LGPD e Gestão Contratual: boas práticas na transferência internacional de dados pessoais

Na data de 23 de agosto de 2025 encerrou o prazo previsto na Resolução CD/ANPD nº 19, de 23 de agosto de 2024, para que os agentes de tratamento incorporassem as cláusulas-padrão contratuais aprovadas pela Agência Nacional de Proteção de Dados (ANPD) aos seus respectivos instrumentos contratuais, nos casos de transferência internacional de dados pessoais.

Alinhada ao Capítulo V da LGPD – Lei Geral de Proteção de Ddos (Lei nº 13.709/2018), intitulado Da Transferência Internacional de Dados, a referida Resolução aprovou o Regulamento de Transferência Internacional de Dados e definiu o conteúdo das cláusulas-padrão contratuais que devem ser adotadas como um dos mecanismos para tais transferências.

O objetivo é estabelecer procedimentos e regras aplicáveis a essas operações, proporcionando maior proteção aos titulares que tenham seus dados pessoais transferidos para país estrangeiro ou organismo internacional do qual o Brasil seja membro (art. 5º, XV, da LGPD).

A Resolução CD/ANPD nº 19/2024 apresenta, em seu art. 4º, os requisitos que devem ser observados pelo controlador (art. 5º, VI, da LGPD) nos casos de transferência internacional de dados pessoais. Entre eles, destaca-se a necessidade de avaliar se a operação configura, de fato, uma transferência internacional de dados, ou seja, se consiste em uma operação por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento (art. 3º, III, da Resolução CD/ANPD nº 19/2024).

Em seguida, é necessário verificar se a operação está em conformidade com os critérios previstos na legislação nacional vigente de proteção de dados pessoais, bem como observar se ela está respaldada por uma hipótese legal e por um mecanismo válido de transferência internacional (art. 9º da Resolução CD/ANPD nº 19/2024).

Tal verificação exige, portanto, a adoção de um checklist entre os agentes de tratamento que, embora não esteja expressamente previsto na Resolução, pode ser compreendido como a condução de uma TIA (Transfer Impact Assessment), especialmente por parte do controlador, com o objetivo de analisar, organizar e documentar os casos de transferência internacional de dados pessoais.

Seguindo essa trajetória de fortalecimento da proteção de dados, no mês de setembro, a Comissão Europeia (CE) publicou a versão preliminar da decisão de adequação quanto ao nível de proteção de dados pessoais garantido pelo Brasil, nos termos do artigo 45 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, para uma proteção de dados pessoais equivalente ao previsto na legislação europeia para fins de transferência internacional de dados.

A adoção das cláusulas-padrão contratuais é destaque como um dos mecanismos de transferência previstos no art. 9º da Resolução nº 19/2024. Conforme comentado no considerando 106 do estudo da Comissão Europeia, trata-se de um conjunto de cláusulas contratuais modelo adotado pela ANPD, que abrange todos os requisitos relevantes de proteção de dados, desde os direitos dos titulares até a possibilidade de adaptação a diferentes cenários de transferência internacional de dados pessoais realizadas por organizações brasileiras.

Todavia, é justamente nesse processo de adaptação a diferentes necessidades da LGPD que se destaca a importância de observar a conformidade para uma transferência internacional de dados pessoais adequada.

O Anexo II da Resolução CD/ANPD nº 19/2024 apresenta o modelo das cláusulas-padrão contratuais com o objetivo de assegurar o mais alto nível de proteção nas operações de tratamento de dados pessoais para fins de transferência internacional.

No entanto, muito se discute sobre a extensão e a efetiva operacionalização dessas cláusulas, considerando a complexidade prática e a manifesta adesão entre as partes. Conforme mencionado, é fundamental definir um processo de verificação que se inicie com o próprio reconhecimento da transferência internacional, para então prosseguir com a análise dos critérios e dos mecanismos necessários à conformidade legal. Sendo assim, é essencial a atuação de uma gestão contratual equânime, capaz de alinhar os fundamentos jurídicos à abrangência da transferência a ser realizada pela organização.

À luz do Anexo II, um ponto decisivo é identificar corretamente quem exporta e quem importa em cada fluxo de dados, pois disso depende a CPC adequada e o preenchimento da Parte A.

Quem é o Exportador e quem é o Importador? Implicações práticas na contratação

Um ponto crítico – e por vezes negligenciado – na adoção das cláusulas-padrão contratuais (CPCs) é identificar corretamente quem exporta e quem importa os dados em cada fluxo. Em operações complexas, é comum coexistirem dois cenários:

(Cenário A) Controlador nacional – Operador no exterior.

O Controlador brasileiro contrata serviços que implicam envio direto de dados para infraestrutura, equipe de suporte ou ambiente de continuidade localizados fora do Brasil, ou que serão acessados remotamente a partir do exterior. Nessa hipótese, o Controlador brasileiro é o Exportador e a entidade estrangeira é o Importador.

A Parte A das CPCs deve ser firmada diretamente entre esses dois agentes, descrevendo finalidades, categorias de dados/titulares, países de destino e medidas técnicas/organizacionais. A relação comercial com a afiliada local do fornecedor por subsistir, mas a peça jurídica da transferência vincula exportador e importador transfronteiriços.

(Cenário B) Operador nacional.

