art. 34,
art. 35, caput y §§ 1º, 2º y 5º, y art. 36 de la Ley N° 13.709, de 14 de agosto
de 2018.
Art. 2 Esta Resolución
entra en vigor en la fecha de su publicación.
Un solo párrafo. Los
agentes de procesamiento que utilicen cláusulas contractuales para realizar
transferencias internacionales de datos deberán incorporar las cláusulas
contractuales tipo aprobadas por la ANPD en sus respectivos instrumentos
contractuales, en un plazo de hasta 12 (doce) meses, contados a partir de la
fecha de publicación de la presente Resolución.
WALDEMAR GONÇALVES
ORTUNHO JUNIOR
director ejecutivo
ANEXO
REGLAMENTO DE
TRANSFERENCIA INTERNACIONAL DE DATOS
CAPITULO I
DISPOSICIONES
PRELIMINARES
Sección I
Objetivo y alcance
Art. 1 El presente
Reglamento establece los procedimientos y normas aplicables a las operaciones
de transferencia internacional de datos:
I - para países u
organizaciones internacionales que proporcionen un nivel de protección de datos
personales adecuado al previsto en la Ley nº 13.709, de 14 de agosto de 2018,
previo reconocimiento de adecuación por la ANPD; o
II - cuando el
responsable ofrezca y acredite garantías de cumplimiento de los principios,
derechos del titular y régimen de protección de datos previstos en la Ley N°
13.709, de 14 de agosto de 2018, en la forma de:
a) cláusulas
contractuales específicas para una transferencia determinada;
b) cláusulas
contractuales tipo; o
c) estándares
corporativos globales
Un solo párrafo. Lo
dispuesto en este Reglamento no excluye la posibilidad de realizar
transferencias internacionales de datos basándose en otros mecanismos previstos
en el art. 33 de la Ley N° 13.709, de 14 de agosto de 2018, que no dependen de
reglamentación, siempre que se cumplan las especificidades del caso específico
y los requisitos legales aplicables.
Sección II
Pautas
Art. 2 La transferencia
internacional de datos se realizará de conformidad con lo dispuesto en la Ley
N° 13.709, de 14 de agosto de 2018, y este Reglamento, observando las
siguientes pautas:
I - garantía del
cumplimiento de los principios, derechos del titular y de un nivel de
protección equivalente al previsto en la legislación nacional,
independientemente del país donde se encuentren los datos personales objeto de
transferencia, incluso después del final del procesamiento y en el caso de
transferencias posteriores;
II - adopción de
procedimientos simples, preferentemente interoperables y compatibles con
estándares y buenas prácticas internacionales;
III - promoción del
libre flujo transfronterizo de datos con confianza y desarrollo social,
económico y tecnológico, respetando los derechos de los interesados;
IV - responsabilidad y
rendición de cuentas, mediante la adopción de medidas efectivas capaces de
comprobar el cumplimiento de los principios de los derechos del titular y del
régimen de protección de datos personales previsto en la Ley N° 13.709, de 14 de
agosto de 2018, incluida la efectividad de estas medidas;
V - implementación de
medidas efectivas de transparencia, que aseguren el suministro de información
clara, precisa y fácilmente accesible a los titulares sobre la transferencia,
respetando el secreto comercial e industrial; y
VI - adopción de buenas
prácticas y medidas adecuadas de prevención y seguridad compatibles con la
naturaleza de los datos personales tratados, la finalidad del tratamiento y los
riesgos involucrados en la operación.
CAPÍTULO II
DEFINICIONES
Art. 3 A los efectos
del presente Reglamento, se adoptan las siguientes definiciones:
I - exportador: agente
procesador, ubicado en el territorio nacional o en el extranjero, que
transfiere datos personales al importador;
II - importador: agente
procesador, ubicado en el extranjero o que sea una organización internacional,
que recibe datos personales transferidos por un exportador;
III - transferencia:
operación de procesamiento mediante la cual un agente de procesamiento
transmite, comparte o proporciona acceso a datos personales a otro agente de procesamiento;
IV - transferencia
internacional de datos: transferencia de datos personales al extranjero o a una
organización internacional de la que el país sea miembro;
V - recolección
internacional de datos: recolección de los datos personales de la titular
realizada directamente por el agente procesador ubicado en el exterior;
VI - grupo o
conglomerado de empresas: grupo de empresas de hecho o de derecho con
personalidad jurídica propia, bajo la dirección, control o administración de
una persona física o jurídica o incluso un grupo de personas que ostentan, sola
o conjuntamente, el poder de control sobre las demás, siempre que se demuestre
el interés integrado, la efectiva comunión de intereses y la acción conjunta de
sus empresas integrantes;
VII - entidad
responsable: empresa comercial, con sede en Brasil, que es responsable de
cualquier violación de las normas corporativas globales, incluso si resulta de
un acto realizado por un miembro del grupo o conglomerado de empresas con sede
en otro país;
VIII - mecanismos de
transferencia internacional de datos: hipótesis previstas en los incisos I a IX
del art. 33 de la Ley N° 13.709, de 14 de agosto de 2018, que autoriza la
transferencia internacional de datos;
IX - organismo
internacional: organismo regido por el derecho internacional público, incluidos
sus órganos subordinados o cualquier otro organismo creado mediante acuerdo
firmado entre dos o más países; y
X - medidas de
seguridad: medidas técnicas y administrativas adoptadas para proteger los datos
personales de accesos no autorizados y situaciones accidentales o ilícitas de
destrucción, pérdida, alteración, comunicación o difusión.
CAPÍTULO III
TRANSFERENCIA
INTERNACIONAL DE DATOS
Sección I
Requisitos generales
Art. 4 Corresponde al
responsable del tratamiento verificar, de conformidad con la Ley N° 13.709, de
14 de agosto de 2018, y este Reglamento, si la operación de tratamiento:
I - caracteriza la
transferencia internacional de datos;
II - se somete a la
legislación nacional sobre protección de datos personales; y
III - esté sustentado
en una hipótesis jurídica válida y en un mecanismo de transferencia
internacional.
§ 1 El operador
prestará asistencia al responsable del tratamiento facilitándole la información
de que disponga y que resulte necesaria para cumplir lo dispuesto en el caput
de este artículo.
§ 2º El responsable del
tratamiento y el operador deben adoptar medidas eficaces capaces de demostrar
el cumplimiento de las normas de protección de datos personales y la eficacia
de estas medidas, de manera compatible con el grado de riesgo del tratamiento y
con el mecanismo de transferencia internacional utilizado.
Sección II
Caracterización de la
Transferencia Internacional de Datos
Art. 5 Se caracterizará
transferencia internacional de datos cuando el exportador transfiere datos
personales al importador.
Art. 6 La recogida
internacional de datos no constituye una transferencia internacional de datos.
Un solo párrafo. La
recolección internacional de datos se ajustará a lo dispuesto en la Ley N°
13.709, de 14 de agosto de 2018, cuando se dé alguna de las hipótesis señaladas
en el art. 3.º de la Ley.
Sección III
Aplicación de la
Legislación Nacional de Protección de Datos Personales
Art. 7 La transferencia
internacional de datos deberá ajustarse a lo dispuesto en la Ley N° 13.709, de
14 de agosto de 2018, y este Reglamento, cuando:
I - la operación de
procesamiento se realiza en el territorio nacional, salvo lo dispuesto en el
inciso IV del caput del art. 4 de la Ley N° 13.709, de 14 de agosto de 2018, y
en cumplimiento de lo dispuesto en el art. 8.° de este Reglamento;
II - la actividad de
procesamiento tiene por objeto ofrecer o suministrar bienes o servicios o
procesar datos de personas físicas ubicadas en el territorio nacional; o
III - los datos personales,
objeto de tratamiento, sean recolectados en el territorio nacional.
Un solo párrafo. La
aplicación de la legislación nacional a la transferencia internacional de datos
no depende del medio utilizado para realizarla, del país en el que tengan su
sede los agentes encargados del tratamiento o del país donde se encuentren los
datos.
El art. 8 de la Ley N°
13.709, de 14 de agosto de 2018, se aplica a los datos personales provenientes
del exterior siempre que sean objeto de tratamiento en el territorio nacional.
