A transferência internacional de dados no Brasil entrou em uma nova fase. O dia 23 de agosto marcou o fim do período de transição da Resolução CD/ANPD nº 19/2024, que trata da transferência de dados pessoais para repositórios internacionais. Na prática, isso aumenta o nível de exigência sobre contratos e arquitetura de TI, especialmente em serviços de nuvem internacional, backups fora do país e cenários híbridos onde dados cruzam fronteiras por integrações, suporte ou replicações automáticas.
Novo regulamento e a governança de dados
O Regulamento de Transferência Internacional de Dados, aprovado pela resolução, detalha como empresas brasileiras podem enviar dados pessoais para fora do país em conformidade com a LGPD. A regra define salvaguardas aceitas, como as cláusulas contratuais padrão brasileiras (SCCs), regras corporativas globais submetidas à ANPD, cláusulas específicas aprovadas pela Autoridade e futuras decisões de adequação de países. Além disso, estabelece obrigações para exportadores e importadores de dados.
Na prática, o regulamento estabelece um padrão de governança: cada transferência deve assegurar que o dado receba, inclusive no exterior, o mesmo nível de proteção que teria se estivesse armazenado no Brasil.
Existe um horizonte de maturidade regulatória em evolução. A ANPD planeja publicar em seu portal listas de países e organismos internacionais reconhecidos como adequados, além de repositórios de cláusulas equivalentes, cláusulas específicas e BCRs aprovadas. Enquanto essas listas não existirem, organizações que precisam manter fluxos transfronteiriços regulares tendem a escolher o caminho de menor incerteza: SCCs brasileiras e medidas técnicas e organizacionais reforçadas, por ser o mecanismo já aprovado e funcional.
Quando surgirem decisões de adequação ou aprovações de BCRs (Binding Corporate Rules, ou Regras Corporativas Globais), fluxos específicos poderão se desonerar de anexos contratuais. No entanto, a disciplina de governança – mapeamento, segregação, criptografia, auditoria, gestão de incidentes – continuará sendo a base da conformidade.
Impacto da transferência internacional de dados na nuvem
A mudança regulatória impacta diretamente empresas que utilizam intensivamente a nuvem. Optar por regiões de data center no Brasil e desenhar a residência de dados diminui a necessidade de exportar dados pessoais e, consequentemente, a dependência de mecanismos de transferência.
Contudo, o uso da nuvem tem suas complexidades. Backups automáticos que replicam bases para regiões estrangeiras, soluções SaaS com arquiteturas multirregião, rotinas de suporte remoto com acesso administrativo a dados de produção e integrações entre filiais ou tenants globais frequentemente configuram transferência internacional.
Mapeamento de dados é fundamental
O mapeamento preciso desses fluxos é essencial para a conformidade. Sem saber para onde os dados vão, quem acessa, com que finalidade e por quanto tempo, torna-se impossível demonstrar que a exportação tem base jurídica válida, que as salvaguardas estão ativas e que os direitos dos titulares são respeitados. A Resolução 19/2024 se conecta ao dever de prestação de contas da LGPD: não basta ter “boa segurança”, é preciso comprovar, com evidências contratuais, técnicas e organizacionais, que o nível de proteção brasileiro acompanhou o dado.
No âmbito contratual, a prioridade é revisar e aditar instrumentos com importadores estrangeiros, incorporando integralmente o texto das SCCs da ANPD, sem modificações que contrariem o modelo. O anexo de SCCs pode compor um contrato específico de transferência ou ser anexado a acordos mais amplos, desde que preserve integralmente as obrigações padronizadas.
Para os caminhos alternativos, a exigência é maior: BCRs dependem de aprovação prévia da ANPD; cláusulas específicas também, e decisões de adequação exigem ato formal do Conselho Diretor. Enquanto tais listas oficiais não forem publicadas, tentar “equivalência” apenas com base em instrumentos de outras jurisdições (por exemplo, SCCs europeias) não satisfaz o requisito brasileiro.
O risco jurídico – multas, ordens de bloqueio de dados e suspensão de operações de tratamento – aumenta se a transferência continuar sem a salvaguarda válida no ordenamento nacional.
Ajustes técnicos para a conformidade
No plano técnico, o fim da transição exige ajustes de arquitetura que tornem a conformidade sustentável. Projetos recentes já nascem com segmentação por jurisdição, ou seja, dados coletados no Brasil sendo processados e armazenados preferencialmente em infraestrutura nacional, ou em regiões controladas que não disparem exportação desnecessária, com fluxos externos limitados ao estritamente necessário para a finalidade e cobertos por salvaguardas.
Mesmo quando a nuvem estrangeira é inevitável, elevar o padrão de criptografia em trânsito e em repouso, com gestão de chaves sob controle do exportador no Brasil, reduz o risco de acesso indevido no destino. Camadas de logs, trilhas de auditoria e telemetria são essenciais para provar conformidade: quem acessou quais dados, quando, com que perfil, em que contexto de suporte e com qual base legal.
Para cenários de análise e machine learning em plataformas globais, a pseudonimização ou anonimização antes do envio evita exposição desnecessária de dados pessoais identificáveis, mantendo o valor do dado para o negócio e reduzindo a superfície regulatória.
A mensagem para as organizações é clara: a transferência internacional de dados não pode mais ser tratada como uma consequência técnica das soluções de TI, mas como uma decisão estratégica de governança. O fim do período de transição inaugura uma fase em que nuvem, contratos e compliance caminham juntos, exigindo que líderes de tecnologia, jurídico e segurança da informação atuem de forma integrada.
— Inon Neves, vice-presidente da Access