Quando o fornecedor local atua como Operador do controlador brasileiro e repassa dados, por necessidade técnica, a afiliadas ou suboperadores estrangeiros, quem exporta é o Operador nacional; o Importador é o suboperador estrangeiro. Aqui, usa-se a CPC apropriada para Operador – Suboperador.

O controlador brasileiro não precisa assinar como parte contratual da transferência, mas deve ser expressamente identificado na Parte A (p. ex., como “Controlador terceiro / parte relacionada”, manter as instruções documentadas e receber transparência sobre países de destino, suboperadores e medidas técnicas e organizacionais. Esse desenho é frequente quando todo o tráfego internacional ocorre “via” operador local.

Grupo econômico, filiais e a (in)existência de vínculo direto com a “matriz”; onde nasce a transferência e quem deve assinar.

Um debate recorrente surge, no Cenário A, o contrato comercial do Controlador está firmado com a pessoa jurídica do fornecedor sediada no Brasil (Operador local), mas a transferência internacional ocorre entre empresas do mesmo grupo econômico (Operador Nacional – afiliada / matriz estrangeira). Há risco de desalinho jurídico-técnico se a organização assumir que “grupo econômico” equivale a uma única pessoa jurídica (não é): A CPC adequada deve refletir quem exporta e quem importa no fluxo real de dados.

Parece-nos que três enquadramentos são possíveis:

1.Controlador BR > Operador Afiliado no Exterior

Mesmo havendo contrato de serviços com a entidade brasileira, se o fluxo sai do Controlador diretamente para a afiliada estrangeira (hospedagem/suporte/acesso remoto), impõe-se CPC. Controlador > Operador com assinatura direta entre Controlador (exportador) e a afiliada estrangeira (importadora). A empresa brasileira segue vinculada pelo contrato de serviços, mas a peça da transferência é transfronteiriça

2.Operador BR > Operador Intragrupo

Quando o dado sai via Operador local para a afiliada estrangeira, usa-se CPC Operador > Suboperador (Exportador = Operador BR; Importador = afiliada estrangeira). O Controlador não precisa assinar como parte da CPC, mas deve figurar na Parte A (p. Ex., como controlador terceiro/ para relacionada) e autorizar expressamente o repasse intragrupo, com equivalência de salvaguardas, lista de suboperadores, países de destino, direito de oposição e plano de desativação do módulo afetado.

3.Estruturas híbridas e tripartite.

Em arquiteturas modernas, coexistem Controlador > Operadores (para certos módulos) e Operadores > Suboperadores (para suporte / Disaster Recovery/ Backup). A boa prática é multiplicar as partes A por fluxo (não “uma CPC para tudo”), admitindo cláusulas de adesão para futuras afiliadas e anexos de mapa de transferências atualizados.

Estabelecidos os papéis e fluxos na Parte A, retomam-se os efeitos sistêmicos da conformidade, inclusive diante do reconhecimento de adequação mencionado a seguir.

O reconhecimento do Brasil como um país com nível adequado de proteção para a transferência internacional de dados pessoais reforça a importância de se observar os critérios definidos pela Agência Nacional de Proteção de Dados (ANPD) na Resolução CD/ANPD nº 19/2024.

A obrigação de cumprir os princípios da LGPD, atender a uma hipótese legal válida, realizar a avaliação dos critérios de segurança e garantir os direitos fundamentais dos titulares permanece em pauta, especialmente quando relacionadas às diretrizes para a implementação de medidas efetivas de transparência (art. 2º, V, Resolução CD/ANPD nº 19/2024).

Nesse contexto de incentivo a LGPD, a equipe de gestão de contratos atua como responsável por administrar todo o ciclo de vida contratual nas organizações, assegurando que os contratos estejam em consonância com a legislação, observando os riscos associados à transferência internacional de dados e os critérios que devem ser atendidos para a formalização adequada dos instrumentos contratuais.

Embora a condução de uma TIA possa ser desburocratizada em casos de reconhecimento mútuo entre países que oferecem um nível adequado de proteção de dados pessoais em operações de transferência internacional, isso não exime os agentes de tratamento da adoção diversas outras medidas de segurança, como disposto no art. 46 da Lei Geral de Proteção de Dados Pessoais (LGPD) e no art. 32 do Regulamento Geral sobre a Proteção de Dados (GDPR).

Tais salvaguardas adicionais são especialmente necessárias nos casos de tratamento de dados pessoais sensíveis e de dados de crianças e adolescentes, conforme previsto nas cláusulas 12 e 13 da cláusula-padrão contratual constante do Anexo II da Resolução CD/ANPD nº 19/2024.

Sendo assim, manter uma gestão contratual robusta no interior das organizações é essencial para assegurar a conformidade na transferência internacional de dados, mesmo quando realizada entre países reconhecidos por oferecerem nível adequado de proteção, pois a existência de instrumentos contratuais consistentes continua sendo fundamental para a gestão entre as partes interessadas.

Uma gestão contratual baseado na LGPD permite o monitoramento contínuo das obrigações e a mitigação de riscos jurídicos e operacionais, uma vez que é por meio das cláusulas contratuais que se definem as salvaguardas necessárias à efetiva proteção dos dados pessoais entre as partes, garantindo que todas estejam alinhadas quanto às responsabilidades e às boas práticas de segurança exigidas para proteger os dados pessoais durante todo o ciclo de vida do contrato.