§ 1 La Ley N° 13.709,
de 14 de agosto de 2018, no se aplica a datos personales provenientes del
extranjero sólo cuando ocurre lo siguiente:
I - tránsito de datos
personales, sin que ocurra comunicación o uso compartido de datos con un agente
procesador ubicado en territorio nacional; o
II - devolución de
datos personales, sujetos a tratamiento en el territorio nacional,
exclusivamente para el país u organismo internacional de origen, siempre que:
a)
el
país u organización internacional de origen proporciona un nivel adecuado de
protección de datos personales, reconocido por decisión de la ANPD;
b)
la legislación del país o las normas
aplicables a la organización internacional de origen se aplican a la operación
realizada; y
c)
la situación específica y excepcional de
inaplicación de la Ley N° 13.709, de 14 de agosto de 2018, está expresamente
prevista en la decisión de adecuación a que se refiere el literal
"a".
§ 2 Para los efectos
del inciso II del § 1, la decisión de adecuación emitida por la ANPD no
exceptuará la aplicación de la Ley nº 13.709, de 14 de agosto de 2018, en
situaciones que puedan violar o poner en riesgo la observancia de la protección
general principios de los datos personales y los derechos de los titulares
previstos en la legislación nacional.
§ 3 La no aplicación de
la Ley nº 13.709, de 14 de agosto de 2018, en los casos previstos en este
artículo no elimina la necesidad de cumplir con otras leyes o reglamentos,
especialmente aquellos que prevén la inviolabilidad y el secreto de las
comunicaciones. , requisitos técnicos y de seguridad y acceso a los datos por
parte de las autoridades públicas.
Sección IV
Hipótesis jurídica y
mecanismo de transferencia
Art. 9 La transferencia
internacional de datos sólo podrá realizarse para cumplir con fines legítimos,
específicos, explícitos e informados al titular, sin posibilidad de tratamiento
posterior en forma incompatible con estos fines, y siempre que esté sustentado
en:
I - una de las
hipótesis jurídicas previstas en el art. 7 o en el art. 11 de la Ley N° 13.709,
de 14 de agosto de 2018; y
II - uno de los
siguientes mecanismos válidos para realizar la transferencia internacional:
a)
para
países u organizaciones internacionales que proporcionen un nivel de protección
de datos personales adecuado al previsto en la Ley N° 13.709, de 14 de agosto
de 2018, y en normas complementarias, reconocido por decisión de adecuación
emitida por la ANPD;
b)
cláusulas
contractuales tipo, normas corporativas globales o cláusulas contractuales
específicas, de conformidad con este Reglamento; o
c)
en los casos previstos en los incisos II,
"d", y III a IX del art. 33 de la Ley N° 13.709, de 14 de agosto de
2018.
Un solo párrafo. La
transferencia internacional de datos debe limitarse al mínimo necesario para
lograr sus fines, con el alcance de los datos relevantes, proporcional y no
excesivo en relación con los fines del tratamiento de datos.
CAPÍTULO IV
DECISIÓN DE ADECUACIÓN
Sección I
Disposiciones generales
Art. 10. La ANPD podrá
reconocer, mediante decisión de adecuación, la equivalencia del nivel de
protección de datos personales de un país extranjero u organismo internacional
con la legislación nacional sobre protección de datos personales, observando lo
dispuesto en la Ley N° 13.709. , de 14 de agosto de 2018, y en el presente
Reglamento.
Sección II
Criterios para evaluar
el nivel de protección de datos personales
Art. 11. La evaluación
del nivel de protección de datos personales provenientes de un país extranjero
u organización internacional tendrá en cuenta:
I - las normas
generales y sectoriales vigentes con impactos en la protección de datos
personales en el país de destino u organismo internacional;
II - la naturaleza de
los datos;
III - cumplimiento de
los principios generales de protección de datos personales y de los derechos de
los interesados previstos en la Ley N° 13.709, de 14 de agosto de 2018;
IV - la adopción de
medidas de seguridad adecuadas para minimizar los impactos sobre las libertades
civiles y los derechos fundamentales de sus titulares;
V - la existencia de
garantías judiciales e institucionales para respetar los derechos de protección
de datos personales; y
VI - otras
circunstancias específicas relativas a la transferencia.
§ 1 La evaluación de
las normas mencionadas en la fracción I del caput de este artículo se limitará
a la legislación directamente aplicable o que genere impactos relevantes sobre
el tratamiento de datos personales y los derechos de los interesados.
§ 2 Para los efectos de
lo dispuesto en los incisos III y IV del caput de este artículo, se evaluará si
la legislación local establece obligaciones para los agentes de procesamiento
de implementar medidas de seguridad adecuadas, considerando la naturaleza de
los datos y los riesgos involucrados en el procesamiento. procesamiento, entre
otros factores relevantes, de acuerdo con los parámetros establecidos en la Ley
N° 13.709, de 14 de agosto de 2018.
§ 3 Para los efectos de
lo dispuesto en el inciso V del caput de este artículo, entre otras garantías
institucionales pertinentes, se considerará la existencia y el funcionamiento
efectivo de un organismo regulador independiente, con competencia para velar
por el cumplimiento de las normas de protección de datos y garantizar los
derechos de los titulares.
Art. 12. Para evaluar
el nivel de protección de datos personales, también se tendrá en cuenta lo
siguiente:
I - los riesgos y
beneficios previstos por la decisión de adecuación, considerando, entre otros
aspectos, la garantía de los principios, los derechos del titular y el régimen
de protección de datos previstos en la Ley N° 13.709, de 14 de agosto de 2018; y
II - los impactos de la
decisión sobre el flujo internacional de datos, las relaciones diplomáticas, el
comercio y la cooperación internacionales de Brasil con otros países y
organizaciones internacionales.
Un solo párrafo. La
ANPD priorizará la evaluación del nivel de protección de datos de países
extranjeros u organizaciones internacionales que garanticen un tratamiento
recíproco a Brasil y cuyo reconocimiento de adecuación permita ampliar el libre
flujo de transferencias internacionales de datos personales entre países y
organizaciones internacionales.
Sección III
Emisión de Decisión de
Adecuación
Art. 13. El
procedimiento para emitir una decisión de adecuación:
I - podrá ser iniciado
por decisión del Consejo de Administración, de oficio o previa solicitud de
personas jurídicas de derecho público a que se refiere el párrafo único del
art. 1º de la Ley N° 12.527, de 18 de noviembre de 2011;
II - será instruido por
el área técnica competente, de conformidad con el Reglamento Interno de la
ANPD, que comentará el fondo de la decisión, indicando, si corresponde, las
condiciones a observar; y
III - previo
pronunciamiento del Ministerio Público Federal Especializado, será sometido a
deliberación final por el Consejo Directivo, de conformidad con el Reglamento
Interno de la ANPD.
§ 1 Los órganos y
entidades de la Administración Pública con competencias relacionadas con la
materia podrán ser informados del inicio del proceso, y se les podrá dar la
oportunidad de presentar una declaración, en el ámbito de sus competencias
legales.
§ 2 La decisión de
adecuación será tomada por Resolución del Consejo de Administración y publicada
en el sitio web de la ANPD.
Art. 14. El proceso
iniciado en el ámbito de la ANPD con el fin de preparar documentos,
proporcionar información y cualesquiera otros actos relacionados con el
reconocimiento de Brasil como país apropiado por otro país u organización
internacional observará los procedimientos descritos en el art. 13 de este
Reglamento.
CAPÍTULO V
CLÁUSULAS CONTRACTUALES
ESTÁNDAR
Sección I
Disposiciones generales
Art. 15. Las cláusulas
contractuales tipo, elaboradas y aprobadas por la ANPD en la forma del Anexo
II, establecen garantías mínimas y condiciones de validez para la realización
de transferencias internacionales de datos con base en el inciso II, inciso "b",
del art. 33 de la Ley N° 13.709, de 14 de agosto de 2018.
Un solo párrafo. Las
cláusulas contractuales tipo tienen como objetivo asegurar la adopción de
salvaguardas adecuadas para cumplir con los principios, los derechos del
titular y el régimen de protección de datos previstos en la Ley N° 13.709, de
14 de agosto de 2018, incluidas las determinaciones de la ANPD.
