Skip to main content
  • Home
  • Insights
  • Fim do Período de Graça da Resolução CD/ANPD nº. 19/2024: Implementação das Cláusulas-Padrão Contratuais nas Transferências Internacionais de Dados Pessoais
agosto 29 2025

Fim do Período de Graça da Resolução CD/ANPD nº. 19/2024: Implementação das Cláusulas-Padrão Contratuais nas Transferências Internacionais de Dados Pessoais

Author:
Baixar PDF
Share

A Resolução CD/ANPD nº. 19/2024 (“Resolução”) aprofundou as disposições da Lei Geral de Proteção de Dados (LGPD) sobre Transferência Internacional de Dados (TID) e aproximou o país da legislação europeia. Em seus anexos, trouxe as Cláusulas-Padrão Contratuais (Standard Contractual Clauses - SCCs), disposições a serem obrigatoriamente celebradas entre agentes de tratamento realizando transferência internacional para garantir nível adequado de proteção aos dados exportados.

O período de graça concedido para incorporação das Cláusulas-Padrão Contratuais para regularizar TID chegou ao fim dia 23 de agosto de 2025, 1 ano após a publicação da Resolução.

Atenção: A partir deste momento, a transferência internacional de dados será válida apenas caso sejam implementadas as SCCs ou sejam utilizados outros mecanismos previamente aprovados pela ANPD que assegurem um nível de proteção equivalente, sob pena de multas expressivas e sanções administrativas pela ANPD, dano reputacional, limitação de negócios e fragilidade da operação.

Assim, agentes de tratamento de dados deverão ter em mente as disposições abaixo para adequarem-se à legislação vigente e garantirem a proteção aos Titulares de Dados.

I. O que caracteriza uma Transferência Internacional de Dados:

A Transferência Internacional de Dados é caracterizada quando um Exportador transmite, compartilha ou disponibiliza acesso de dados pessoais para um Importador no exterior. Dessa forma, na ausência de agente de tratamento localizado no exterior, não ocorre transferência internacional de dados.

Estão abrangidas nas obrigações da LGPD e da Resolução transferências internacionais provenientes do Brasil ou exterior quando:

i. A atividade de tratamento tiver por objetivo a oferta ou o fornecimento de bens ou serviços no Brasil,

ii. a atividade de tratamento tiver por objetivo o tratamento de dados de indivíduos localizados no Brasil ou

iii. os dados pessoais forem coletados no território brasileiro.

II. Como identificar uma Transferência Internacional de Dados:

Um mapeamento do fluxo de dados vigentes numa instituição, obrigação vigente da LGPD, permite identificar as atividades de tratamento que envolvem transferências internacionais. Com a globalização dos negócios e a crescente adoção de soluções tecnológicas internacionais, é cada vez mais improvável que uma empresa não realize algum tipo de transferência internacional de dados

Cabe ao Controlador, responsável pelas decisões referentes ao tratamento de dados, realizar essa avaliação e promover, com assistência do Operador onde necessário, a devida adequação à mecanismo de transferência valido.

Em exemplos comuns presentes em grande parte das instituições:

a) Armazenamento em nuvem (cloud computing) com servidores localizados no exterior;

b) Compartilhamento de servidores e bases de dados entre empresas de um mesmo grupo econômico multinacional;

c) Utilização de provedores de e-mail com infraestrutura fora do Brasil;

d) Emprego de agentes de inteligência artificial hospedados em outros países

III. Como preencher as Cláusulas-Padrão Contratuais:

O texto das SCCs deve ser mantido em sua essência, sob pena de invalidação. Ajustes ou complementos só poderão ser feitos nos campos expressamente permitidos nas seções I, III e IV e deverão refletir as particularidades de cada operação.

No preenchimento, deve-se:

a) identificar todas as Partes, indicando razão social, CNPJ ou registro equivalente, endereço, nome e contato aos titulares;

b) qualificar cada Parte como Controladora ou Operadora e, cumulativamente, como Exportadora ou Importadora;

c) discriminar as categorias de dados pessoais, as principais finalidades da transferência, o período de armazenamento dos dados e informações complementares;

d) escolher, dentre as opções previstas nas Cláusulas-Padrão Contratuais, se será permitida ou impedida a transferência posterior dos dados pelo Importador para terceiros. Caso se opte por permitir a transferência posterior, é obrigatório detalhar também as características e finalidades dessa transferência, bem como identificar, sempre que possível, os terceiros envolvidos

e) escolher, de acordo com a posição dos agentes de tratamento, a opção de cláusula sobre responsabilidade das partes e designar a(s) parte(s) controladora(s).

f) excluir as opções não cabíveis do instrumento.

g) descrever, as medidas de segurança, técnicas e administrativas existentes (criptografia, anonimização, políticas de controle de acesso, logging, etc);

É permitido ainda celebrar cláusulas adicionais e anexos na última seção para disciplinar questões de natureza diversa, desde que não excluam, modifiquem ou contrariem as SCCs.

