CD/ANPD-Resolution Nr. 19 von 2024 und Auswirkungen auf internationale Datenübertragungen

September 11, 2024

Einführung zur Resolution CD/ANPD

Die Resolution CD/ANPD Nr. 19 von 2024 ist ein wesentlicher Meilenstein bei der Regulierung der internationalen Übermittlung personenbezogener Daten in Brasilien und bringt erhebliche Auswirkungen für Unternehmen mit sich, die sich mit dem Datenfluss zwischen Ländern befassen.

Diese Resolution legt klare und strenge Richtlinien fest, um die Übereinstimmung dieser Vorgänge mit dem sicherzustellen Allgemeines Datenschutzgesetz (LGPD)und bietet unabhängig vom Zielland einen zuverlässigen Schutz personenbezogener Daten.

In diesem Artikel werden wir untersuchen die Hauptaspekte der Resolution und die praktischen Auswirkungen für Unternehmen, die internationale Datenübermittlungen durchführen.

Was ist die CD/ANPD-Resolution Nr. 19?

Die Resolution CD/ANPD Nr. 19 regelt die internationale Übermittlung personenbezogener Daten, ein Prozess, bei dem Informationen von brasilianischen Personen an andere Länder gesendet werden. Eine Regulierung wird erforderlich, da der Datenfluss zwischen Ländern zunimmt und es wichtig ist, sicherzustellen, dass diese Daten das gleiche Schutzniveau genießen wie in Brasilien.

Ein wichtiger Aspekt der Resolution CD/ANPD Nr. 19 ist die Unterscheidung zwischen internationaler Datenerhebung und internationaler Datenübermittlung:

  • (i) Internationale Datenerfassung: Dies geschieht, wenn ein Unternehmen oder eine juristische Person Daten direkt von Personen erhebt, die sich in einem anderen Land befinden. Wenn beispielsweise ein brasilianisches Unternehmen personenbezogene Daten von Benutzern sammelt, die von Europa aus auf seine Website zugreifen, ist diese Situation charakteristisch für die internationale Datenerfassung. Gemäß der Resolution gilt diese Erhebung nicht als internationale Datenübermittlung, sie muss jedoch dennoch den Bestimmungen des LGPD entsprechen; Und
  • (ii) Internationale Datenübertragung: Dabei handelt es sich um die Übermittlung personenbezogener Daten von einem Land in ein anderes, sei es zur Speicherung, Verarbeitung oder zu anderen Zwecken. 

Diese Unterscheidung hilft Unternehmen zu verstehen, wie Behörden verschiedene Vorgänge im Zusammenhang mit personenbezogenen Daten regeln und welche rechtlichen Verpflichtungen sie jeweils einhalten müssen.

Standardvertragsklauseln (CPC) in Resolution CD/ANPD Nr. 19: Eine neue Anforderung

Einer der Hauptpunkte der Resolution ist die Einführung von Standardvertragsklauseln, die von Unternehmen bei der Durchführung internationaler Datenübermittlungen unbedingt verwendet werden müssen. Diese Klauseln dienen als Schutzmechanismus und stellen sicher, dass das Empfängerland Sicherheits- und Datenschutzstandards einhält, die denen des LGPD entsprechen.

Unternehmen haben bis zu 12 Monate Zeit, ihre Verträge an die neuen Klauseln anzupassen, was bedeutet, dass bis August 2025 alle Datenverarbeitungsbeauftragten konform sein müssen. Diese Maßnahme ist von entscheidender Bedeutung, um Risiken zu mindern und sicherzustellen, dass die Rechte der betroffenen Personen auch außerhalb der brasilianischen Grenzen gewahrt bleiben.

