Contagem regressiva: 30 dias para se adequar às regras de Transferência Internacional de Dados

Em 23 de agosto de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD nº. 19/2024, que aprovou o Regulamento de Transferência Internacional de Dados e o respectivo conteúdo das cláusulas-padrão contratuais, regimentando os artigos 33 a 36 da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

Embora a Resolução tenha entrado em vigor na data de sua publicação, ela estabeleceu um prazo de 12 meses para que os agentes de tratamento que utilizam mecanismos de transferência internacional de dados passem a incorporar as cláusulas-padrão aprovadas pela ANPD. O prazo final é 23 de agosto de 2025 — exatamente daqui a 30 dias.

A norma tem como diretrizes a garantia dos direitos dos titulares de dados, a adoção de procedimentos simples, operacionais e transparentes, a promoção do livre fluxo internacional de dados pessoais, além de estimular a responsabilização, as boas práticas e as medidas de segurança preventiva.

O regulamento também esclarece que a transferência internacional de dados ocorre quando um exportador de dados envia dados pessoais a um importador, com finalidades legítimas, específicas e explícitas informadas ao titular. A mera coleta de dados realizada fora do país, por si só, não caracteriza transferência internacional.

Quem precisa se adequar?

Todos os agentes de tratamento (controladores e operadores) que realizam transferências internacionais de dados a partir do Brasil, inclusive no contexto de grupos econômicos, devem adotar um dos mecanismos autorizados pelo artigo 33 da LGPD.

Quais são as possibilidades?

• Decisão de Adequação: a ANPD poderá reconhecer países ou organismos com nível de proteção equivalente à LGPD, o que simplificará as transferências a esses destinos. Até o momento, nenhum país foi reconhecido.
• Cláusulas-Padrão Contratuais (“SCCs”): vinte quatro cláusulas, constantes no Anexo II à Resolução, a serem implementadas de forma transparente. O texto engloba os principais pontos da LGPD relacionados à proteção de dados pessoais. Eventuais futuras “cláusulas equivalentes” de outros países/organismos internacionais deverão ser aprovadas por Resolução do Conselho Diretor e publicadas no website da ANPD.

• Cláusulas Contratuais Específicas: poderão ser usadas quando as SCCs não puderem ser utilizadas, devido a razões excepcionais de fato ou de direito. Devem ser aprovadas pela ANPD.
• Normas Corporativas Globais: destinadas entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem. Devem ser aprovadas pela ANPD.

O que fazer?

É fundamental mapear a origem e o destino dos dados pessoais e verificar quais mecanismos de transferência estão atualmente em uso (se houver). Recomenda-se atenção redobrada aos contratos existentes com parceiros internacionais e provedores de nuvem, com vistas à atualização das minutas e aditamento dos instrumentos já firmados.

O descumprimento poderá ensejar sanções administrativas e civis, conforme previsto no art. 52 da LGPD.

Qual mecanismo melhor se adequa ao meu negócio?

A escolha do mecanismo de transferência internacional de dados mais adequado dependerá das características e necessidades de cada operação. Fatores como o volume e a natureza dos dados, a estrutura do grupo empresarial, o país de destino e os parceiros envolvidos influenciam diretamente essa decisão. Por isso, é essencial que cada organização avalie cuidadosamente seu cenário para adotar a solução que melhor equilibre segurança jurídica, viabilidade prática e conformidade regulatória.

Nosso time de Direito Digital está monitorando de perto esse assunto. Se você deseja receber mais informações sobre esse assunto, por favor, nos escreva via digital@kasznarleonardos.com.