É sabido que o varejo por si só é um ambiente desafiador para os negócios, dadas suas particularidades próprias, baixas margens e alto índice de concorrência nos mais variados setores, além, é claro, de lidar com um elevado número de dados pessoais de clientes, parceiros e profissionais, exigindo-se, portanto, um robusto e atualizado programa de proteção de dados e privacidade.
Diante desse cenário, a Resolução nº 19 da ANPD, que regula a transferência internacional de dados pessoais enseja importante revisão de fluxos e adequação pontual de processos nas companhias, notadamente as empresas do varejo.
Como regra de transparência prevista no art. 17§ 2º da Resolução, uma etapa importante surgida para as companhias, especialmente as grandes varejistas, é a de realizar adequada revisão de suas políticas de privacidade para incluir informações contendo, minimamente, seis aspectos importantes sobre a transferência realizada:
1. Forma, duração e finalidade da transferência realizada;
2. País de destino dos dados transferidos;
3. Identificação e contatos do controlador;
4. Descrição do uso e finalidade de compartilhamento dos dados;
5. Responsabilidades dos agentes de tratamento (exportador e importador) envolvidos na operação e;
6. Descrição dos direitos do titular, contando ainda com indicação do meio de exercício destes direitos.
É importante lembrar que o dever de transparência, apesar de relevante, não é absoluto, de forma que as empresas podem e devem manter sob sigilo informações relativas aos seus parceiros que, sob alguma ótica, revelem segredos comercial e/ou industrial, quando aplicável.
Não é demais afirmar que fornecedores estrangeiros são figuras essenciais e frequentes no segmento do varejo (aí incluídos serviços virtualização de ambiente lógico e utilização de cloud para armazenamento ou processamento de dados pessoais fora do país, por exemplo), tornando-se altamente provável a aplicação da Resolução nº19 perante estes agentes de tratamento, que igualmente conseguem explorar de maneira mais clara um ambiente agora regulado.
É indispensável, portanto, que além da revisão de fluxos, haja também análise detida dos contratos firmados com parceiros deste ambiente para que, sendo o caso, mediante aditivo, seja incorporada cláusula contratual padrão, também prevista na Resolução ou, ainda, outro dispositivo adequado, como Cláusulas Específicas, Cláusulas Padrão Contratuais Equivalentes ou Cláusulas Especiais, temas que devem ser abordados noutro artigo desta série.
Não deixe sua empresa vulnerável a multas e sanções. Entre em contato conosco hoje mesmo para uma consulta sobre como podemos ajudá-lo a adequar suas políticas de privacidade às exigências da Resolução nº 19.
Mestre em Direito Empresarial pela Universidade Nove de Julho com Módulo Internacional pela Universidade da Corunã/Espanha. Graduado em Direito pelo Centro Universitário FIEO e pós-graduado em Direito Processual Civil pela mesma instituição. Especialista em Direito Digital e Compliance pelo Damásio Educacional. Coordenador do Curso de Proteção de Dados e Privacidade no Damásio Educacional. Certificado de extensão pela WIPO em Propriedade Intelectual, em direitos autorais por Harvard/ITS Rio e em Relações de Consumo pela FGV. Certificado EXIN Privacy & Data Protection DPO/EXIN. Certificado em Investigações Corporativas LEC/FGV. Coautor do livro Advocacia Digital (RT). Coautor das obras coletivas Direito Digital Aplicado 3.0, Direito Digital Aplicado 4.0 (RT), Direito Digital Aplicado 5.0 (RT) e Segurança Digital para Empresas (GEN). Membro da OAB/SP, Subseção Barueri/SP. Advogado Mais Admirado em Direito Digital pela Revista Análise (2022 e 2023/2024).