Beatriz Haikal, Daniel Becker e Gabriela Sotomayor
Publicado no Consultor Jurídico.
A Resolução CD/ANPD nº 19, que regulamenta as transferências internacionais de dados, entrou em vigor em agosto de 2024, trazendo regras e mecanismos para viabilizar o fluxo de dados pessoais para outros países. No entanto, ainda há diretrizes pendentes por parte da Autoridade Nacional de Proteção de Dados (ANPD), incluindo a publicação de decisões de adequação, aprovação de outros mecanismos de transferência e divulgação de orientações complementares, detalhando como as empresas devem cumprir determinadas obrigações. Essa indefinição gera incertezas para organizações que realizam transferências internacionais e precisam garantir a conformidade com a legislação vigente.
Diante desse cenário, a Transfer Impact Assessment (Avaliação de Impacto de Transferência — TIA), já utilizada em âmbito europeu, surge como uma ferramenta estratégica para empresas brasileiras que buscam maior segurança jurídica em suas operações globais. Esse processo visa a antecipar eventuais fragilidades na transferência e a adotar medidas adicionais até que a ANPD traga mais clareza sobre os requisitos formais.
Desde a decisão Schrems II do Tribunal de Justiça da União Europeia (TJUE), em 2020, a preocupação com a segurança das transferências internacionais ganhou ainda mais relevância. E garantir que os dados pessoais enviados para países fora do Espaço Econômico Europeu (EEE) recebam um nível de proteção equivalente ao do Regulamento Europeu Geral de Proteção de Dados (GDPR) tornou-se um pilar central da governança global de dados.
Para orientar as empresas nesse processo, o Comitê Europeu de Proteção de Dados (EDPB) publicou as Diretrizes 01/2020, recomendando uma análise aprofundada dos fluxos de dados e a adoção de medidas suplementares sempre que necessário. Foi nesse contexto que o termo “Transfer Impact Assessment” se consolidou como um processo pelo qual exportadores de dados pessoais avaliam os riscos associados à transferência de informações para países sem reconhecimento de adequação pela Comissão Europeia.
Guia para o processo de TIA
Alguns anos depois, a publicação do Guia Prático de TIA, em janeiro de 2025 pela Autoridade Francesa de Proteção de Dados (CNIL), oferece uma metodologia estruturada para auxiliar organizações na condução desse processo. Baseado nas diretrizes do EDPB, o documento apresenta um passo a passo que permite mapear os fluxos de dados, identificar os mecanismos de transferência utilizados e implementar salvaguardas adequadas.
De acordo com o guia, o objetivo da TIA é avaliar e documentar se o importador estará apto a cumprir suas obrigações, conforme o mecanismo de transferência escolhido. A TIA deve ser realizada sempre que uma transferência de dados for baseada em um dos mecanismos do artigo 46 do GDPR, como as Cláusulas Contratuais Padrão (SCCs) ou as Regras Corporativas Vinculantes (BCRs). No entanto, a avaliação não é necessária quando a transferência ocorre para países reconhecidos pela Comissão Europeia como adequados, ou quando há enquadramento nas exceções trazidas pelo artigo 49 do GDPR.
Etapas para desenvolver o processo
O processo de TIA se desenvolve em seis etapas fundamentais. O primeiro passo consiste na identificação dos dados transferidos, seus destinatários e as finalidades do tratamento. Essa análise permite entender os riscos específicos e preparar as próximas etapas da avaliação. O segundo passo envolve a definição do mecanismo de transferência adequado que estabelece obrigações legais entre as partes envolvidas na transferência.
Em seguida, a terceira etapa requer uma análise aprofundada da legislação e das práticas do país destinatário. O objetivo é verificar se as normas locais garantem níveis de proteção compatíveis com o GDPR ou se há riscos consideráveis, como acesso indiscriminado por autoridades governamentais. Caso sejam constatadas ameaças à privacidade dos dados pessoais, a quarta etapa exige a identificação de medidas suplementares. Elas podem incluir salvaguardas técnicas, como criptografia e anonimização, medidas contratuais reforçadas ou procedimentos organizacionais, como auditorias regulares e monitoramento contínuo.
Uma vez definidas as medidas mitigadoras, o quinto passo prevê sua implementação prática, assegurando que sejam viáveis e eficazes, o que envolve a adaptação de contratos, treinamento de equipes e incorporação de protocolos de segurança adicionais. Finalmente, a última etapa estabelece a necessidade de reavaliação periódica do cenário, garantindo que as proteções permaneçam adequadas e acompanhando eventuais mudanças regulatórias nos países envolvidos.
Conformidade nas transferências internacionais
A documentação detalhada de cada uma dessas etapas é essencial para demonstrar conformidade e diligência. Empresas que realizam transferências internacionais de dados devem manter registros robustos sobre suas análises e decisões, pois esses documentos podem ser requisitados por autoridades reguladoras em auditorias. Além disso, a colaboração entre exportadores e importadores de dados é um fator importante para o sucesso da TIA, já que a avaliação depende de informações precisas sobre as leis e práticas do país destinatário.
Embora o Guia Prático de TIA publicado pela CNIL apresente um método estruturado para conduzir essa avaliação, sua aplicação não é mandatória. Organizações podem adotar abordagens distintas, desde que consigam demonstrar que suas transferências garantem um nível de proteção equivalente ao exigido pelo GDPR. Dessa forma, a TIA se estabelece como uma ferramenta valiosa — ainda que não seja a única — para mitigar riscos regulatórios e reforçar a proteção de dados em um contexto globalizado.
Preocupação com proteção de dados no Brasil
No Brasil, a recente regulamentação da sobre transferências internacionais e a publicação de página relacionada ao tema reflete a crescente preocupação com a proteção de dados além das fronteiras nacionais. Apesar de a Resolução CD/ANPD nº 19/2024 não exigir expressamente a realização de uma TIA, vale ressaltar que regulamentação impõe obrigações de responsabilização e prestação de contas (artigo 2º, IV), além de registro de documentação (artigo 4º, §2º) para demonstrar a conformidade com a LGPD e a eficácia das salvaguardas adotadas.
Ademais, o artigo 30, § 1º da Resolução prevê que, na análise de cláusulas contratuais específicas ou normas corporativas globais submetidas à aprovação da ANPD, a Autoridade poderá requerer documentos e informações suplementares ou realizar diligências para verificar as operações de tratamento de dados. Isso demonstra que a ANPD valoriza uma abordagem documental robusta, exigindo das empresas um nível de prestação de contas semelhante ao que se observa no âmbito europeu.
Assim, embora a TIA não seja obrigatória no Brasil, ela pode ser uma aliada importante para organizações que operam internacionalmente, permitindo-lhes avaliar riscos, reforçar sua governança de dados e demonstrar diligência na proteção das informações transferidas.
Diante da constante evolução do cenário regulatório e do aumento das exigências de proteção de dados, empresas que adotam essa análise demonstram comprometimento com a privacidade, reduzem riscos legais e fortalecem a confiança de clientes e parceiros. Em um ambiente digital interconectado, a realização de uma TIA bem estruturada pode ser um diferencial estratégico, garantindo maior previsibilidade e segurança nas operações globais.