PT
EN
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) estabelece, em seu art. 33, as hipóteses de permissão para a realização da Transferência Internacional de Dados (TID), dispondo que tal operação deve assegurar que os dados pessoais enviados para outros países ou organismos internacionais sejam adequadamente protegidos, em conformidade com os princípios e garantias previstos na legislação brasileira.
Conceitualmente, a TID ocorre quando o exportador, agente de tratamento localizado no território nacional ou em país estrangeiro, transfere dados pessoais para um importador, também agente de tratamento, localizado em país estrangeiro ou organismo internacional. Trata-se, portanto, de uma operação de tratamento que envolve deslocamento ou acesso transnacional a dados pessoais, independentemente do meio utilizado.
A realização da TID somente é permitida quando os países ou organismos internacionais destinatários dos dados proporcionarem grau de proteção adequado ao previsto na LGPD, ou quando o controlador oferecer e comprovar garantias de cumprimento dos direitos dos titulares e dos princípios do regime de proteção de dados pessoais. Dentre essas hipóteses, destacam-se aquelas previstas no art. 33, inciso II, da LGPD, especialmente por meio da adoção de mecanismos contratuais aptos a assegurar a proteção dos dados transferidos.
Dispõe o art. 33 da LGPD:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
Entretanto, por se tratar de norma de caráter geral, a LGPD não detalhou, de forma específica, os critérios, limites e requisitos operacionais aplicáveis à transferência internacional de dados, especialmente no que se refere aos mecanismos contratuais aptos a legitimar tais operações. Coube, assim, à Autoridade Nacional de Proteção de Dados (ANPD), no exercício de sua competência normativa, suprir essa lacuna regulatória.
Nesse contexto, foi editada a Resolução CD/ANPD nº 19/2024, cujo objetivo é estabelecer regras, procedimentos e parâmetros aplicáveis às operações de transferência internacional de dados pessoais, conferindo maior segurança jurídica aos agentes de tratamento e uniformidade interpretativa ao art. 33 da LGPD.
Em complemento ao art. 33, inciso II, alíneas “a” e “b”, da LGPD, a Resolução CD/ANPD nº 19/2024 passou a disciplinar, de forma expressa, quais são as cláusulas de salvaguarda exigidas nas relações entre o exportador e o importador de dados pessoais. Nesse sentido, dispõe o art. 16 do regulamento:
Art. 16. A validade da transferência internacional de dados, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto disponibilizado no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.
Observa-se, portanto, que não se trata de cláusulas aplicáveis indistintamente a qualquer relação contratual, mas apenas àquelas em que o contrato discipline a relação entre exportador e importador de dados pessoais. Assim, tais exigências não se aplicam a contratos em que o fornecedor realize o tratamento de dados exclusivamente em território nacional, inexistindo, nesse caso, transferência internacional.
A Resolução nº 19/2024 estabelece que as Cláusulas-Padrão Contratuais (CPCs) constituem uma das modalidades válidas para respaldar a transferência internacional de dados. Essas cláusulas consistem em modelos oficiais definidos pela ANPD, no Anexo II da referida Resolução, que podem ser incorporados a contratos já existentes ou novos instrumentos contratuais. Sua finalidade é assegurar um nível mínimo e uniforme de proteção aos dados pessoais transferidos, mesmo quando o país de destino possua regime jurídico distinto daquele vigente no Brasil. Ressalte-se que, conforme expressamente previsto no regulamento, tais cláusulas devem ser adotadas integralmente, sem qualquer modificação em seu conteúdo, admitindo-se apenas, por questões lógicas, o registro de informações específicas sobre o importador e exportador.
Além das CPCs, o regulamento prevê a possibilidade de utilização das chamadas “cláusulas-padrão equivalentes”, que correspondem a modelos contratuais aprovados por autoridades estrangeiras ou organismos internacionais, desde que reconhecidos pela ANPD como equivalentes às cláusulas-padrão brasileiras. Há, ainda, a figura das “cláusulas contratuais específicas”, admitidas apenas em situações excepcionais, quando demonstrada, de forma justificada, a impossibilidade de adoção das cláusulas-padrão contratuais.
Paira a dúvida para muitas empresas, se estas obrigações e necessidade de adequação reflete também em responsabilidades e dever de exigência destas quando na condição de controladora, figuram como contratantes de serviços onde há TID, normalmente SaaS, Cloud, CRM e ferramentas de IA: Eu como empresa preciso provocar e exigir dos meus fornecedores o cumprimento desta Resolução e consequentemente das adaptações contratuais quanto as cláusulas estabelecidas?
A resposta é sim!
Como consequência direta da edição desse regulamento, o controlador passou a suportar o ônus de verificar se determinada operação de tratamento configura transferência internacional de dados e, em caso positivo, se está devidamente amparada por hipótese legal e mecanismo juridicamente válido. Tal dever decorre do art. 4 da Resolução e do princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X, da LGPD.
Dessa forma, a empresa, quando na condição de controladora, deve realizar uma avaliação criteriosa de seus fluxos de dados, especialmente daqueles que envolvem fornecedores de tecnologia, serviços em nuvem, softwares como serviço (SaaS), ferramentas de análise de dados ou soluções baseadas em inteligência artificial. Torna-se imprescindível verificar, para cada fornecedor relevante, onde os dados pessoais são armazenados e processados, bem como se há acesso estruturado a partir do exterior, replicação de bases de dados ou realização de backups fora do território nacional.
A Resolução CD/ANPD nº 19/2024 representa um avanço significativo na consolidação do regime jurídico da transferência internacional de dados no Brasil. Ao detalhar critérios técnicos e jurídicos para a caracterização da TID e ao normatizar os mecanismos contratuais aptos a legitimá-la, o regulamento confere maior previsibilidade regulatória e reduz a margem de incerteza anteriormente existente.
Ao mesmo tempo, reforça-se a centralidade do papel do controlador, a quem incumbe identificar, avaliar e documentar os fluxos internacionais de dados, bem como assegurar que tais operações estejam respaldadas por mecanismos válidos e adequados.
Assim, a transferência internacional de dados deixa de ser um tema meramente contratual ou tecnológico para se consolidar como elemento estratégico da governança corporativa em proteção de dados. O cumprimento das exigências da LGPD e da Resolução CD/ANPD nº 19/2024 não apenas mitiga riscos jurídicos e regulatórios, como também fortalece a confiança dos titulares, parceiros comerciais e autoridades, consolidando uma cultura de responsabilidade no tratamento de dados pessoais nas empresas.
