O prazo da Resolução CD/ANPD nº 19 já venceu… sua empresa está em conformidade com a transferência internacional de dados?
Por Allan Kovalscki
A Autoridade Nacional de Proteção de Dados (ANPD) publicou em agosto de 2024 a Resolução CD/ANPD nº 19, a qual aprovou o Regulamento de Transferência Internacional de Dados e o modelo oficial das Cláusulas-Padrão Contratuais (CPCs). Trata-se do ato normativo mais recente da ANPD, fruto de ampla consulta pública, e que trouxe regras detalhadas sobre como empresas brasileiras devem conduzir operações envolvendo o envio de dados pessoais a outros países.
O regulamento estabeleceu um prazo de 12 meses para adequação, que se encerrou recentemente, mais precisamente em 23 de agosto de 2025. Assim, o período de transição acabou, e as empresas que ainda não se ajustaram estão hoje em situação de não conformidade. A partir de agora, a ANPD poderá aplicar sanções administrativas, e as organizações passam a correr riscos não apenas jurídicos e regulatórios, mas também reputacionais e comerciais.
Esse tema é extremamente importante porque a transferência internacional de dados é prática comum em inúmeros setores. Alguns exemplos que podemos citar incluem:
-
Serviços em nuvem com servidores localizados no exterior;
-
Multinacionais que compartilham dados entre matriz e filiais;
-
Empresas brasileiras que utilizam fornecedores internacionais de tecnologia, marketing ou processamento;
-
Prestadores de serviços financeiros ou de saúde que analisam dados fora do Brasil.
Nesses cenários, dados pessoais de clientes, empregados e parceiros atravessam fronteiras digitais, exigindo mecanismos de proteção equivalentes aos previstos pela Lei Geral de Proteção de Dados (LGPD).
Com a Resolução nº 19/2024, tivemos algumas mudanças nesse cenário, uma vez que a norma consolidou três pontos centrais, quais sejam:
-
Obrigatoriedade das Cláusulas-Padrão Contratuais (CPCs) aprovadas pela ANPD para operações de exportação/importação de dados pessoais;
-
Possibilidade de uso de cláusulas equivalentes ou específicas, desde que submetidas à análise e aprovação da ANPD;
-
Reconhecimento futuro de decisões de adequação (quando a ANPD declarar que determinado país ou organismo garante nível de proteção equivalente ao da LGPD, dispensando CPCs).
Importante registrar que as CPCs devem ser inseridas integralmente nos contratos entre exportador e importador de dados, seja em contrato principal ou em aditivo. Não é permitido modificá-las ou reduzir seu alcance.
Com o intuito de facilitar a conformidade com essa resolução, listo um passo a passo para auxiliar as empresas nessa adequação. Sendo assim, se sua empresa realiza transferências internacionais, o caminho de adequação deve considerar as seguintes etapas:
-
Mapear os fluxos de dados – identifique se há envio de dados pessoais para agentes localizados fora do Brasil.
-
Identificar papéis e responsabilidades – deixe claro quem é o exportador (no Brasil) e quem é o importador (no exterior).
-
Aplicar o mecanismo correto – adote as CPCs, avalie se é necessário solicitar aprovação de cláusulas específicas ou equivalentes, ou acompanhe eventuais decisões de adequação publicadas pela ANPD.
-
Formalizar contratos – insira as cláusulas oficiais da ANPD diretamente nos contratos, sem alterações de conteúdo.
-
Documentar e comunicar – registre internamente o processo de adequação e garanta que titulares tenham acesso às informações, quando solicitado.
-
Implementar controles de segurança – adote medidas técnicas e organizacionais para proteger os dados transferidos e prever resposta a incidentes.
-
Manter monitoramento contínuo – revise periodicamente seus contratos e processos, pois a ANPD pode atualizar diretrizes ou emitir novas decisões.
Me encaminhando para a conclusão, reforço que o prazo acabou desde 23 de agosto de 2025, ou seja, o atendimento à Resolução nº 19 não é mais opcional. Empresas que continuarem transferindo dados pessoais ao exterior sem adequação estão expostas a riscos significativos de sanções administrativas, ações judiciais e perda de credibilidade junto a clientes e parceiros. Sendo assim, a recomendação é clara e não custa repetir: revise imediatamente seus fluxos de dados, ajuste contratos e busque apoio especializado se necessário. A governança em privacidade é um diferencial competitivo e, no caso das transferências internacionais, já é também uma exigência regulatória inadiável.
