Clausulas Contratuais Padrao (SCCs)
Documento: SCCS-TI-001 Versao: 1.0 Ultima Revisao: [PREENCHER_DATA] Ref. LGPD: Art. 33, Resolucao CD/ANPD no 19/2024
1. Objetivo
Este documento orienta a utilizacao das Clausulas Contratuais Padrao (SCCs) para transferencias internacionais de dados pessoais, conforme a Resolucao CD/ANPD no 19/2024, que regulamenta o Art. 33 da LGPD.
2. Quando Utilizar SCCs
2.1 Transferencia Internacional
Transferencia internacional ocorre quando dados pessoais sao enviados para:
- Pais estrangeiro
- Organismo internacional
- Pessoa fisica ou juridica localizada no exterior
2.2 Necessidade de SCCs
| Situacao | Necessita SCCs? |
|---|---|
| Dados processados em data center no exterior | Sim |
| Suboperador localizado no exterior | Sim |
| Acesso remoto de equipe no exterior | Avaliar |
| Pais com nivel adequado reconhecido pela ANPD | Nao (mas recomendado) |
| Transferencias para cumprimento de cooperacao juridica | Nao |
| Transferencias necessarias para execucao de contrato a pedido do titular | Nao |
2.3 Hipoteses de Autorizacao (Art. 33 LGPD)
| Hipotese | Referencia |
|---|---|
| Pais com nivel adequado | Art. 33, I |
| Garantias oferecidas pelo controlador | Art. 33, II |
| Clausulas contratuais padrao | Art. 33, II, "a" |
| Clausulas especificas aprovadas pela ANPD | Art. 33, II, "b" |
| Normas corporativas globais (BCRs) | Art. 33, II, "c" |
| Selos, certificados | Art. 33, II, "d" |
| Consentimento especifico | Art. 33, VIII |
3. Estrutura das SCCs ANPD
Conforme Resolucao 19/2024, as SCCs contem:
3.1 Modulos Disponiveis
| Modulo | Relacao | Uso |
|---|---|---|
| Modulo 1 | Controlador (BR) → Controlador (exterior) | Transferencia entre controladores |
| Modulo 2 | Controlador (BR) → Operador (exterior) | Contratacao de operador no exterior |
| Modulo 3 | Operador (BR) → Suboperador (exterior) | Subcontratacao internacional |
| Modulo 4 | Operador (BR) → Controlador (exterior) | Raro - operador transfere para controlador |
3.2 Como a [PREENCHER_RAZAO_SOCIAL] Utiliza
Como atuamos como Operador para instituicoes de ensino brasileiras:
| Cenario | Modulo Aplicavel |
|---|---|
| Contratacao de cloud no exterior | Modulo 3 (Operador → Suboperador) |
| Servico de e-mail no exterior | Modulo 3 |
| Suporte tecnico no exterior | Modulo 3 |
4. Modelo de SCCs - Modulo 3
CLAUSULAS CONTRATUAIS PADRAO PARA TRANSFERENCIA INTERNACIONAL
Transferencia de Operador no Brasil para Suboperador no Exterior
SECAO I - CLAUSULAS GERAIS
Clausula 1 - Finalidade e Escopo
a) Estas clausulas estabelecem obrigacoes de protecao de dados para transferencia internacional do Operador/Exportador no Brasil para o Suboperador/Importador localizado em [PAIS].
b) O objetivo e garantir nivel de protecao equivalente ao da LGPD.
c) Terceiros nao adquirem direitos por estas clausulas, exceto os titulares de dados conforme Clausula 3.
Clausula 2 - Efeito e Invariabilidade
a) Estas clausulas fornecem salvaguardas apropriadas nos termos do Art. 33, II da LGPD.
b) As partes nao podem modificar estas clausulas, exceto:
- Para adicionar partes
- Para atualizar informacoes nos Anexos
c) Clausulas adicionais nao podem contradizer estas clausulas.
Clausula 3 - Terceiros Beneficiarios
a) Titulares de dados podem invocar e fazer valer estas clausulas como terceiros beneficiarios:
- Clausula 1(c)
- Clausula 2(a)
- Clausulas 6-11
- Clausula 13
b) Os direitos dos titulares prevalecem sobre acordos entre as partes.