Art. 16. La validez de
la transferencia internacional de datos, cuando se apoya en la adopción de
cláusulas tipo, presupone la adopción plena y sin alteración del texto previsto
en el Anexo II, mediante instrumento contractual firmado entre el exportador y
el importador.
§ 1 Las cláusulas
contractuales tipo podrán incluir:
I - contrato firmado
para regular específicamente las transferencias internacionales de datos;
II - contrato con
objeto más amplio, incluso mediante la suscripción de una adenda por parte del
exportador y del importador involucrados en la operación de transferencia
internacional de datos.
§ 2 Las demás
disposiciones previstas en el instrumento contractual o en contratos
relacionados firmados por las partes no pueden excluir, modificar o
contradecir, directa o indirectamente, las disposiciones de las cláusulas
contractuales tipo.
§ 3 En el caso del
inciso II del § 1 de este artículo, las fracciones I, II y III del Anexo II
deberán constar como documento adjunto al instrumento contractual firmado entre
el exportador y el importador.
Sección II
Medidas de
transparencia
Art. 17. El responsable
del tratamiento deberá poner a disposición del titular, previa solicitud, las
cláusulas completas utilizadas para realizar la transferencia internacional de
datos, observando secretos comerciales e industriales.
§ 1 El plazo para
responder a la solicitud es de 15 (quince) días, salvo el caso de plazo
diferente establecido en normas específicas de la ANPD.
§ 2 El responsable del
tratamiento también deberá publicar en su sitio web un documento que contenga
información en portugués, en lenguaje sencillo, claro, preciso y accesible
sobre la transferencia internacional de datos, incluyendo, al menos, información
sobre:
I - la forma, duración
y finalidad específica de la transferencia internacional;
II - el país de destino
de los datos transferidos;
III - la identificación
y contactos del responsable del tratamiento;
IV - el uso compartido
de los datos por el responsable y la finalidad;
V - las
responsabilidades de los agentes que realizarán el tratamiento y las medidas de
seguridad adoptadas; y
VI - los derechos del
titular y los medios para ejercerlos, incluido un canal de fácil acceso y el
derecho de petición contra el responsable ante la ANPD.
§ 3 El documento
mencionado en el § 2 podrá estar disponible en una página específica o
integrarse, de forma destacada y fácilmente accesible, en la Política de
Privacidad o instrumento equivalente.
Sección III
Cláusulas contractuales
tipo equivalentes
Art. 18. La ANPD podrá
reconocer la equivalencia de cláusulas contractuales tipo de otros países u
organismos internacionales con las cláusulas establecidas en el Anexo II.
§ 1 El procedimiento
para reconocer la equivalencia de las cláusulas contractuales tipo:
I - puede ser
establecido por decisión del Consejo de Administración, de oficio oa solicitud
de los interesados;
II - será instruido por
el área técnica competente, de conformidad con el Reglamento Interno de la
ANPD, que comentará los méritos de la propuesta de equivalencia, indicando, si
corresponde, las condiciones a observar; y
III - previo
pronunciamiento del Ministerio Público Federal Especializado, será sometido a
deliberación del Consejo Directivo, de conformidad con el Reglamento Interno de
la ANPD.
§ 2 El consejo de
administración podrá decidir consultar a la sociedad mediante el procedimiento
previsto en el § 1.
§3 Los órganos de la
Administración Pública y las entidades con competencias relacionadas con el
tema podrán ser informados del inicio del proceso, y se les podrá dar la
oportunidad de presentar una declaración, en el ámbito de sus competencias
legales.
§ 4 La solicitud
enviada a la ANPD deberá ir acompañada de los siguientes documentos e
informaciones:
I - todo el contenido
de las cláusulas contractuales tipo traducido al portugués;
II - legislación
pertinente aplicable y otros documentos pertinentes, incluidas guías y
directrices emitidas por la respectiva autoridad de protección de datos
personales; y
III - análisis de
compatibilidad con las disposiciones de la Ley nº 13.709, de 14 de agosto de
2018, y de este Reglamento, que incluye una comparación entre el contenido de
las cláusulas nacionales y las destinadas a obtener el reconocimiento de
equivalencia.
Art. 19. La decisión
sobre la propuesta de equivalencia tendrá en cuenta, entre otras circunstancias
relevantes:
I - si las cláusulas
contractuales tipo son compatibles con las disposiciones de la Ley nº 13.709,
de 14 de agosto de 2018, y del presente Reglamento, además de garantizar un
nivel de protección de datos equivalente al garantizado por las cláusulas contractuales
tipo nacionales; y
II - los riesgos y
beneficios previstos por la aprobación, considerando, entre otros aspectos, la
garantía de los principios, los derechos del titular y el régimen de protección
de datos previstos en la Ley N° 13.709, de 14 de agosto de 2018, además de los
impactos en el flujo internacional de datos, las relaciones diplomáticas, el
comercio y la cooperación internacionales entre Brasil y otros países y
organizaciones internacionales.
Un solo párrafo. Para
efectos de lo dispuesto en la fracción II del caput, la ANPD priorizará la
aprobación de cláusulas que puedan ser utilizadas por otros agentes de
procesamiento que realicen transferencias internacionales de datos en
circunstancias similares.
Art. 20. Las cláusulas
contractuales tipo reconocidas como equivalentes serán aprobadas por Resolución
del Consejo Directivo y publicadas en el sitio web de la ANPD.
Un solo párrafo. Las
cláusulas contractuales tipo reconocidas como equivalentes constituyen un
mecanismo válido para realizar transferencias internacionales de datos, de
conformidad con el art. 33, inciso II, inciso "b", de la Ley N°
13.709, de 14 de agosto de 2018, sujeto a las condiciones establecidas en la
decisión del Directorio.
CAPÍTULO VI
CLÁUSULAS CONTRACTUALES
ESPECÍFICAS
Art. 21. El responsable
del tratamiento podrá solicitar a la ANPD la aprobación de cláusulas
contractuales específicas, que ofrezcan y acrediten garantías de cumplimiento
de los principios, derechos del titular y régimen de protección de datos
previstos en la Ley N° 13.709, de 14 de agosto de 2018, y en este Reglamento.
§ 1 Sólo se aprobarán
cláusulas contractuales específicas cuando la transferencia internacional de
datos no pueda realizarse mediante cláusulas contractuales tipo, por
circunstancias excepcionales de hecho o de derecho, debidamente comprobadas por
el responsable.
§ 2 En cualquier caso,
las cláusulas contractuales específicas deben prever la aplicación de la
legislación nacional en materia de protección de datos personales a la
transferencia internacional de datos y su sometimiento a la supervisión de la
ANPD.
Art. 22. El responsable
del tratamiento deberá presentar las cláusulas completas que regirán la
transferencia internacional de datos, incluidas las específicas, para la
aprobación de la ANPD.
§ 1 El análisis
realizado por la ANPD tendrá en cuenta, entre otras circunstancias relevantes:
I - si las cláusulas
específicas son compatibles con las disposiciones de la Ley nº 13.709, de 14 de
agosto de 2018, y del presente Reglamento, además de garantizar un nivel de
protección de datos equivalente al garantizado por las cláusulas contractuales
tipo nacionales; y
II - los riesgos y
beneficios previstos por la aprobación, considerando, entre otros aspectos, la
garantía de los principios, los derechos del titular y el régimen de protección
de datos previstos en la Ley N° 13.709, de 14 de agosto de 2018, además de los
impactos en el flujo internacional de datos, las relaciones diplomáticas, el
comercio y la cooperación internacionales entre Brasil y otros países y
organizaciones internacionales.
§ 2 Para efectos de lo
dispuesto en la fracción II del § 1, la ANPD priorizará la aprobación de
cláusulas específicas que también podrán ser utilizadas por otros agentes de
procesamiento que realicen transferencias internacionales de datos en
circunstancias similares.
Art. 23. En las
cláusulas sometidas a aprobación de la ANPD, el interventor deberá:
I - adoptar, siempre
que sea posible, la redacción de las cláusulas contractuales tipo; y
II - indicar las
cláusulas específicas adoptadas, con la respectiva justificación, en los
términos del art. 22.
