Artigo 36: O Dever de Informar a ANPD sobre Mudanças nas Transferências Internacionais

Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.

O que isso significa na prática?

Este artigo estabelece um dever de transparência contínua com a ANPD. Ele diz que, se uma empresa utiliza um dos mecanismos de garantia para realizar uma transferência internacional de dados (como cláusulas-padrão contratuais ou ) e depois altera essas garantias, a ANPD precisa ser comunicada.

O objetivo é simples: garantir que a proteção dos dados não seja enfraquecida “no meio do caminho”. A ANPD aprova ou aceita um mecanismo com um certo nível de proteção. Se esse mecanismo for alterado, a Autoridade precisa saber para reavaliar se a proteção continua adequada.

Isso reforça que a conformidade não é um ato único, mas um compromisso contínuo que é ativamente supervisionado pela autoridade.

Como se Aplica ao seu Negócio?

Para qualquer empresa que realiza transferências internacionais de dados com base em garantias formais, este artigo impõe uma obrigação de gestão de mudanças.

🔄 Gestão de Contratos e Adendos: Se sua empresa assinou um contrato com um fornecedor de nuvem estrangeiro que incluía cláusulas-padrão e, um ano depois, esse fornecedor atualiza o adendo de processamento de dados (DPA) alterando essas cláusulas, essa mudança precisa ser comunicada à ANPD.

🏢 Atualização de Normas Corporativas: Se o seu grupo multinacional tem (BCRs) aprovadas pela ANPD e decide atualizá-las para incluir novas políticas ou procedimentos, essa alteração deve ser submetida à Autoridade.

🔔 Responsabilidade Proativa: A obrigação de comunicar é da empresa (controladora). É necessário ter processos internos para identificar quando uma garantia contratual ou corporativa foi alterada e para realizar a comunicação formal à Autoridade.