A globalização dos negócios e a crescente digitalização tornam a transferência internacional de dados pessoais uma realidade comum para muitas empresas. Na prática, dados pessoais podem cruzar fronteiras em diversas operações diárias. Isso ocorre, por exemplo, quando:
- Sua filial no Brasil compartilha dados de funcionários ou clientes com a matriz ou outra unidade localizada em outro país;
- Sua empresa utiliza um serviço de armazenamento em nuvem com servidores fora do território brasileiro;
- São empregadas plataformas de automação ou CRM que armazenam ou processam dados de clientes localizados no Brasil em data centers no exterior.
Neste cenário, a ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução CD/ANPD 19, de 23 de agosto de 2024. Este marco regulatório disciplina a transferência internacional de dados pessoais sob a LGPD e aprovou o conteúdo das cláusulas-padrão contratuais, de uso obrigatório quando a transferência se baseia em instrumentos contratuais.
O prazo para adequar os contratos, incorporando as cláusulas-padrão aprovadas pela ANPD, encerra-se em 23 de agosto de 2025. Faltam, portanto, aproximadamente 60 dias para o cumprimento desta exigência.
A essência desta regulamentação é assegurar que, independentemente do destino, os dados pessoais de cidadãos brasileiros mantenham um nível de proteção e conformidade equivalente ao previsto na LGPD. Cumprir este prazo legal é essencial para mitigar riscos jurídicos e regulatórios. Contudo, a revisão contratual demandada pela ANPD representa uma oportunidade estratégica para ir além da simples conformidade e promover uma análise aprofundada de suas parcerias de dados.
Este é o momento propício para avaliar os operadores de dados pessoais com quem sua empresa interage internacionalmente. Perguntas cruciais merecem ser feitas:
- Como estão as práticas de segurança e governança de dados desses parceiros?
- Eles possuem certificações ou aderem a padrões de mercado robustos?
- Seus processos estão alinhados com as melhores práticas de proteção de dados?
A incorporação das cláusulas-padrão não apenas atende a uma exigência legal, mas também impulsiona essa análise crítica. Ela permite uma avaliação mais rigorosa das salvaguardas adotadas pelos Importadores, o que contribui para a mitigação de riscos associados a incidentes de segurança e vazamentos. Mais importante, fortalece a cadeia de confiança no tratamento de dados pessoais, um ativo crescentemente valorizado por clientes e parceiros de negócio.
Recomendamos que sua empresa revise seus contratos de transferência internacional de dados o quanto antes para identificar a necessidade de adequação e implementar as mudanças requeridas pela resolução da ANPD.