Art. 24. Las cláusulas
contractuales específicas deberán ser sometidas a la aprobación de la ANPD,
conforme al proceso descrito en el Capítulo VIII.
CAPÍTULO VII
ESTÁNDARES CORPORATIVOS
GLOBALES
Art. 25. Las normas
corporativas globales están destinadas a las transferencias internacionales de
datos entre organizaciones dentro de un mismo grupo o conglomerado de empresas,
teniendo carácter vinculante en relación con los miembros del grupo que las
suscriben.
Un solo párrafo. El
estándar corporativo global constituye un mecanismo válido para realizar
transferencias internacionales de datos personales únicamente a organizaciones
o países cubiertos por los estándares corporativos globales.
Art. 26. Los estándares
corporativos globales deben estar vinculados a la implementación de un programa
de gobernanza de la privacidad que cumpla con las condiciones mínimas
establecidas en el § 2 del art. 50 de la Ley N° 13.709, de 14 de agosto de
2018.
Art. 27. Además de
cumplir con lo dispuesto en el art. 26, los estándares corporativos globales
deben contener, como mínimo:
I - descripción de las
transferencias internacionales de datos a las que se aplica el instrumento,
incluyendo las categorías de datos personales, la operación de procesamiento y
sus fines, las hipótesis jurídicas y los tipos de titulares de los datos;
II - identificación de
los países a los cuales los datos pueden ser transferidos;
III - estructura del
grupo o conglomerado de empresas, conteniendo la lista de entidades vinculadas,
el papel desempeñado por cada una de ellas en el tratamiento y los datos de
contacto de cada organización que trata datos personales;
IV - determinación del
carácter vinculante de la norma corporativa global para todos los miembros del
grupo o conglomerado de empresas que la suscriben, incluidos sus empleados;
V - delimitación de
responsabilidades del tratamiento, con indicación de la entidad responsable;
VI - indicación de los
derechos de los titulares correspondientes y los medios para ejercerlos,
incluido un canal de fácil acceso y el derecho de recurso contra el responsable
ante la ANPD, después de que el titular haya probado que la queja no ha sido resuelta
ante el responsable en el plazo el plazo que reglamentariamente se establezca;
VII - normas sobre el
proceso de revisión de las normas corporativas globales y disposición para su
sometimiento a la aprobación previa de la ANPD; y
VIII - disposición para
la comunicación a la ANPD en caso de cambios en las garantías presentadas como
suficientes para el cumplimiento de los principios, los derechos del titular y
el régimen de protección de datos previstos en la Ley N° 13.709, de 14 de
agosto de 2018, especialmente en caso de que alguno de los integrantes del
grupo o conglomerado de empresas esté sujeto a una determinación legal de otro
país que impida el cumplimiento de normas corporativas.
§ 1 Para efectos del
cumplimiento del inciso VIII, la norma corporativa global debe prever la
obligación de notificar inmediatamente a la entidad responsable cada vez que un
miembro del grupo o conglomerado de empresas ubicadas en otro país sea objeto
de una determinación legal que impida el cumplimiento de normas corporativas,
salvo prohibición legal expresa para realizar esta notificación.
§ 2 Para los efectos de
la fracción VI, las solicitudes relacionadas con el cumplimiento de la norma
corporativa global deberán ser atendidas dentro del plazo previsto en la Ley nº
13.709, de 14 de agosto de 2018, y en normas específicas.
Art. 28. Las normas
corporativas globales deberán ser sometidas a la aprobación de la ANPD,
conforme al proceso descrito en el Capítulo VIII.
CAPÍTULO VIII
DISPOSICIONES COMUNES A
CLÁUSULAS CONTRACTUALES ESPECÍFICAS Y NORMAS CORPORATIVAS GLOBALES
Sección I
Procedimiento de
aprobación
Art. 29. La solicitud
de aprobación de cláusulas contractuales específicas o normas corporativas
globales deberá acompañarse, según el caso, de al menos:
I - las cláusulas
completas o norma corporativa global;
II - los documentos de
constitución social del agente procesador o de los integrantes del grupo o
conglomerado de empresas;
III - si corresponde,
copia de la decisión de la autoridad de protección de datos que aprobó las
cláusulas específicas o normas corporativas globales objeto de la solicitud de
aprobación; y
IV - demostración del
cumplimiento de los requisitos establecidos en los Capítulos VI o VII de este
Reglamento.
Art. 30. La exigencia
de aprobación de cláusulas contractuales específicas y normas corporativas
globales:
I - será analizado por
el área técnica competente, de acuerdo con el Reglamento Interno de la ANPD,
que comentará el mérito de la solicitud, indicando, si corresponde, las
condiciones a observar; y
II - previo
pronunciamiento del Ministerio Público Federal Especializado, será sometido a
deliberación del Consejo Directivo, de conformidad con el Reglamento Interno de
la ANPD.
§ 1 En el análisis de
cláusulas contractuales específicas o de normas corporativas globales sometidas
a la aprobación de la ANPD, podrá solicitarse la presentación de otros
documentos e informaciones complementarias o realizarse procedimientos de
verificación de las operaciones de tratamiento, cuando sea necesario.
§ 2 El proceso podrá
ser archivado, sumariamente, por decisión del área técnica competente, si no se
presentan los documentos solicitados y la información adicional.
Sección II
Medidas de
transparencia
Art. 31. La ANPD
publicará en su sitio web la lista de cláusulas contractuales específicas y
normas corporativas globales aprobadas, indicando el respectivo solicitante, la
fecha de aprobación y la decisión tomada por el Consejo Directivo, además de
otras informaciones que considere necesarias. la técnica responsable del área.
Un solo párrafo. La
ANPD publicará las cláusulas contractuales específicas íntegras en los casos en
que dichas cláusulas puedan ser utilizadas por otros agentes procesadores,
sujetas a secreto comercial e industrial.
Art. 32. El responsable
del tratamiento deberá poner a disposición del titular, previa solicitud, las
cláusulas contractuales específicas completas o las normas corporativas
globales, en la forma prevista por el art. 17.
Un solo párrafo. El
responsable del tratamiento publicará en su sitio web un documento redactado en
lenguaje sencillo sobre la transferencia internacional de datos, en la forma
prevista en el art. 17, §§ 2º y 3º, sujeto a las condiciones establecidas en la
decisión de aprobación
Sección III
Cambios
Art. 33. Las
modificaciones de cláusulas contractuales específicas y normas corporativas
globales dependen de la aprobación previa de la ANPD, observándose el
procedimiento descrito en este Capítulo.
Un solo párrafo. El
Directorio podrá establecer un procedimiento simplificado para aprobar cambios
que no afecten las garantías presentadas como suficientes para el cumplimiento
de los principios, los derechos del titular y el régimen de protección de datos
previstos en la Ley N° 13.709, de 14 de agosto de 2018.
CAPÍTULO IX
DISPOSICIONES FINALES
Art. 34. El recurso de
reconsideración de las decisiones del Consejo Directivo podrá solicitarse,
debidamente fundamentado, dentro de los 10 (diez) días hábiles, contados a
partir del oficio del interesado, de conformidad con el art. 12 del Anexo a la
Resolución CD/ANPD nº 1, de 28 de octubre de 2021, en los procedimientos
iniciados para:
I - emisión de decisión
de adecuación;
II - reconocimiento de
equivalencia de cláusulas contractuales tipo; o
III - aprobación de
cláusulas contractuales específicas y estándares corporativos globales.
Un solo párrafo. La
solicitud de reconsideración será distribuida y tramitada de acuerdo con el
Reglamento Interno de la ANPD.
ANEXO II
CLÁUSULAS CONTRACTUALES
ESTÁNDAR
(NOTA: Según lo
dispuesto en el Anexo I - Reglamento de Transferencia Internacional de Datos,
las Cláusulas establecidas en este ANEXO II pueden ser parte de un contrato
firmado para regular específicamente la transferencia internacional de datos o
un contrato con un propósito más amplio, incluso a través de la firma de una
adenda por parte del exportador e importador involucrados en la operación de
transferencia internacional de datos).
