Fim da trégua: ANPD exige adequação imediata às regras de transferência internacional de dados

Agora é oficial: a resolução CD/ANPD 19/24, que aprovou o Regulamento de Transferência Internacional de Dados Pessoais, completou um ano de vigência, no dia 23 de agosto de 2025, e o prazo de 12 meses dado às empresas para adequar contratos ou submeter sistemas próprios à aprovação da ANPD - Autoridade Nacional de Proteção de Dados chegou ao fim. A autoridade deixou claro: não haverá postergação.

Segundo a conselheira-diretora da ANPD, Miriam Wimmer, resolução 19/24 precisa ser cumprida com urgência. A mensagem da entidade é inequívoca: quem realiza transferências internacionais de dados pessoais e ainda não se adequou está em situação de risco regulatório.

Apesar disso, o cenário é de inércia e risco. Poucas organizações parecem ter dado atenção ao tema, inclusive Big Techs e grandes empresas de tecnologia que concentram a infraestrutura de cloud utilizada por empresas brasileiras. A inação surpreende, já que a resolução 19/24 exige a adoção de mecanismos formais para proteger os dados pessoais transferidos a outros países, e o descumprimento pode gerar sanções administrativas, multas e danos reputacionais.

A norma define como transferência internacional o envio de dados pessoais a país estrangeiro ou organismo internacional do qual o Brasil seja membro. Tanto controladores quanto operadores podem ser exportadores de dados, mas cabe ao controlador verificar se a operação está amparada em base legal da LGPD e em mecanismo válido de transferência.

Não configuram transferência internacional: coleta direta por agente localizado no exterior; trânsito de dados sem comunicação ou uso compartilhado com agente no Brasil; nem o retorno de dados ao país de origem após tratamento no Brasil.

Por ora, a União Europeia está em vias de reconhecer o Brasil como país adequado, o que pode facilitar o fluxo de dados no futuro. Mas, enquanto não há decisões definitivas de adequação entre países, as empresas precisam adotar um dos mecanismos já previstos na resolução 19/24, como:

• Cláusulas-padrão contratuais (SCCs) aprovadas pela ANPD, constantes do Anexo II da resolução, que devem ser usadas integralmente e sem alterações;
• Cláusulas equivalentes (como as SCC-EU), desde que reconhecidas formalmente pela ANPD;
• Cláusulas contratuais específicas, em caráter excepcional e com aprovação prévia da autoridade;
• Normas corporativas globais (BCRs), aplicáveis a grupos multinacionais e também dependentes de aprovação da ANPD.

Até agora, nenhum pedido de BCR foi aprovado, e a autoridade tem demonstrado rigor técnico ao analisar essas solicitações, exigindo um programa de governança em privacidade (art. 50 da LGPD) e detalhamento de elementos como categorias de dados, países de destino, responsabilidades e mecanismos de comunicação e notificação.

Paralelamente, o governo federal trabalha em uma Política Nacional de Data Centers para reduzir a dependência de servidores estrangeiros, hoje responsáveis por cerca de 60% da infraestrutura digital brasileira. A ideia é diminuir riscos geopolíticos e reforçar a soberania digital, armazenando dados em território nacional. De acordo com o Ministério do Desenvolvimento, manter serviços essenciais fora do Brasil representa uma vulnerabilidade significativa, já que, em situações de crise, o país pode ser afetado por eventuais interrupções ou pressões externas. Dessa forma, a armazenagem de dados em solo nacional passa a ser não apenas uma exigência de compliance, mas também uma estratégia fundamental de segurança.

Dessa forma, o recado da ANPD é claro: é hora de agir! As empresas não podem mais postergar a adequação. Este é o momento de mapear os fluxos internacionais de dados, revisar contratos e implementar os mecanismos exigidos. A conformidade com a LGPD deixou de ser uma escolha estratégica e passou a ser uma obrigação regulatória inadiável.