Cláusulas contratuais padrão (SCCs) para transferência internacional de dados
Quando dados pessoais precisam cruzar fronteiras — para um servidor em nuvem nos EUA, para um parceiro comercial na Europa, para um sistema de RH global — a pergunta que o DPO e o jurídico precisam responder é: qual é a salvaguarda jurídica que autoriza essa transferência?
Na ausência de uma decisão de adequação que cubra o país de destino, as cláusulas contratuais padrão (do inglês Standard Contractual Clauses — SCCs) são o mecanismo mais utilizado globalmente para legalizar transferências internacionais de dados. Este artigo explica o que são, como funcionam no contexto da LGPD e do GDPR, e o que as organizações brasileiras devem fazer na prática.
O que são as cláusulas contratuais padrão
SCCs são contratos pré-aprovados por uma autoridade regulatória que estabelecem obrigações de proteção de dados entre as partes de uma transferência internacional. A lógica é simples: mesmo que o país de destino não tenha uma lei de proteção de dados equivalente, se as partes se comprometem contratualmente a cumprir os padrões exigidos pela lei de origem, a transferência pode ser considerada adequadamente protegida.
Elas são chamadas de "padrão" porque:
- O texto é pré-aprovado pela autoridade regulatória (ANPD no Brasil, Comissão Europeia no contexto do GDPR)
- As partes não podem alterar as cláusulas substantivas — só podem preencher as variáveis previstas (partes, finalidade, categorias de dados, etc.)
- A aprovação prévia elimina a necessidade de análise individual de cada contrato pela autoridade
SCCs no contexto da LGPD
O Art. 33 da LGPD permite a transferência internacional de dados pessoais quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos da LGPD. Dentro dessas garantias, o Art. 33, II prevê, entre outros instrumentos:
- Alínea a: cláusulas contratuais específicas para uma determinada transferência (personalizadas, negociadas caso a caso)
- Alínea b: cláusulas-padrão contratuais (as SCCs propriamente ditas — texto pré-aprovado pela ANPD)
- Alínea c: normas corporativas globais (Binding Corporate Rules — BCRs)
- Alínea d: selos, certificados e códigos de conduta regularmente emitidos
A distinção entre as alíneas a e b é relevante: a alínea a permite cláusulas personalizadas negociadas entre as partes específicas, enquanto a alínea b refere-se a um texto padrão aprovado pela ANPD — publicado por meio da Resolução CD/ANPD nº 19/2024.
O cenário atual: a ANPD publicou as SCCs brasileiras na Resolução CD/ANPD nº 19/2024
A Resolução CD/ANPD nº 19/2024, publicada em 23 de agosto de 2024, regulamentou os Arts. 33 a 36 da LGPD e estabeleceu o marco completo para transferências internacionais — incluindo as cláusulas-padrão contratuais brasileiras (alínea b do Art. 33, II). A resolução previu um período de graça de 12 meses para adequação, encerrado em 23 de agosto de 2025.
A partir de agosto de 2025, organizações que utilizavam cláusulas contratuais específicas ou modelos adaptados do GDPR devem incorporar as cláusulas-padrão aprovadas pela ANPD aos seus contratos de transferência — ou formalizá-los como cláusulas específicas aprovadas (alínea a).
A resolução também estabeleceu:
- Procedimento para aprovação de cláusulas contratuais específicas pela ANPD
- Critérios e procedimentos para aprovação de normas corporativas globais (BCRs)
- O processo formal de avaliação de adequação de outros países
Antes da resolução, as organizações operavam principalmente com cláusulas contratuais negociadas caso a caso ou com adaptações das SCCs do GDPR. Com a Resolução nº 19/2024, o quadro regulatório brasileiro de transferências internacionais está substancialmente mais maduro e próximo do modelo europeu.
SCCs no contexto do GDPR: o modelo de referência global
O GDPR europeu tem um sistema de SCCs mais maduro e consolidado. Em junho de 2021, a Comissão Europeia publicou novas SCCs — Decisão de Execução (UE) 2021/914 — substituindo os modelos anteriores de 2001 e 2004. O período de transição encerrou em dezembro de 2022, tornando obrigatório o uso das novas SCCs para transferências para fora da UE/EEE.
Os 4 módulos das SCCs europeias
A inovação central das SCCs de 2021 foi a estrutura modular, que cobre os diferentes cenários de transferência:
| Módulo | Relação | Descrição |
|---|---|---|
| Módulo 1 | Controlador → Controlador | Empresa europeia exporta dados para empresa no exterior que usa os dados para suas próprias finalidades |
| Módulo 2 | Controlador → Processador | Empresa europeia exporta dados para fornecedor no exterior que os processa em seu nome |
| Módulo 3 | Processador → Processador | Fornecedor europeu subcontrata outro fornecedor no exterior para processar dados do mesmo controlador |
| Módulo 4 | Processador → Controlador | Fornecedor no exterior processa dados e os retorna ao controlador europeu |
A flexibilidade modular permite que um único instrumento SCC cubra relações complexas — uma empresa pode assinar SCCs com múltiplos módulos para diferentes tipos de transferência com o mesmo parceiro.