Sección I - Información
General
(NOTA: Esta Sección
contiene Cláusulas que pueden ser complementadas por las Partes,
exclusivamente, en los espacios indicados y de acuerdo con los lineamientos
presentados. Las definiciones de los términos utilizados en estas Cláusulas se
detallan en la CLÁUSULA 6).
CLÁUSULA 1.
Identificación de las Partes
1.1. Por el presente
instrumento contractual, el Exportador y el Importador (en adelante, Partes),
identificados a continuación, resuelven adoptar las cláusulas contractuales
tipo (en adelante Cláusulas) aprobadas por la Autoridad Nacional de Protección de
Datos (ANPD), para regir la Transferencia Internacional de Datos descrita en la
Cláusula 2, de conformidad con lo dispuesto en la Legislación Nacional.
Nombre:
Calificación:
Dirección principal:
Dirección de correo
electrónico:
Contacto del Titular:
Otra información:
( )
Exportador/Controlador) ( ) Exportador/Operador)
(NOTA: seleccione la
opción correspondiente a "Controlador" u "Operador" y
complete los datos de identificación, como se indica en la tabla).
Nombre:
Calificación:
Dirección principal:
Dirección de correo
electrónico:
Contacto del Titular:
Otra información:
( )
Importador/Controlador ( ) Importador/Operador
(NOTA: seleccione la
opción correspondiente a "Controlador" u "Operador" y
complete los datos de identificación, como se indica en la tabla).
CLÁUSULA 2. Objeto
2.1. Estas Cláusulas se
aplican a las Transferencias Internacionales de Datos del Exportador al
Importador, como se describe a continuación.
Descripción de la transferencia
internacional de datos:
Principales objetivos
de la transferencia:
Categorías de datos
personales transferidos:
Periodo de conservación
de los datos:
Otra información:
(NOTA: complete lo más
detalladamente posible la información relativa a la transferencia
internacional)
CLÁUSULA 3.
Transferencias posteriores
(NOTA: elija entre
"OPCIÓN A" y "OPCIÓN B", según corresponda).
OPCIÓN A. 3.1. El
Importador no podrá realizar una Transferencia Posterior de Datos Personales
sujeta a la Transferencia Internacional de Datos regida por las presentes
Cláusulas, salvo en los casos previstos en el numeral 18.3.
OPCIÓN B. 3.1. El
Importador podrá realizar una Transferencia Posterior de Datos Personales
sujeta a la Transferencia Internacional de Datos regida por las presentes
Cláusulas en los casos y de conformidad con las condiciones que se describen a
continuación y siempre que se observe lo dispuesto en la Cláusula 18.
Principales objetivos
de la transferencia:
Categorías de datos
personales transferidos:
Periodo de conservación
de los datos:
Otra información:
(NOTA: complete el
mayor detalle posible con información relativa a transferencias autorizadas
posteriores).
CLÁUSULA 4.
Responsabilidades de las Partes
(NOTA: elija entre
"OPCIÓN A" y "OPCIÓN B", según corresponda)
OPCIÓN A. (“La Opción
A” es exclusiva para transferencias internacionales de datos en las que al
menos una de las Partes actúa como responsable)
4.1. Sin perjuicio del
deber de asistencia mutua y de las obligaciones generales de las Partes, la
Parte Designada a continuación, como Responsable del tratamiento, será
responsable del cumplimiento de las siguientes obligaciones establecidas en las
presentes Cláusulas:
a) Responsable de
publicar el documento previsto en la Cláusula 14;
( ) Exportador ( )
Importador
b) Responsable de
atender las solicitudes de los titulares a que se refiere la CLÁUSULA 15:
( ) Exportador ( )
Importador
c) Responsable de
realizar la comunicación de incidentes de seguridad prevista en la Cláusula 16:
( ) Exportador ( )
Importador
(NOTA: en los literales
“a”, “b” y “c”, seleccione la opción correspondiente a: (i) “Exportador” o
“Importador”, en los casos en que sólo una de las Partes actúe como
controlador; o (ii) marque ambas opciones, en los casos en que las dos Partes
actúen como controladores. La responsabilidad del cumplimiento de las
obligaciones mencionadas en las Cláusulas 14 a 16 no puede atribuirse a la
Parte que actúa como Operador si posteriormente se determina que la Parte
Designada actúa como Operador. , se aplicará lo dispuesto en el punto 4.2)
4.2. Para efectos de
las presentes Cláusulas, posteriormente se verifica que la Parte Designada de
conformidad con el numeral 4.1. actúa como Operador, el Responsable seguirá
siendo responsable:
a) para el cumplimiento
de las obligaciones previstas en las Cláusulas 14, 15 y 16 y demás
disposiciones establecidas en la Legislación Nacional, especialmente en caso de
omisión o incumplimiento de obligaciones por parte de la Parte Designada;
b) para dar
cumplimiento a las determinaciones de la ANPD; y
c) garantizar los
derechos de los Tenedores y reparar los daños causados, de conformidad con lo
dispuesto en la Cláusula 17.
OPCIÓN B. (NOTA: La
“Opción B” es exclusiva de las transferencias internacionales de datos
realizadas entre operadores)
4.1. Considerando que
ambas Partes actúan exclusivamente como Operadores en el ámbito de la
Transferencia Internacional de Datos regida por estas Cláusulas, el Exportador
declara y garantiza que la transferencia se realiza de acuerdo con las
instrucciones proporcionadas por escrito por el Tercero Responsable
identificado en la tabla a continuación. .
Información de
identificación del Tercero Responsable:
Nombre:
Calificación:
Dirección principal:
Dirección de correo
electrónico:
Contacto del Titular:
Información del
contrato relacionada:
(NOTA: complete el
mayor detalle posible con la identificación y la información de contacto del
Tercero Responsable y, en su caso, el Acuerdo Relacionado).
4.2. El Exportador es
solidariamente responsable de los daños causados por la Transferencia
Internacional de Datos si ésta se realiza en incumplimiento de las obligaciones
de la Legislación Nacional o de las instrucciones legales del Tercero
Responsable, en cuyo caso el Exportador equivale al Responsable, con sujeción a
lo dispuesto en la Cláusula 17.
4.3. De verificarse la
equivalencia a Responsable a que se refiere el numeral 4.2, el Exportador será
responsable del cumplimiento de las obligaciones establecidas en las Cláusulas
14, 15 y 16.
4.4. Salvo lo dispuesto
en los puntos 4.2. y 4.3, lo dispuesto en las Cláusulas 14, 15 y 16 no se
aplican a las Partes, en su calidad de Operadores.
4.5. Las Partes
proporcionarán, en todo caso, toda la información que posean y que sea
necesaria para que el Tercero Responsable pueda cumplir con las determinaciones
de la ANPD y cumplir adecuadamente con las obligaciones previstas en la
Legislación Nacional relacionadas con la transparencia, el cumplimiento de los
derechos de los titulares y la presentación de informes. incidentes de
seguridad a la ANPD.
4.6. Las Partes deberán
promover la asistencia mutua para atender las solicitudes de los Tenedores.
4.7. Si se recibe una
solicitud del Titular, la Parte deberá:
a) responder a la
solicitud, cuando esté disponible la información necesaria;
b) informar al Titular
el canal de atención brindado por el Tercero Responsable; o
c) remitir la solicitud
al Tercero Responsable lo antes posible, a fin de permitir una respuesta dentro
del plazo establecido en la Legislación Nacional.
4.8. Las Partes deberán
mantener un registro de incidentes de seguridad que involucren datos
personales, de conformidad con la Legislación Nacional.
Sección II - Cláusulas
Obligatorias
(NOTA: Esta Sección
contiene Cláusulas que deben adoptarse en su totalidad y sin cambios en su
texto para garantizar la validez de la transferencia internacional de datos).
CLÁUSULA 5. Objeto
5.1. Estas Cláusulas se
presentan como un mecanismo para posibilitar el flujo internacional seguro de
datos personales, establecen garantías mínimas y condiciones válidas para
realizar la Transferencia Internacional de Datos y tienen como objetivo garantizar
la adopción de salvaguardas adecuadas para cumplir con los principios, los
derechos del Titular y el régimen. de protección de datos previstos en la
Legislación Nacional.
CLÁUSULA 6.