Clausula 4 - Interpretacao
a) Termos utilizados com as definicoes da LGPD (Art. 5o) terao esse significado.
b) Estas clausulas devem ser interpretadas a luz da LGPD.
c) Em caso de conflito com outras disposicoes, estas clausulas prevalecem.
Clausula 5 - Hierarquia
Em caso de conflito entre estas clausulas e disposicoes de acordos relacionados, estas clausulas prevalecem.
SECAO II - OBRIGACOES DAS PARTES
Clausula 6 - Descricao da Transferencia
Os detalhes da transferencia estao especificados no Anexo I.
Clausula 7 - Obrigacoes do Importador de Dados
7.1. Instrucoes
a) O Importador tratara dados apenas conforme instrucoes documentadas do Exportador;
b) Se nao puder cumprir, informara o Exportador imediatamente;
c) Instrucoes adicionais devem ser documentadas.
7.2. Limitacao de Finalidade
O Importador tratara dados apenas para a finalidade especifica descrita no Anexo I.
7.3. Transparencia
A pedido do Exportador, o Importador fornecera copia destas clausulas aos titulares.
7.4. Seguranca
a) Implementar medidas tecnicas e organizacionais apropriadas, incluindo:
- Pseudonimizacao e criptografia
- Capacidade de garantir confidencialidade, integridade, disponibilidade
- Capacidade de restaurar disponibilidade e acesso apos incidente
- Processo de teste das medidas
b) Garantir que pessoas autorizadas estejam comprometidas com confidencialidade.
7.5. Suboperadores
a) Nao subcontratar sem autorizacao previa e escrita;
b) Suboperadores devem estar vinculados as mesmas obrigacoes;
c) O Importador permanece responsavel pelos atos do suboperador.
7.6. Direitos dos Titulares
a) Notificar o Exportador sobre solicitacoes de titulares;
b) Auxiliar na resposta as solicitacoes;
c) Fornecer informacoes em tempo habil.
7.7. Notificacao de Violacao
a) Notificar o Exportador sobre violacao de dados sem demora indevida;
b) Fornecer informacoes sobre natureza, dados afetados, consequencias, medidas;
c) Cooperar na investigacao e mitigacao.
7.8. Acesso por Autoridades
a) Notificar o Exportador sobre solicitacoes de acesso por autoridades;
b) Se proibido de notificar, envidar esforcos para obter dispensa;
c) Contestar solicitacoes ilegais ou excessivas.
Clausula 8 - Obrigacoes do Exportador de Dados
a) Garantir que instrucoes sao licitas;
b) Responder solicitacoes de titulares em tempo habil;
c) Notificar o Importador sobre alteracoes nas instrucoes.