O que as SCCs do GDPR exigem das partes
Além das cláusulas substantivas de proteção de dados, as SCCs de 2021 introduziram obrigações adicionais:
- Avaliação de transferência (TIA — Transfer Impact Assessment): antes de assinar as SCCs, as partes devem avaliar se a legislação do país de destino não compromete as garantias oferecidas pelas cláusulas — exigência decorrente do acórdão Schrems II
- Transparência: o importador deve informar ao exportador sobre quaisquer pedidos de acesso de autoridades governamentais que possam afetar os dados transferidos
- Direitos dos titulares: o importador deve cooperar para que os titulares possam exercer seus direitos perante o exportador original
A Transfer Impact Assessment (TIA): o que é e quando é obrigatória
A Transfer Impact Assessment — ou avaliação de impacto da transferência — é uma análise que as partes devem realizar antes de confiar nas SCCs como salvaguarda. O objetivo é verificar se o direito do país de destino (especialmente leis de vigilância, acesso governamental a dados privados) compromete na prática as garantias que as cláusulas prometem no papel.
A TIA tornou-se obrigatória no GDPR como consequência do acórdão Schrems II do Tribunal de Justiça da União Europeia (julho de 2020), que invalidou o mecanismo anterior (Privacy Shield EU-EUA) e determinou que as SCCs sozinhas não são suficientes — é preciso verificar o contexto do país de destino.
O Comitê Europeu de Proteção de Dados (EDPB) publicou recomendações (Recomendações 01/2020) com um processo em 6 passos para conduzir a TIA. Para países com legislação de vigilância agressiva (ex.: China, Rússia, e historicamente os EUA antes do Data Privacy Framework), a TIA pode revelar que as SCCs não são salvaguarda suficiente e que medidas técnicas adicionais (como criptografia com chaves mantidas na UE) são necessárias.
No contexto da LGPD: a LGPD não prevê explicitamente a TIA, mas o princípio de responsabilização e demonstração (Art. 6°, X) e a lógica das "garantias" do Art. 33, II sugerem que uma análise do contexto do país de destino é boa prática — e possivelmente esperada pela ANPD em caso de fiscalização.
Como implementar SCCs na prática: passo a passo
1. Identificar todas as transferências internacionais
Mapear no inventário de dados (ROPA) quais tratamentos envolvem transferência a outros países — incluindo transferências "invisíveis" como uso de plataformas SaaS com servidores no exterior.
2. Classificar cada transferência por mecanismo aplicável
Para cada transferência, determinar:
- O país de destino tem decisão de adequação da ANPD? → Mecanismo mais simples
- É possível usar SCCs (alínea a ou b do Art. 33, II)?
- Há BCRs aprovadas pelo grupo empresarial?
- A transferência se enquadra em alguma exceção do Art. 33?
3. Escolher o instrumento contratual
Com as cláusulas-padrão brasileiras publicadas pela Resolução CD/ANPD nº 19/2024:
- Para transferências em geral: utilizar as cláusulas-padrão aprovadas pela ANPD (alínea b), incorporando-as ao contrato de transferência
- Para relações específicas que justifiquem cláusulas personalizadas: elaborar cláusulas contratuais específicas (alínea a), submetendo-as à aprovação pela ANPD quando necessário
- Para relações com entidades europeias: as SCCs do GDPR (Decisão 2021/914) também podem ser necessárias do lado europeu — as obrigações das duas regulamentações devem ser cumpridas simultaneamente
4. Conduzir avaliação do país de destino
Verificar se a legislação do país de destino compromete as garantias oferecidas. Para países com risco elevado de acesso governamental, considerar medidas técnicas complementares.
5. Documentar e revisar periodicamente
As SCCs e a avaliação de transferência devem ser documentadas — e revisadas quando houver mudança relevante na legislação do país de destino, no escopo da transferência ou na regulamentação.
Limitações das SCCs: o que elas não cobrem
As SCCs são uma ferramenta contratual — e têm limitações importantes:
- Não protegem contra acesso governamental legítimo: se a autoridade do país de destino pode legalmente exigir acesso aos dados, as SCCs não impedem isso
- Dependem de cumprimento efetivo: uma cláusula contratual só é eficaz se houver mecanismo de verificação (auditoria, certificação)
- Não substituem medidas técnicas: para transferências de alto risco, as SCCs devem ser combinadas com criptografia, pseudonimização e outras medidas técnicas
- Não eliminam a responsabilidade do exportador: o controlador exportador continua responsável por verificar que o importador cumpre as obrigações
Conclusão: SCCs como pilar da transferência internacional responsável
As cláusulas contratuais padrão — tanto as SCCs brasileiras da ANPD (Resolução CD/ANPD nº 19/2024) quanto as SCCs europeias para transferências com entidades do EEE — são o mecanismo mais prático para transferências internacionais de dados que não contam com decisão de adequação. Mas sua eficácia depende de implementação correta: escolha do módulo certo, avaliação do contexto do país de destino e monitoramento contínuo.
Para DPOs e equipes jurídicas que precisam estruturar o programa de transferência internacional, a documentação adequada de cada mecanismo utilizado é fundamental.
Baixe o eBook "Checklist de Documentação LGPD" e acesse o inventário de itens necessários para documentar as transferências internacionais do seu programa de privacidade.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.