Releases

Por Inon Neves, vice-presidente da Access

A transferência internacional de dados entrou em uma nova era no Brasil: 23 de agosto último marcou o fim do período de transição da Resolução CD/ANPD nº 19/2024, que trata justamente da transferência de dados pessoais para repositórios internacionais.  Na prática, isso amplia o nível de exigência sobre contratos e arquitetura de TI, em especial onde há serviços de nuvem internacional, rotinas de backup fora do país e cenários híbridos em que dados podem cruzar fronteiras por integrações, suporte ou replicações automáticas.

O Regulamento de Transferência Internacional de Dados, aprovado por essa resolução, é o instrumento que detalha como as empresas brasileiras podem enviar dados pessoais para fora do país sem descumprir a LGPD. A regra define quais salvaguardas são aceitas – como as cláusulas contratuais padrão brasileiras (SCCs), regras corporativas globais submetidas à ANPD, cláusulas específicas aprovadas pela Autoridade ou futuras decisões de adequação de países – e estabelece obrigações concretas para exportadores e importadores de dados.

Na prática, o regulamento cria um padrão de governança: toda transferência precisa garantir que o dado receba, mesmo no exterior, o mesmo nível de proteção que teria se estivesse armazenado no Brasil.

Há, naturalmente, um horizonte de maturidade regulatória em evolução. A ANPD prevê publicar em seu portal listas de países e organismos internacionais reconhecidos como adequados, bem como repositórios de cláusulas equivalentes, cláusulas específicas e BCRs aprovadas. Enquanto essas listas não existirem, organizações que precisam manter fluxos transfronteiriços regulares tendem a escolher o caminho de menor incerteza: SCCs brasileiras + medidas técnicas e organizacionais reforçadas, porque é o mecanismo já aprovado e funcional.

Quando vierem decisões de adequação ou aprovações de BCRs (Binding Corporate Rules, ou Regras Corporativas Globais, na sigla em inglês), fluxos específicos poderão se desonerar de anexos contratuais, mas a disciplina de governança – mapeamento, segregação, criptografia, auditoria, gestão de incidentes – continuará sendo a linha mestra da conformidade.

O impacto na cloud

A mudança regulatória tem implicações diretas para empresas intensivas em nuvem. Escolher regiões de data center no Brasil e desenhar residência de dados reduz a necessidade de exportar dados pessoais e, portanto, a dependência de mecanismos de transferência.

Porém, o uso da nuvem não é tão simples assim. Backups automáticos que replicam bases para regiões estrangeiras, soluções SaaS com arquiteturas multirregião, rotinas de suporte remoto com acesso administrativo a dados de produção e integrações entre filiais ou tenants globais frequentemente configuram transferência internacional.

O mapeamento fino desses fluxos é o pilar da conformidade: sem saber onde os dados vão, quem acessa, com que finalidade e por quanto tempo, torna-se impossível demonstrar que a exportação tem base jurídica válida, que as salvaguardas estão ativas e que os direitos dos titulares são respeitados de ponta a ponta. É aqui que a Resolução 19/2024 conversa com o dever de prestação de contas da LGPD: não basta ter “boa segurança”; é preciso comprovar, com evidências contratuais, técnicas e organizacionais, que o nível de proteção brasileiro “viajou” com o dado.

Do lado contratual, o movimento prioritário é revisar e aditar instrumentos com importadores estrangeiros, incorporando integralmente o texto das SCCs da ANPD, sem modificações que contrariem o modelo. O anexo de SCCs pode compor um contrato específico de transferência ou ser anexado a acordos mais amplos, desde que preserve integralmente as obrigações padronizadas.

Para os caminhos alternativos, a régua é mais alta: BCRs dependem de aprovação prévia da ANPD; cláusulas específicas também; decisões de adequação exigem ato formal do Conselho Diretor. Enquanto tais listas oficiais não forem publicadas, intentar “equivalência” apenas com base em instrumentos de outras jurisdições (por exemplo, SCCs europeias) não satisfaz o requisito brasileiro.

O risco jurídico – multas, ordens de bloqueio de dados e suspensão de operações de tratamento – cresce se a transferência continuar sem a salvaguarda válida no ordenamento nacional.

No plano técnico, o fim da transição pede ajustes de arquitetura que tornem a conformidade sustentável. Projetos recentes já nascem com segmentação por jurisdição, isto é, dados coletados no Brasil sendo processados e armazenados preferencialmente em infraestrutura nacional, ou em regiões controladas que não disparem exportação desnecessária, com fluxos externos limitados ao estritamente necessário para a finalidade e cobertos por salvaguardas.

Mesmo quando a nuvem estrangeira é inevitável, elevar o padrão de criptografia em trânsito e em repouso, com gestão de chaves sob controle do exportador no Brasil, reduz o risco de acesso indevido no destino. Camadas de logs, trilhas de auditoria e telemetria são essenciais para provar conformidade: quem acessou quais dados, quando, com que perfil, em que contexto de suporte e com qual base legal.

Para cenários de análise e machine learning em plataformas globais, pseudonimização ou anonimização antes do envio evita desnecessária exposição de dados pessoais identificáveis, mantendo o valor do dado para o negócio e reduzindo a superfície regulatória.

A mensagem que fica para as organizações é clara: a transferência internacional de dados não pode mais ser tratada como uma consequência técnica das soluções de TI, mas como uma decisão estratégica de governança. O fim do período de transição inaugura uma fase em que nuvem, contratos e compliance caminham juntos, exigindo que líderes de tecnologia, jurídico e segurança da informação atuem de forma integrada.

Sobre a Access

A Access é o maior fornecedor mundial de serviços de gestão de registros e informações (RIM), com operações na nas Américas e Índia. Como um provedor de soluções de ponta a ponta, com custo-benefício, que atende todo o ciclo de vida do RIM, a Access ajuda organizações a garantir que seus registros críticos e confidenciais, tanto físicos quanto digitais, sejam retidos, gerenciados e processados com segurança, em conformidade com os mandatos regulatórios. As principais soluções incluem armazenamento externo; migração de acervo, indexação, digitalização e arquivamento de registros digitais; e serviços de destruição segura e BPO. Juntas, a Access e Triyam, uma empresa da Access focada em software para arquivamento de registros eletrônicos de saúde, foram reconhecidas 16 vezes na lista Inc. 5000; várias vezes reconhecidas pela Newsweek, incluindo a lista das Melhores Empresas da América de 2024 para Diversidade e a designação de Melhor Empresa Digital de Saúde do Mundo; e reconhecidas três vezes como Melhor em KLAS em Arquivamento de Dados. Para mais informações sobre a Access, visite: https://accesscorp.com