IV. Ao que as partes estão se obrigando ao assinar as Cláusulas-Padrão Contratuais?

Ao aderirem às SCCs, Exportador e Importador assumem obrigações contratuais que prevalecem sobre eventuais disposições conflitantes do instrumento principal, vinculando-se reciprocamente e assegurando aos titulares o padrão nacional de proteção de dados pessoais, conforme os requisitos da LGPD, inclusive em operações de tratamento realizadas fora do território nacional. Dentre elas:

  •  A Transferência Internacional de Dados deverá partir de Atividade de tratamento de base legal regular e será vedada qualquer tratamento posterior incompatível com sua finalidade.
  • Comunicação aos titulares e à ANPD em até 3 dias após constatação de incidente de segurança.
  • Assumir responsabilidade solidária, quando Controladoras, pelos danos decorrentes de tratamento irregular, sem prejuízo do direito de regresso entre as Partes.
  • O Importador deve garantir que a legislação vigente do país de destino é compatível com as SCC se comunicar qualquer alteração relevante.
  • A violação das cláusulas pelo Importador faculta a rescisão imediata e impõe a obrigação de retornar ou eliminar todos os dados recebidos.
  • O Importador deverá alertar sobre qualquer pedido de acesso por autoridades do país destinatário.
  • As partes designadas, em assistência mútua, deverão garantir os direitos de autodeterminação e transparência dos titulares de dados.
  • Fornecer, mediante requisição de titular, as íntegras das cláusulas preenchidas e publicizar informações simplificadas sobre as características da transferência internacional.

V. Quais outros mecanismos possíveis de Transferência Internacional de Dados?

A Resolução reconhece alternativas que podem ser mais adequadas a determinados modelos de negócio. Para entende-las de maneira mais específica, recomendamos nosso Legal Update aqui.

i. O primeiro deles é a decisão de adequação emitida pela ANPD, pela qual um país ou organismo internacional é declarado detentor de grau de proteção equivalente ao brasileiro, dispensando a celebração de cláusulas específicas.

a. Até a data de publicação deste Legal Update, a autoridade ainda não emitiu decisão positiva reconhecendo qualquer país ou organismo internacional como destinatário de transferência internacional de dados com grau de proteção adequado. No entanto, há grandes expectativas para uma decisão favorável à União Europeia em breve.

ii. Em segundo lugar, grupos econômicos multinacionais podem submeter à aprovação da Autoridade suas Regras Corporativas Vinculantes (“Binding Corporate Rules” – BCRs), que uniformizam políticas e procedimentos internos em todas as entidades do conglomerado.

iii. Há também Cláusulas-Padrão Contratuais Equivalentes; cláusulas de outros países e organismos internacionais reconhecidas como equivalentes em decisão da ANPD. Até o presente momento, não há reconhecimento nesse sentido

iv. É também possível requisitar a aprovação de cláusulas contratuais específicas, que ofereçam proteção similar ao regime de proteção de dados da LGPD e da Resolução, e alterem as cláusulas-padrão apenas onde necessário.

Todos esses mecanismos, contudo, dependem de decisões e aprovações formais da ANPD, processos que podem se estender por meses ou até anos. Essas decisões serão disponibilizadas na página oficial da ANPD

Permanecem, por fim, as demais hipóteses dos art. 33 da LGPD, desde que não necessitem de regulamentação posterior e respeitados seus requisitos legais.

A Resolução contendo as SCCs, bem como o FAQ de transferência internacional de dados da ANPD, podem ser acessados, respectivamente, aqui e aqui

*Este conteúdo contou com a colaboração do estagiário Diego Semeraro

Autores

Serviços e Indústrias Relacionadas

Stay Up To Date With Our Insights

See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe

Siga-nos

© 2025 Tauil & Chequer Advogados, um escritório brasileiro de advocacia associado ao Mayer Brown. Todos os direitos reservados.

Attorney Advertising. Prior results do not guarantee a similar outcome.