Hier sind zwei Beispiele für CPCs, die in der Resolution erscheinen, und eine kurze Erläuterung zu jedem einzelnen:

  1. Sicherheits- und Vertraulichkeitsklausel: Diese Klausel bestimmt, dass sowohl der Exporteur (das Unternehmen, das die Daten sendet) als auch der Importeur (das Unternehmen, das die Daten empfängt) geeignete technische und organisatorische Maßnahmen ergreifen. Diese Maßnahmen müssen personenbezogene Daten vor unbefugter oder rechtswidriger Verarbeitung schützen und einen unbeabsichtigten Verlust, eine unbeabsichtigte Zerstörung oder Beschädigung verhindern. Auf diese Weise wird die Datensicherheit an den damit verbundenen Risiken und der Art der Informationen ausgerichtet. Diese Klausel ist wichtig, um sicherzustellen, dass personenbezogene Daten unabhängig vom Ort der Verarbeitung mit der gleichen Sorgfalt und dem gleichen Schutz behandelt werden. Darüber hinaus müssen Unternehmen geeignete Sicherheitspraktiken wie Verschlüsselung und Zugriffskontrolle anwenden, um das Risiko von Datenschutzverletzungen während der Übertragung zu minimieren.
  2. Transparenzklausel und Rechte der Inhaber: Diese Klausel verpflichtet den Datenimporteur, den betroffenen Personen (den Personen, deren Informationen übermittelt werden) klare und zugängliche Einzelheiten über die Verarbeitung ihrer Daten zur Verfügung zu stellen. Dazu gehören Informationen über die Rechte der betroffenen Personen, wie z. B. Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, sowie die Möglichkeiten zur Ausübung dieser Rechte. Denn Transparenz ist ein zentraler Grundsatz des LGPD. Daher stellt diese Klausel sicher, dass Inhaber die Kontrolle über ihre personenbezogenen Daten behalten, auch nach der Übermittlung in ein anderes Land. Mit anderen Worten: Unternehmen müssen den betroffenen Personen klar und proaktiv mitteilen, wie ihre Daten verwendet und geschützt werden.

Praktische Beispiele für die internationale Übermittlung personenbezogener Daten

Um zu veranschaulichen, was eine internationale Übermittlung personenbezogener Daten auszeichnet, betrachten wir zwei gängige Beispiele:

  1. Internationaler Cloud-Speicher: Ein brasilianisches E-Commerce-Unternehmen nutzt einen Cloud-Speicherdienst mit Hauptsitz in den USA. Wenn dieses Unternehmen persönliche Daten seiner Kunden wie Namen, Adressen und Zahlungsinformationen auf den Servern dieses Cloud-Unternehmens in den USA speichert, führt es einen internationalen Datentransfer durch.
  2. Internationale Marketingagentur: Stellen Sie sich ein brasilianisches Unternehmen vor, das eine in Europa ansässige Agentur für digitales Marketing mit der Durchführung gezielter Werbekampagnen beauftragt. Wenn diese Agentur auf die Kundendaten des brasilianischen Unternehmens wie E-Mail-Adressen, Kaufhistorie oder Produktpräferenzen zugreifen oder diese verarbeiten muss, werden diese Daten international vom Unternehmen in Brasilien an die Agentur in Europa übertragen.

Diese Beispiele verdeutlichen, wie internationale Datenübertragungen im täglichen Leben von Unternehmen stattfinden können, und unterstreichen die Notwendigkeit, die Richtlinien der Resolution CD/ANPD Nr. 19 zu befolgen, um die Einhaltung der LGPD sicherzustellen.

Globale Unternehmensstandards: Eine Lösung für große Konzerne

Ein weiteres wichtiges Element, das mit der Resolution Nr. 19 eingeführt wurde, sind daher globale Unternehmensstandards, die den Datentransfer zwischen Unternehmen innerhalb derselben Unternehmensgruppe ermöglichen. Allerdings muss die ANPD (Nationale Datenschutzbehörde) diese Standards genehmigen, die ausreichende Datenschutzgarantien nachweisen müssen. Sie müssen unter anderem die Übertragungsvorgänge, die Verantwortlichkeiten der einzelnen beteiligten Stellen und die getroffenen Sicherheitsmaßnahmen detailliert beschreiben.

Kurz gesagt, dieser Mechanismus ist besonders relevant für große Konglomerate, die in mehreren Gerichtsbarkeiten tätig sind und sicherstellen müssen, dass ihre Datenübermittlungspraktiken mit der LGPD übereinstimmen.