Definiciones
6.1. A los efectos de
estas Cláusulas, las definiciones del art. 5° de la Ley N° 13.709, de 14 de
agosto de 2018, y art. 3 del Reglamento sobre Transferencia Internacional de
Datos Personales, sin perjuicio de otros actos normativos dictados por la ANPD.
Las Partes además acuerdan considerar los términos y sus respectivos significados,
como se establece a continuación:
a) Agentes del
tratamiento: el responsable del tratamiento y el operador;
b) ANPD: Autoridad
Nacional de Protección de Datos;
c) Cláusulas: las
cláusulas contractuales tipo aprobadas por la ANPD, que forman parte de las
Secciones I, II y III;
d) Contrato
Relacionado: instrumento contractual suscrito entre las Partes o, al menos,
entre una de ellas y un tercero, incluido un Tercero Responsable, que tenga un
objeto común, relación vinculante o dependiente con el contrato que rige la
Transferencia Internacional de Datos. ;
e) Responsable: Parte o
tercero (“Tercero Responsable”) que es responsable de las decisiones relativas
al tratamiento de Datos Personales;
f) Datos Personales:
información relativa a una persona física identificada o identificable;
g) Datos Personales
Sensibles: datos personales sobre origen racial o étnico, convicciones
religiosas, opiniones políticas, afiliación a un sindicato u organización de
carácter religioso, filosófico o político, datos relativos a la salud o la vida
sexual, datos genéticos o biométricos, cuando vinculado a una persona física;
h) Supresión:
eliminación de un dato o conjunto de datos almacenados en una base de datos,
cualquiera que sea el procedimiento utilizado;
i) Exportador: agente
procesador, ubicado en el territorio nacional o en el extranjero, que
transfiere datos personales al Importador;
j) Importador: agente
procesador, ubicado en un país extranjero o que sea un organismo internacional,
que recibe datos personales transferidos por el Exportador;
k) Legislación
Nacional: conjunto de disposiciones constitucionales, legales y reglamentarias
brasileñas en materia de protección de Datos Personales, incluida la Ley N°
13.709, de 14 de agosto de 2018, el Reglamento de Transferencia Internacional
de Datos y otros actos normativos emitidos por la ANPD;
l) Ley de Arbitraje:
Ley N° 9.307, de 23 de septiembre de 1996;
m) Medidas de
Seguridad: medidas técnicas y administrativas adoptadas para proteger los datos
personales de accesos no autorizados y situaciones accidentales o ilícitas de
destrucción, pérdida, alteración, comunicación o difusión;
n) Órgano de
Investigación: organismo o entidad de la administración pública directa o
indirecta o persona jurídica de derecho privado sin fines de lucro, legalmente
constituida conforme a las leyes brasileñas, con sede y jurisdicción en el
país, que incluye en su misión institucional o en su objetivo social o básico o
aplicado son obligatorias las investigaciones de carácter histórico,
científico, tecnológico o estadístico;
o) Operador: Parte o
tercero, incluido un Subcontratista, que procesa Datos Personales por cuenta
del responsable;
p) Parte Designada:
Parte del contrato designada, en los términos de la Cláusula 4 (“Opción A”),
para cumplir, en calidad de Responsable, con obligaciones específicas relativas
a transparencia, derechos de los Titulares y reporte de incidentes de seguridad;
q) Partes: Exportador e
Importador;
r) Solicitud de Acceso:
solicitud de servicio obligatorio, por ley, reglamento o determinación de
autoridad, para otorgar acceso a Datos Personales sujetos a Transferencia
Internacional de Datos regidos por estas Cláusulas;
s) Subcontratista:
agente procesador contratado por el Importador, sin vínculo alguno con el
Exportador, para procesar Datos Personales luego de una Transferencia
Internacional de Datos;
t) Tercero responsable:
Responsable de Datos Personales que proporciona instrucciones escritas para
realizar, en su nombre, la Transferencia Internacional de Datos entre
Operadores regidos por estas Cláusulas, de conformidad con la Cláusula 4
("Opción B");
u) Titular: persona
natural a quien se refieren los Datos Personales objeto de la Transferencia
Internacional de Datos regida por las presentes Cláusulas;
v) Transferencia: tipo
de procesamiento mediante el cual un agente de procesamiento transmite,
comparte o proporciona acceso a Datos Personales a otro agente de
procesamiento;
w) Transferencia
Internacional de Datos: transferencia de Datos Personales a un país extranjero
u organización internacional de la que el país sea miembro; y
x) Transferencia
posterior: Transferencia internacional de Datos, proveniente de un Importador,
y con destino a un tercero, incluido un Subcontratista, siempre que no
configure una Solicitud de Acceso.
CLÁUSULA 7. Legislación
aplicable y supervisión de la ANPD
7.1. La Transferencia
Internacional de Datos sujeta a estas Cláusulas está sujeta a la Legislación
Nacional y a la supervisión de la ANPD, incluyendo la facultad de aplicar
medidas preventivas y sanciones administrativas a ambas Partes, según
corresponda, así como limitar, suspender o prohibir las transferencias
internacionales derivadas de estas Cláusulas o un Contrato Relacionado.
CLÁUSULA 8.
Interpretación
8.1. Cualquier
aplicación de las presentes Cláusulas deberá producirse de conformidad con los
siguientes términos:
a) estas Cláusulas
deberán interpretarse siempre de la manera más favorable al Titular y de
conformidad con lo dispuesto en la Legislación Nacional;
b) en caso de duda
sobre el significado de los términos de estas Cláusulas, se aplicará el
significado que más se ajuste a la Legislación Nacional;
c) nada en estas
Cláusulas, incluido aquí un Acuerdo Relacionado y las disposiciones
establecidas en la Sección IV, puede interpretarse con el objetivo de limitar o
excluir la responsabilidad de cualquiera de las Partes en relación con las
obligaciones establecidas en la Legislación Nacional; y
d) las disposiciones de
las Secciones I y II prevalecerán en caso de conflicto de interpretación con
las Cláusulas Adicionales y otras disposiciones establecidas en las Secciones
III y IV de este instrumento o en Contratos Relacionados.
CLÁUSULA 9. Posibilidad
de adhesión de terceros
9.1. De mutuo acuerdo
entre las Partes, es posible que un agente procesador se adhiera a estas
Cláusulas como Exportador o Importador, mediante la cumplimentación y firma de
un documento escrito, el cual formará parte del presente instrumento.
9.2. La parte adherente
tendrá los mismos derechos y obligaciones que las Partes originarias,
dependiendo de la posición que asuma como Exportador o Importador y según la
categoría de agente procesador que corresponda.
CLÁUSULA 10.
Obligaciones generales de las Partes
10.1. Las Partes se
comprometen a adoptar y, cuando sea necesario, demostrar la adopción de medidas
efectivas capaces de acreditar el cumplimiento de lo dispuesto en las presentes
Cláusulas y en la Legislación Nacional y, incluyendo, la efectividad de dichas
medidas y, en particular:
a) utilizar Datos
Personales únicamente para los fines específicos descritos en la Cláusula 2,
sin posibilidad de procesamiento posterior de manera incompatible con estos
fines, observando, en cualquier caso, las limitaciones, garantías y
salvaguardas previstas en estas Cláusulas;
b) asegurar la
compatibilidad del tratamiento con las finalidades informadas al Titular, según
el contexto del tratamiento;
c) limitar el
procesamiento al mínimo necesario para lograr sus fines, con cobertura de datos
relevantes, proporcional y no excesiva en relación con los fines del
procesamiento de Datos Personales;
d) garantía a los
Tenedores, de conformidad con lo dispuesto en la Cláusula 4.