SECAO III - RESPONSABILIDADE E DIREITOS DOS TITULARES
Clausula 9 - Reclamacoes e Direitos
9.1. O Importador informara titulares sobre:
- Seu nome e contato
- Categorias de dados tratados
- Direito de obter copia destas clausulas
9.2. Para exercicio de direitos, titulares podem contatar:
- O Importador diretamente
- O Exportador
Clausula 10 - Reparacao
10.1. O Importador mantera mecanismos efetivos para tratar reclamacoes.
10.2. Reclamacoes serao tratadas tempestivamente.
10.3. Titulares podem buscar reparacao junto a ANPD ou justica brasileira.
Clausula 11 - Responsabilidade
11.1. Cada parte responde por danos causados por violacao destas clausulas.
11.2. O Importador responde por atos de suboperadores.
11.3. A parte que pagar indenizacao podera buscar regresso.
SECAO IV - DISPOSICOES FINAIS
Clausula 12 - Termino
12.1. Estas clausulas vigoram ate:
- Termino do tratamento
- Rescisao por qualquer parte
12.2. Ao termino:
- Devolver ou eliminar dados
- Certificar eliminacao
- Manter confidencialidade
Clausula 13 - Lei Aplicavel e Foro
13.1. Estas clausulas sao regidas pelas leis brasileiras.
13.2. Disputas serao resolvidas no Foro de [CIDADE/UF], Brasil.
ANEXO I - DETALHES DA TRANSFERENCIA
A. LISTA DAS PARTES
Exportador de Dados:
| Campo | Informacao |
|---|---|
| Nome | [PREENCHER_RAZAO_SOCIAL] |
| Endereco | [PREENCHER_ENDERECO] |
| Contato | [PREENCHER_EMAIL_DPO] |
| Funcao | Operador |
Importador de Dados:
| Campo | Informacao |
|---|---|
| Nome | [PREENCHER] |
| Endereco | [PREENCHER] |
| Pais | [PREENCHER] |
| Contato | [PREENCHER] |
| Funcao | Suboperador |
B. DESCRICAO DA TRANSFERENCIA
| Elemento | Descricao |
|---|---|
| Categorias de Titulares | [PREENCHER] |
| Categorias de Dados | [PREENCHER] |
| Dados Sensiveis | [SIM/NAO - ESPECIFICAR] |
| Frequencia da Transferencia | [CONTINUA/PERIODICA/PONTUAL] |
| Natureza do Tratamento | [PREENCHER] |
| Finalidade | [PREENCHER] |
| Periodo de Retencao | [PREENCHER] |
C. AUTORIDADE SUPERVISORA COMPETENTE
Autoridade Nacional de Protecao de Dados - ANPD (Brasil)
ANEXO II - MEDIDAS TECNICAS E ORGANIZACIONAIS
[Referenciar o documento "Anexo de Seguranca - TOMs" ou descrever medidas especificas do Importador]
5. Avaliacao de Impacto da Transferencia (TIA)
5.1 O Que E
Avaliacao do nivel de protecao no pais de destino para verificar se salvaguardas sao suficientes.
5.2 Quando Realizar
- Antes de nova transferencia internacional
- Quando houver mudanca na legislacao do pais de destino
- Periodicamente (recomendado: anualmente)
5.3 Modelo de TIA
| Fator | Avaliacao |
|---|---|
| Pais de destino | [PREENCHER] |
| Legislacao de protecao de dados | [EXISTE/NAO EXISTE/PARCIAL] |
| Autoridade supervisora | [EXISTE/NAO EXISTE] |
| Acesso governamental | [ALTO/MEDIO/BAIXO RISCO] |
| Praticas do importador | [ADEQUADAS/PARCIAIS/INADEQUADAS] |
| Medidas suplementares necessarias | [SIM/NAO - ESPECIFICAR] |
5.4 Medidas Suplementares
Quando o nivel de protecao for insuficiente, considerar:
| Tipo | Medidas |
|---|---|
| Tecnicas | Criptografia forte, pseudonimizacao, tokenizacao |
| Contratuais | Clausulas adicionais, auditorias frequentes |
| Organizacionais | Treinamento, due diligence reforçada |
6. Documentacao Necessaria
Para cada transferencia internacional, manter:
- SCCs assinadas pelas partes
- Anexo I preenchido (detalhes da transferencia)
- Anexo II (medidas de seguranca)
- Avaliacao de Impacto da Transferencia (TIA)
- Due diligence do importador
- Registro no ROPA
7. Registro e Monitoramento
7.1 Inventario de Transferencias
Manter inventario de todas as transferencias internacionais:
| Importador | Pais | Dados | Modulo SCC | TIA | Validade |
|---|---|---|---|---|---|
| [PREENCHER] | [PAIS] | [DADOS] | [1/2/3/4] | [DATA] | [DATA] |
7.2 Revisao Periodica
- Revisar TIAs anualmente
- Monitorar mudancas legislativas nos paises de destino
- Atualizar SCCs quando necessario
8. Contato
Para questoes sobre transferencias internacionais:
DPO:
- Nome: [PREENCHER_NOME_DPO]
- E-mail: [PREENCHER_EMAIL_DPO]
- Telefone: [PREENCHER_TELEFONE]
Historico de Versoes
| Versao | Data | Alteracao | Responsavel |
|---|---|---|---|
| 1.0 | [PREENCHER] | Versao inicial | [PREENCHER] |