Eignungsentscheidungen: Internationale Überweisungen vereinfachen

CD/ANPD-Resolution Nr. 29

Aus der gleichen Sicht ist ein grundlegender Aspekt der Resolution CD/ANPD Nr. 19 von 2024 die Einführung von Angemessenheitsentscheidungen. Diese Entscheidungen ermöglichen es der ANPD, Länder oder internationale Organisationen als Länder oder internationale Organisationen anzuerkennen, deren Schutzniveau für personenbezogene Daten mit dem LGPD vereinbar ist.

Angemessenheitsentscheidungen finden statt, wenn das ANPD beurteilt und anerkennt, dass ein ausländisches Land oder eine internationale Organisation ein Datenschutzniveau bietet, das dem im LGPD vorgesehenen gleichwertig ist. Wenn die ANPD ein Land oder eine Stelle für geeignet hält, wird die Übermittlung personenbezogener Daten an diese Gerichtsbarkeiten einfacher. Daher ist es nicht erforderlich, zusätzliche Vertragsklauseln oder andere spezifische Garantien zu fordern, was folgende Vorteile mit sich bringt:

  • Erleichterung kommerzieller Operationen: Brasilianische Unternehmen, die personenbezogene Daten in geeignete Länder übermitteln, können diese Übermittlungen einfacher durchführen. Darüber hinaus sind sie mit weniger Bürokratie konfrontiert, was die internationale Geschäftsabwicklung vereinfacht.
  • Sicherheit und Compliance: Diese Entscheidungen schaffen Rechtssicherheit. Dadurch verringern sie das Risiko von Rechtsstreitigkeiten oder Strafen bei internationalen Überweisungen, da Transaktionen mit geeigneten Ländern automatisch die LGPD einhalten.
  • Flexibilität und Agilität: Mit der Zustimmung zu diesen Entscheidungen gewinnen Unternehmen mehr Flexibilität. Sie können schnell auf globale Marktanforderungen reagieren und Daten in neue Jurisdiktionen übertragen, die von der ANPD als sicher anerkannt werden.

Fazit

Die Resolution CD/ANPD Nr. 19 von 2024 stellt einen bedeutenden Fortschritt im Datenschutz in Brasilien dar. Darüber hinaus entspricht es den besten internationalen Praktiken und stärkt die Rolle der ANPD bei der Überwachung internationaler Datentransfers. Daher ist für Unternehmen die Anpassung an diese neuen Regeln unerlässlich. Dies gewährleistet nicht nur die Einhaltung gesetzlicher Vorschriften, sondern auch den Erhalt des Vertrauens von Verbrauchern und Geschäftspartnern.

Unternehmen, die den Anpassungsprozess noch nicht begonnen haben, müssen schnell handeln. Schließlich ist es von entscheidender Bedeutung, sicherzustellen, dass alle internationalen Datenübermittlungsverträge bis zum Stichtag 2025 konform sind. Die Einhaltung der Resolution ist mehr als eine gesetzliche Verpflichtung. Darüber hinaus bietet es die Möglichkeit, die Datensicherheit und den Datenschutz in einer zunehmend digitalen und vernetzten Welt zu stärken.

Aufgrund der Komplexität der neuen Vorschriften und der Wichtigkeit, eine vollständige Einhaltung sicherzustellen, wird dringend empfohlen, die Hilfe einer spezialisierten Rechtsberatung in Anspruch zu nehmen. Erfahrene Fachleute können Ihr Unternehmen jedoch bei der Implementierung von Standardklauseln und bewährten Data-Governance-Praktiken unterstützen. So erfüllt Ihr Unternehmen alle gesetzlichen Anforderungen effektiv und sicher.

EIN TREFFEN PLANEN
ENTDECKEN SIE UNSEREN BLOG

Veröffentlicht von:

Lucas Willian Farias

Siehe auch:

© 2024 Vanzin & Penteado Advogados Associados.

überquerenmenü linkedin Facebook pinterest Youtube rss Twitter instagram Facebook-Leerzeichen rss-blank linkedin-blanko pinterest Youtube Twitter instagram