(d.1.) información
clara, precisa y de fácil acceso sobre la realización del tratamiento y los
respectivos agentes del tratamiento, observando secretos comerciales e
industriales;
(d.2.) consulta
facilitada y gratuita sobre la forma y duración del procesamiento, así como
sobre la integridad de sus Datos Personales; y
(d.3.) la exactitud,
claridad, pertinencia y actualización de los Datos Personales, de acuerdo con
la necesidad y para cumplir con la finalidad de su tratamiento;
e) adoptar medidas de
seguridad apropiadas y compatibles con los riesgos involucrados en la
Transferencia Internacional de Datos regulada por estas Cláusulas;
f) no procesar Datos
Personales con fines discriminatorios ilícitos o abusivos;
g) garantizar que
cualquier persona que actúe bajo su autoridad, incluidos los subcontratistas o
cualquier agente que colabore con él, ya sea de forma gratuita o remunerada,
realice el procesamiento de datos únicamente de acuerdo con sus instrucciones y
las disposiciones de estas Cláusulas; y
h) mantener un registro
de las operaciones de tratamiento de Datos Personales sujetos a Transferencia
Internacional de Datos regidas por las presentes Cláusulas, y presentar la
documentación pertinente a la ANPD, cuando así lo solicite.
CLÁUSULA 11. Datos
personales sensibles
11.1. Si la
Transferencia Internacional de Datos involucra Datos Personales sensibles, las
Partes aplicarán salvaguardias adicionales, incluidas medidas de seguridad
específicas proporcionadas a los riesgos de la actividad de procesamiento, la
naturaleza específica de los datos y los intereses, derechos y garantías a
proteger, como se describe en Sección III.
CLÁUSULA 12. Datos
personales de niños, niñas y adolescentes
12.1. Si la
Transferencia Internacional de Datos involucra Datos Personales de niños y
adolescentes, las Partes aplicarán salvaguardias adicionales, incluidas medidas
que aseguren que el procesamiento se realice en su mejor interés, de
conformidad con la Legislación Nacional y los instrumentos pertinentes del
derecho internacional.
CLÁUSULA 13. Uso legal
de los datos
13.1. El Exportador
garantiza que los Datos Personales fueron recopilados, procesados y
transferidos al Importador de conformidad con la Legislación Nacional.
CLÁUSULA 14.
Transparencia
14.1. La Parte
Designada publicará, en su sitio web, un documento que contenga información de
fácil acceso escrita en lenguaje sencillo, claro y preciso sobre la
Transferencia Internacional de Datos, incluyendo, al menos, información sobre:
a) la forma, duración y
finalidad específica de la transferencia internacional;
b) el país de destino
de los datos transferidos;
c) los datos de
identificación y contacto de la Parte Designada;
d) el uso compartido de
los datos por las Partes y la finalidad;
e) las
responsabilidades de los agentes que realizarán el tratamiento;
f) los derechos del
Titular y los medios para ejercerlos, incluido un canal disponible de fácil
acceso para responder a sus solicitudes y el derecho de petición contra el
Responsable ante la ANPD; y
g) Transferencias
posteriores, incluidas las relativas a los destinatarios y al objeto de la
transferencia.
14.2. El documento a
que se refiere el punto 14.1. Puede estar disponible en una página específica o
integrarse, de manera destacada y fácilmente accesible, en la Política de
Privacidad o documento equivalente.
14.3. Previa solicitud,
las Partes deberán poner a disposición del Titular copia de las presentes
Cláusulas de forma gratuita, respetando el secreto comercial e industrial.
14.4. Toda la
información puesta a disposición de los titulares, en los términos de estas
Cláusulas, deberá estar escrita en portugués.
CLÁUSULA 15. Derechos
del Titular
15.1. El Titular tiene
derecho a obtener del Designado, en relación con los Datos Personales objeto de
la Transferencia Internacional de Datos regida por las presentes Cláusulas, en
cualquier momento, previa solicitud, de conformidad con la Legislación Nacional:
a) confirmación de la
existencia del tratamiento;
b) acceso a los datos;
c) corrección de datos
incompletos, inexactos o desactualizados;
d) anonimización,
bloqueo o eliminación de datos innecesarios, excesivos o tratados que no
cumplan con estas Cláusulas y lo dispuesto en la Legislación Nacional;
e) portabilidad de
datos a otro proveedor de servicios o productos, previa solicitud expresa, de
conformidad con las normas de la ANPD, observando secretos comerciales e
industriales;
f) eliminación de Datos
Personales tratados con el consentimiento del Titular, salvo en los casos
previstos en la Cláusula 20;
g) información de
entidades públicas y privadas con las que las Partes compartieron uso de datos;
h) información sobre la
posibilidad de no prestar el consentimiento y las consecuencias de negarlo;
i) revocación del
consentimiento mediante un procedimiento gratuito y facilitado, ratificando los
tratamientos realizados antes de la solicitud de supresión;
j) revisión de decisiones
tomadas basándose únicamente en el procesamiento automatizado de datos
personales que afecten a sus intereses, incluidas decisiones encaminadas a
definir su perfil personal, profesional, de consumo y crediticio o aspectos de
su personalidad; y
k) información sobre
los criterios y procedimientos utilizados para la toma de decisiones
automatizada, observando secretos comerciales e industriales.
15.2. El titular podrá
oponerse al tratamiento realizado con base en alguna de las hipótesis de
exención del consentimiento, en caso de incumplimiento de lo dispuesto en las
presentes Cláusulas o en la Legislación Nacional.
15.3. El plazo para dar
respuesta a las solicitudes previstas en esta Cláusula y en el numeral 14.3. es
de 15 (quince) días contados a partir de la fecha de la solicitud del titular,
salvo que se trate de un plazo diferente establecido en normas específicas de
la ANPD.
15.4. Si la solicitud
del Titular se dirige a la Parte no designada como responsable de las
obligaciones previstas en esta Cláusula o en el numeral 14.3., dicha Parte
deberá:
a) informar al Titular
el canal de atención brindado por el Designado; o
b) remitir la solicitud
a la Parte Designada a la mayor brevedad posible, a fin de permitir una
respuesta dentro del plazo establecido en el punto 15.2.
15.5. Las Partes
deberán informar inmediatamente a los Agentes de Tratamiento con quienes hayan
compartido los datos de la corrección, supresión, anonimización o bloqueo de
los mismos, para que puedan repetir el mismo procedimiento, salvo en los casos
en que esta comunicación resulte imposible o resulte desproporcionada.
esfuerzo.
15.6. Las Partes
deberán promover la asistencia mutua para atender las solicitudes de los
Tenedores.
CLÁUSULA 16. Reporte de
Incidente de Seguridad
16.1. El Designado
deberá comunicar a la ANPD y a los Titulares, dentro de los 3 (tres) días
hábiles, la ocurrencia de un incidente de seguridad que pueda resultar en
riesgo o daño significativo para los Titulares, de conformidad con lo
establecido en la Legislación Nacional.
16.2. El Importador
deberá mantener un registro de incidentes de seguridad de acuerdo con la
Legislación Nacional.
CLÁUSULA 17.
Responsabilidad e indemnización de daños y perjuicios
17.1. La Parte que con
motivo del ejercicio de la actividad de tratamiento de Datos Personales cause
daño patrimonial, moral, individual o colectivo, en violación de lo dispuesto
en estas Cláusulas y la Legislación Nacional, está obligada a repararlo.
17.2. El Titular podrá
reclamar una indemnización por los daños causados por cualquiera de las
Partes por la violación de las presentes Cláusulas.
17.3. La defensa de los
intereses y derechos de los Titulares podrá reclamarse judicialmente,
individual o colectivamente, de conformidad con lo dispuesto en la legislación
pertinente en materia de instrumentos de protección individual y colectiva
17.4. La Parte que
actúa como Operador es solidariamente responsable de los daños causados por
el tratamiento cuando incumpla las presentes Cláusulas o cuando no haya seguido
las instrucciones legales del Responsable, salvo lo dispuesto en el ítem 17.6.
17.5. Los Responsables
que intervienen directamente en el tratamiento que resulte en daños al Titular
son solidariamente responsables de estos daños, salvo lo dispuesto en el ítem
17.6.
17.6. Las Partes no
serán responsables si se prueba que:
a) no procesaron los
Datos Personales que les fueron asignados;
b) si bien realizaron
el Tratamiento de Datos Personales que les fueron asignados, no hubo violación
de las presentes Cláusulas ni de la Legislación Nacional; o
c) el daño sea
resultado de culpa exclusiva del Titular o de un tercero que no sea
destinatario de la Transferencia Posterior o subcontratado por las Partes.
