Colunistas
Tendência

O prazo da Resolução CD/ANPD nº 19 já venceu… sua empresa está em conformidade com a transferência internacional de dados?

Por Allan Kovalscki

Foto de Allan Kovalscki Allan Kovalscki Mande um e-mail setembro 11, 2025
0 417 2 minutos de leitura

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em agosto de 2024 a Resolução CD/ANPD nº 19, a qual aprovou o Regulamento de Transferência Internacional de Dados e o modelo oficial das Cláusulas-Padrão Contratuais (CPCs). Trata-se do ato normativo mais recente da ANPD, fruto de ampla consulta pública, e que trouxe regras detalhadas sobre como empresas brasileiras devem conduzir operações envolvendo o envio de dados pessoais a outros países.

O regulamento estabeleceu um prazo de 12 meses para adequação, que se encerrou recentemente, mais precisamente em 23 de agosto de 2025. Assim, o período de transição acabou, e as empresas que ainda não se ajustaram estão hoje em situação de não conformidade. A partir de agora, a ANPD poderá aplicar sanções administrativas, e as organizações passam a correr riscos não apenas jurídicos e regulatórios, mas também reputacionais e comerciais.

Esse tema é extremamente importante porque a transferência internacional de dados é prática comum em inúmeros setores. Alguns exemplos que podemos citar incluem:

  • Serviços em nuvem com servidores localizados no exterior;

  • Multinacionais que compartilham dados entre matriz e filiais;

  • Empresas brasileiras que utilizam fornecedores internacionais de tecnologia, marketing ou processamento;

  • Prestadores de serviços financeiros ou de saúde que analisam dados fora do Brasil.

Nesses cenários, dados pessoais de clientes, empregados e parceiros atravessam fronteiras digitais, exigindo mecanismos de proteção equivalentes aos previstos pela Lei Geral de Proteção de Dados (LGPD).

Com a Resolução nº 19/2024, tivemos algumas mudanças nesse cenário, uma vez que a norma consolidou três pontos centrais, quais sejam:

  • Obrigatoriedade das Cláusulas-Padrão Contratuais (CPCs) aprovadas pela ANPD para operações de exportação/importação de dados pessoais;

  • Possibilidade de uso de cláusulas equivalentes ou específicas, desde que submetidas à análise e aprovação da ANPD;

  • Reconhecimento futuro de decisões de adequação (quando a ANPD declarar que determinado país ou organismo garante nível de proteção equivalente ao da LGPD, dispensando CPCs).

Importante registrar que as CPCs devem ser inseridas integralmente nos contratos entre exportador e importador de dados, seja em contrato principal ou em aditivo. Não é permitido modificá-las ou reduzir seu alcance.

Com o intuito de facilitar a conformidade com essa resolução, listo um passo a passo para auxiliar as empresas nessa adequação. Sendo assim, se sua empresa realiza transferências internacionais, o caminho de adequação deve considerar as seguintes etapas:

  • Mapear os fluxos de dados – identifique se há envio de dados pessoais para agentes localizados fora do Brasil.

  • Identificar papéis e responsabilidades – deixe claro quem é o exportador (no Brasil) e quem é o importador (no exterior).

  • Aplicar o mecanismo correto – adote as CPCs, avalie se é necessário solicitar aprovação de cláusulas específicas ou equivalentes, ou acompanhe eventuais decisões de adequação publicadas pela ANPD.

  • Formalizar contratos – insira as cláusulas oficiais da ANPD diretamente nos contratos, sem alterações de conteúdo.

  • Documentar e comunicar – registre internamente o processo de adequação e garanta que titulares tenham acesso às informações, quando solicitado.

  • Implementar controles de segurança – adote medidas técnicas e organizacionais para proteger os dados transferidos e prever resposta a incidentes.

  • Manter monitoramento contínuo – revise periodicamente seus contratos e processos, pois a ANPD pode atualizar diretrizes ou emitir novas decisões.

Me encaminhando para a conclusão, reforço que o prazo acabou desde 23 de agosto de 2025, ou seja, o atendimento à Resolução nº 19 não é mais opcional. Empresas que continuarem transferindo dados pessoais ao exterior sem adequação estão expostas a riscos significativos de sanções administrativas, ações judiciais e perda de credibilidade junto a clientes e parceiros. Sendo assim, a recomendação é clara e não custa repetir: revise imediatamente seus fluxos de dados, ajuste contratos e busque apoio especializado se necessário. A governança em privacidade é um diferencial competitivo e, no caso das transferências internacionais, já é também uma exigência regulatória inadiável.

Foto de Allan Kovalscki Allan Kovalscki Mande um e-mail setembro 11, 2025
0 417 2 minutos de leitura
Foto de Allan Kovalscki

Allan Kovalscki

uFndador da GCRC Desenvolvimento, mestrando em Administração, com ênfase em Governança Corporativa, MBA em Gestão Empresarial, MBA em Governança Corporativa, Pós-MBA em Governança Corporativa e Risco, Pós Graduando em Ciência de Dados e Big Data Analytics, Pós Graduado em Gestão de Projetos, Pós Graduando LLM em Proteção de Dados: LGPD & GDPR, MBA em Segurança da Informação, MBA em Riscos Cibernéticos. Atualmente ocupa também a função de Diretor Geral da COMPLY LGPD Solutions, Diretor Técnico – CTO na Armin GRC, coordenador técnico do Fórum de Proteção de Dados Pessoais nos municípios, é membro da RGB – Rede Governança Brasil, onde atua como coordenador do Comitê de Governança em Estatais, foi membro do Comitê de Auditoria Estatutário do Grupo CEEE, sendo ainda professor e consultor na Fundação Universidade Empresa de Tecnologia e Ciências – Fundatec e professor convidado na FADISMA. Na Companhia Riograndense de Saneamento, empresa pública de economia mista, onde trabalhou por 20 anos, foi Superintendente de Controles Internos, Gestão de Riscos e Compliance, onde criou a área e implementou a metodologia e os processos de governança Corporativa, gestão de riscos e compliance, foi Chefe do Departamento de Projetos e Processos, onde implementou o PMO da área de tecnologia na companhia e foi Superintendente de Tecnologia da Informação e Comunicação, tendo sido responsável pela implantação da Governança em TI, através do COBIT. Ainda, na Corsan, fez parte do Conselho Universitário e da Comissão de Ética. Possui certificação como DPO (PDPE | PDPP | PDPF) e certificações como Auditor Líder de Sistemas Integrados de Gestão em Compliance e Antissuborno, - Lead Assessor SIG ISO 19600:2014 e ISO 37001:2016, Gestão de Riscos e Continuidade de Negócios - Lead Assessor SIG ISO 31000:2009 e ISO 22301:2019, Gestão da Segurança da Informação e Gestão de Privacidade da Informação - Lead Assessor SIG ISO 27001:2005 e ISO 27701:2019.

Artigos relacionados

EBIA: O Plano Secreto do Brasil para Dominar a IA (Ou Pelo Menos Tentar)

15 horas atrás

Quem Controla a Atenção, Influencia Decisões

15 horas atrás

O corte de 10% dos incentivos fiscais federais de PIS/COFINS e IRPJ/CSLL

1 dia atrás

A regulamentação dos influenciadores já começou — e muita gente ainda não percebeu

4 dias atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo