Por João Pedro Mamede
A globalização e a digitalização dos negócios tornaram a transferência internacional de dados uma prática comum para empresas de diversos setores. Seja no compartilhamento de informações entre filiais de um mesmo grupo empresarial, na contratação de serviços de tecnologia em nuvem ou no uso de softwares de gestão e relacionamento com clientes, muitas organizações brasileiras precisam transmitir dados pessoais para outros países.
No entanto, a proteção dessas informações deve ser garantida, conforme exige a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 – “LGPD”). A fim de regulamentar esse fluxo transnacional de dados, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 19/2024, que estabelece regras e mecanismos para assegurar que essas transferências ocorram de maneira lícita e segura.
Com a obrigatoriedade de adequação até agosto de 2025, empresas que realizam transferências internacionais precisam revisar suas práticas e contratos para evitar sanções e garantir conformidade com a legislação vigente.
A LGPD, em seu artigo 33, estabelece que a transferência internacional de dados pessoais somente pode ocorrer quando forem adotadas garantias que assegurem um nível adequado de proteção de dados. A Resolução CD/ANPD nº 19/2024 detalha esses mecanismos e reforça a necessidade de adoção de salvaguardas apropriadas.
Entre os meios disponíveis para legitimar a transferência de dados estão:
- Decisão de adequação: ocorre quando a ANPD reconhece que um país ou organização oferece um nível de proteção de dados equivalente ao da LGPD, permitindo a transferência sem necessidade de salvaguardas adicionais. Até o momento, a ANPD não emitiu nenhuma decisão de adequação, o que limita o uso desse mecanismo.
- Cláusulas-padrão contratuais: contratos que contêm disposições pré-aprovadas pela ANPD para garantir a proteção dos dados transferidos.
- Normas Corporativas Globais (BCRs – Binding Corporate Rules): regras internas adotadas por grupos empresariais para assegurar proteção aos dados transferidos entre suas filiais.
- Códigos de Conduta e Certificações: mecanismos voluntários de conformidade reconhecidos pela ANPD.
- Garantias específicas para situações excepcionais: como a obtenção de consentimento explícito do titular ou a necessidade de cumprimento de determinadas obrigações legais.
Diante da ausência de decisões de adequação e da complexidade para obter certificações ou aprovar normas corporativas globais, muitas empresas têm adotado as cláusulas-padrão contratuais, por serem um mecanismo mais prático e de rápida implementação.
As cláusulas-padrão contratuais têm se consolidado como a solução mais utilizada pelo mercado para viabilizar transferências internacionais de dados de maneira segura e em conformidade com a legislação. Isso se deve a algumas vantagens estratégicas desse mecanismo:
- Menos burocracia: diferentemente de outros meios que exigem aprovação prévia da ANPD, as cláusulas-padrão podem ser utilizadas diretamente pelas empresas, desde que sua redação seja exatamente a prevista na Resolução CD/ANPD nº 19/2024.
- Rapidez na implementação: essas cláusulas podem ser incorporadas aos contratos como anexos ou aditivos, facilitando sua inclusão em relações comerciais já existentes.
- Familiaridade global: o conceito de cláusulas contratuais padronizadas já é amplamente adotado no contexto do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e de outras legislações internacionais, tornando sua aceitação mais simples para fornecedores e clientes estrangeiros.
Dessa forma, empresas que realizam transferências internacionais de dados devem avaliar seus contratos e adotar as cláusulas-padrão sempre que adequado, garantindo que suas operações estejam em conformidade com a legislação antes do prazo final de adequação, em agosto de 2025.
As empresas que possuem presença global e mantêm operações em diversos países devem redobrar a atenção com o tema de transferência internacional de dados. Com frequência, essas empresas compartilham informações entre diferentes filiais, sedes globais, unidades de negócio ou parceiros comerciais localizados fora do Brasil.
Além da formalização contratual, é essencial que essas empresas realizem auditorias periódicas para garantir que as práticas de proteção de dados estejam sendo observadas pela contraparte.
Cumpre mencionar que nem sempre a transferência internacional de dados ocorre de maneira direta. Em muitos casos, empresas podem estar armazenando dados pessoais em servidores localizados fora do Brasil sem sequer perceber. Esse cenário é comum em serviços de computação em nuvem, plataformas de CRM (Customer Relationship Management), softwares de gestão financeira e outros aplicativos empresariais.
Diante disso, um dos principais cuidados que todas as empresas devem ter é verificar a localização dos servidores e data centers utilizados pelos seus fornecedores de tecnologia. Para isso, recomenda-se:
- Realizar um mapeamento detalhado dos sistemas e serviços contratados para identificar onde os dados estão sendo armazenados e se há transferência para outros países;
- Incluir disposições contratuais claras nos contratos com fornecedores para garantir que os prestadores de serviço assumam a responsabilidade pela conformidade da transferência internacional de dados.
- Solicitar a indicação do mecanismo utilizado para legitimar a transferência internacional de dados pessoais
É importante destacar que a Resolução CD/ANPD nº 19/2024 reforça que a responsabilidade pela adequação das transferências internacionais não é exclusiva do controlador de dados (empresa que decide sobre o tratamento dos dados), mas também do operador (terceiros que realizam o tratamento dos dados em nome do controlador), conforme o art. 4º, §2º da referida Resolução.
Isso significa que fornecedores de software e prestadores de serviços tecnológicos também devem se preocupar em garantir a conformidade das transferências internacionais que realizam.
A adequação à Resolução CD/ANPD nº 19/2024 é um passo essencial para garantir que transferências internacionais de dados pessoais sejam realizadas de forma lícita e segura. Com o prazo final se aproximando – agosto de 2025 – empresas de todos os setores devem revisar suas operações e contratos para garantir a legitimidade de seus tratamentos.
Algumas recomendações práticas para garantir a conformidade incluem:
- Mapear as transferências internacionais de dados realizadas pela empresa e entender quais dados estão sendo compartilhados, para onde e com quem.
- Adotar as cláusulas-padrão contratuais sempre que necessário, garantindo que fornecedores e parceiros internacionais cumpram as exigências da ANPD.
- Revisar contratos com prestadores de serviços para verificar se os fornecedores assumem responsabilidade pela conformidade da transferência internacional de dados.
- Implementar políticas internas de governança de dados, promovendo boas práticas de proteção e monitoramento contínuo.
Diante da complexidade da legislação de proteção de dados e da necessidade de adequação às regras da ANPD, contar com um assessoramento jurídico especializado pode ser fundamental para mitigar riscos e garantir que a empresa esteja plenamente em conformidade.