17.7. En los términos
de la Legislación Nacional, el juez podrá invertir la carga de la prueba a
favor del Titular cuando, a su juicio, la alegación sea creíble, no sea
suficiente para los efectos de la producción de prueba o cuando la producción
de prueba por parte del Titular es excesivamente gravosa.
17.8. Las acciones de
reparación de daños colectivos que tengan por objeto la responsabilidad
prevista en esta Cláusula podrán ejercitarse colectivamente ante los
tribunales, con sujeción a lo dispuesto en la legislación pertinente.
17.9. La Parte que
repara el daño al titular tiene derecho de repetición contra los demás
responsables, en la medida de su participación en el hecho dañoso.
CLÁUSULA 18. Garantías
para la Transferencia Posterior
18.1. El Importador
sólo podrá realizar Transferencias Posteriores de Datos Personales sujetas a la
Transferencia Internacional de Datos regida por las presentes Cláusulas si está
expresamente autorizado, de acuerdo con las hipótesis y condiciones descritas
en la Cláusula 3.
18.2. En todo caso, el
Importador:
a) debe garantizar que
el propósito de la Transferencia Posterior sea compatible con los propósitos
específicos descritos en la Cláusula 2;
b) deberá garantizar,
mediante instrumento contractual escrito, que las salvaguardas previstas en
estas Cláusulas serán observadas por el tercero destinatario de la
Transferencia Posterior; y
c) a los efectos de las
presentes Cláusulas, y en relación con los Datos Personales transferidos, usted
será considerado responsable de las irregularidades cometidas por el tercero
destinatario de la Transferencia Posterior.
18.3. La Transferencia
Posterior también podrá realizarse con base en otro mecanismo válido de
Transferencia Internacional de Datos previsto en la Legislación Nacional,
independientemente de la autorización a que se refiere la Cláusula 3.
CLÁUSULA 19.
Notificación de Solicitud de Acceso
19.1. El Importador
notificará al Exportador y al Titular de la Solicitud de Acceso relacionada con
los Datos Personales sujetos a la Transferencia Internacional de Datos regida
por estas Cláusulas, excepto en el caso de que la notificación esté prohibida
por la ley del país en el que se procesan los datos.
19.2. El Importador
adoptará las medidas legales apropiadas, incluyendo acciones legales, para
proteger los derechos de los Titulares siempre que exista base jurídica
adecuada para cuestionar la legalidad de la Solicitud de Acceso y, en su caso,
la prohibición de realizar la notificación a que se refiere el presente
artículo. punto 19.1.
19.3. Para responder a
las solicitudes de la ANPD y del Exportador, el Importador deberá mantener un
registro de Solicitudes de Acceso, incluyendo fecha, solicitante, propósito de
la solicitud, tipo de datos solicitados, número de solicitudes recibidas y
medidas legales adoptadas.
CLÁUSULA 20. Cese del
tratamiento y supresión de los datos
20.1. Las Partes
deberán suprimir los Datos Personales objeto de la Transferencia Internacional
de Datos regida por las presentes Cláusulas una vez finalizado el tratamiento,
dentro del alcance y límites técnicos de las actividades, autorizándose su conservación
únicamente para las siguientes finalidades:
a) cumplimiento de
obligaciones legales o reglamentarias por parte del Responsable;
b) estudio por un
Organismo de Investigación, garantizando, siempre que sea posible, la
anonimización de los Datos Personales;
c) transferencia a un
tercero, siempre que se respeten los requisitos establecidos en estas Cláusulas
y en la Legislación Nacional; y
d) uso exclusivo del
Responsable, prohibido el acceso a terceros, y siempre que los datos sean
anonimizados.
20.2. A los efectos de
esta Cláusula, se considera que el fin del tratamiento se produce cuando:
a) se ha logrado el
propósito establecido en estas Cláusulas;
b) los Datos Personales
ya no son necesarios o relevantes para lograr el propósito específico
establecido en estas Cláusulas;
c) el período de
tratamiento ha finalizado;
d) se ha atendido la
solicitud del Titular; y
e) que determine la
ANPD, cuando exista violación a lo dispuesto en estas Cláusulas o en la
Legislación Nacional.
CLÁUSULA 21. Seguridad
en el tratamiento de datos
21.1. Las Partes
deberán adoptar medidas de seguridad que garanticen la protección de los Datos
Personales sujetos a la Transferencia Internacional de Datos regulada por las
presentes Cláusulas, incluso después de su terminación.
21.2. Las Partes
informarán, en la Sección III, las Medidas de Seguridad adoptadas, considerando
la naturaleza de la información procesada, las características específicas y
finalidad del procesamiento, el estado actual de la tecnología y los riesgos a
los derechos de los Titulares, especialmente en el caso de datos personales
sensibles y de niños, niñas y adolescentes.
21.3. Las Partes
deberán realizar los esfuerzos necesarios para adoptar medidas periódicas de
evaluación y revisión para mantener un nivel de seguridad adecuado a las
características del tratamiento de datos.
CLÁUSULA 22.
Legislación del país receptor de los datos
22.1. El Importador
declara que no ha identificado leyes o prácticas administrativas en el país
receptor de los Datos Personales que le impidan cumplir con las obligaciones
asumidas en estas Cláusulas.
22.2. Si existiera
algún cambio normativo que altere esta situación, el Importador notificará
inmediatamente al Exportador para evaluar la continuidad del contrato.
CLÁUSULA 23.
Incumplimiento de las Cláusulas por parte del Importador
23.1. De existir
violación de las salvaguardas y garantías previstas en estas Cláusulas o
imposibilidad de cumplimiento por parte del Importador, se deberá notificar inmediatamente
al Exportador, salvo lo dispuesto en el ítem 19.1.
23.2. Una vez recibida
la comunicación a que se refiere el numeral 23.1 o verificado el incumplimiento
de las presentes Cláusulas por parte del Importador, el Exportador adoptará las
medidas pertinentes para asegurar la protección de los derechos de los Titulares
y el cumplimiento de la Transferencia Internacional de Datos con Legislación
Nacional y estas Cláusulas, y podrá, según corresponda:
a) suspender la
Transferencia Internacional de Datos;
b) solicitar la
devolución de Datos Personales, su transferencia a un tercero o su eliminación;
y
c) rescindir el
contrato.
CLÁUSULA 24. Elección
de foro y jurisdicción
24.1. A estas Cláusulas
se aplica la legislación brasileña y cualquier disputa entre las Partes que
surja de estas Cláusulas será resuelta ante los tribunales competentes de
Brasil, observando, en su caso, el foro elegido por las Partes en la Sección
IV.
24.2. Los Tenedores
podrán interponer acciones judiciales contra el Exportador o el Importador,
según su elección, ante los tribunales competentes en Brasil, incluidos los
ubicados en su lugar de residencia.
24.3. De mutuo acuerdo,
las Partes podrán utilizar el arbitraje para resolver conflictos derivados de
estas Cláusulas, siempre que se realice en Brasil y de acuerdo con las
disposiciones de la Ley de Arbitraje.
Sección III - Medidas
de Seguridad
(NOTA: Este Apartado
deberá incluir el detalle de las medidas de seguridad adoptadas, incluyendo
medidas específicas de protección de datos sensibles y de niños, niñas y
adolescentes. Las medidas podrán incluir, entre otros, los siguientes aspectos,
según se indica en la tabla a continuación).
(i) gobernanza y
supervisión de procesos internos:
(ii) medidas de
seguridad técnicas y administrativas, incluidas medidas para garantizar la
seguridad de las operaciones realizadas, como la recopilación, transmisión y
almacenamiento de datos:
Sección IV - Cláusulas
Adicionales y Anexos
(NOTA: En esta Sección,
de carácter facultativo para su cumplimentación y divulgación, podrán incluirse
Cláusulas y Anexos Adicionales, a criterio de las Partes, para regular, entre
otros, cuestiones de carácter comercial, terminación contractual, plazo de
vigencia y elección de fuero en Brasil, conforme a lo previsto en el Reglamento
de Transferencia Internacional de Datos, las Cláusulas establecidas en esta
Sección o en Contratos Relacionados no podrán excluir, modificar o contradecir,
directa o indirectamente, las Cláusulas establecidas en las Secciones I, II y
III).
Lugar, fecha.
Suscripciones.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.