LGPD Comentada #19: Cooperação Internacional e Cláusulas de Garantia — Arts. 35 e 36
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Proteção de dados pessoais é, por natureza, um tema transnacional. Dados cruzam fronteiras em milissegundos, mas as leis que os protegem permanecem nacionais. Essa tensão exige cooperação entre as autoridades de proteção de dados de diferentes países — e é exatamente isso que os Arts. 35 e 36 da LGPD disciplinam.
Enquanto os Arts. 33 e 34 definem quando e para onde os dados podem ser transferidos, os Arts. 35 e 36 tratam da cooperação institucional entre autoridades e da governança dinâmica das garantias de transferência. São os artigos que permitem à ANPD atuar como interlocutora no ecossistema global de proteção de dados — e revisar decisões quando as circunstâncias mudam.
Art. 35 — Cooperação internacional entre autoridades
"Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional."
"§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei."
"§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário."
"§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento."
"§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados."
"§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei."
Análise do caput e parágrafos
O Art. 35 confere à ANPD a competência central na definição e verificação de todos os mecanismos de garantia para transferência internacional de dados. Não é uma competência delegável — é a ANPD quem define o conteúdo das cláusulas-padrão, quem aprova cláusulas específicas, quem avalia normas corporativas globais e quem reconhece selos e certificados.
Definição de cláusulas-padrão contratuais (caput)
A ANPD exerceu essa competência ao publicar a Resolução CD/ANPD nº 19, de 23 de agosto de 2024, que trouxe no Anexo II as cláusulas-padrão contratuais brasileiras. Essas cláusulas funcionam como um modelo pré-aprovado: o controlador pode incorporá-las diretamente aos seus contratos, sem necessidade de aprovação individual pela ANPD.
As cláusulas-padrão cobrem obrigações do exportador e importador de dados, direitos dos titulares, medidas de segurança, procedimentos de subcontratação e mecanismos de resolução de conflitos. Devem ser adotadas sem modificação — o prazo para implementação é de 12 meses a partir da publicação da Resolução.
Verificação de cláusulas específicas e BCRs (caput e §2º)
Para situações em que as cláusulas-padrão não se aplicam, o controlador pode submeter cláusulas contratuais específicas ou normas corporativas globais (BCRs) à aprovação da ANPD. O §2º autoriza a ANPD a solicitar informações adicionais e realizar diligências de verificação — isto é, não se trata de um processo de carimbo automático, mas de análise substancial.
Na prática, cláusulas específicas são utilizadas quando as circunstâncias da transferência são atípicas e as cláusulas-padrão não cobrem adequadamente os riscos envolvidos. BCRs são relevantes para grupos econômicos multinacionais que transferem dados entre suas entidades em diversos países — e precisam de um instrumento único aprovado pela ANPD.
Organismos de certificação (§3º)
O §3º permite à ANPD designar organismos de certificação para avaliar e emitir selos, certificados e códigos de conduta relacionados a transferência internacional. Até o momento, a ANPD ainda não designou organismos de certificação para esse fim — a regulamentação está prevista na agenda regulatória, mas não foi publicada.
Revisão de atos de organismos de certificação (§4º)
O §4º estabelece que os atos praticados por organismos de certificação designados pela ANPD (§3º) podem ser revistos pela autoridade e, se em desconformidade com a LGPD, submetidos a revisão ou anulação. Trata-se de um mecanismo de controle que impede que a delegação de competência resulte em perda de supervisão pela ANPD.
Medidas técnicas e organizacionais do operador (§5º)
O §5º acrescenta que a análise das garantias deve considerar também as medidas técnicas e organizacionais adotadas pelo operador, nos termos do Art. 46, §§1º e 2º. Isso significa que a ANPD não avalia apenas o instrumento contratual em si, mas a capacidade real do importador de dados de proteger os dados transferidos — incluindo criptografia, controles de acesso, políticas de segurança e medidas organizacionais.
Art. 36 — Revisão de garantias e decisões de adequação
"Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional."
Análise
O Art. 36 trata de um aspecto frequentemente negligenciado: a dinâmica das garantias ao longo do tempo. Uma transferência internacional que é legítima hoje pode deixar de sê-lo amanhã — seja por mudança legislativa no país de destino, seja por alteração no cenário de proteção de dados.
O artigo impõe uma obrigação direta: se as garantias que fundamentam uma transferência internacional (cláusulas contratuais, BCRs, selos ou códigos de conduta — os mecanismos do Art. 33, II) sofrerem alterações, o controlador deve comunicar essas mudanças à ANPD.
Alterações que disparam a obrigação de comunicação incluem:
- Renegociação contratual que afete cláusulas de proteção de dados
- Mudança de suboperador no país de destino
- Alteração nas medidas de segurança implementadas pelo importador de dados
- Mudança legislativa no país de destino que enfraqueça o nível de proteção
- Revogação ou suspensão de certificação ou selo que fundamentava a transferência
Por que o Art. 36 importa
O Art. 36 reflete uma preocupação central da proteção de dados: garantias não são estáticas. O caso mais emblemático de como mudanças no cenário internacional podem afetar transferências foi o caso Schrems II (Tribunal de Justiça da UE, 2020). Ao invalidar o Privacy Shield — o mecanismo que permitia transferências de dados da UE para os EUA —, o TJUE obrigou milhares de empresas em todo o mundo a revisar seus contratos e adotar garantias adicionais.
Se uma situação semelhante ocorrer envolvendo o Brasil — por exemplo, se as condições que sustentam a decisão de adequação mútua Brasil-UE (Resolução CD/ANPD nº 32/2026, sujeita a reavaliação em 4 anos) se alterarem —, o Art. 36 é o dispositivo que fundamenta a obrigação dos controladores de comunicar essa mudança à ANPD e reavaliar os mecanismos de transferência utilizados.
Embora o texto do Art. 36 se refira especificamente às garantias do inciso II do Art. 33 (mecanismos contratuais e corporativos), a lógica se estende por analogia: qualquer mudança relevante no cenário de proteção de dados do país de destino merece atenção do controlador e, potencialmente, comunicação à ANPD.
A ANPD no cenário internacional: acordos e fóruns
Os Arts. 35 e 36 não operam no vácuo. A capacidade da ANPD de cooperar com autoridades estrangeiras, avaliar níveis de proteção e monitorar garantias depende de sua inserção em redes e fóruns internacionais. Nos últimos anos, a ANPD tem consolidado essa presença de forma significativa.
Acordos bilaterais de cooperação
A ANPD assinou memorandos de entendimento (MoUs) com autoridades de proteção de dados de diversos países:
| Autoridade | País | Escopo |
|---|---|---|
| ICO (Information Commissioner's Office) | Reino Unido | Cooperação em supervisão, investigações conjuntas, troca de informações, educação e pesquisa |
| AEPD (Agencia Española de Protección de Datos) | Espanha | Memorando renovado por mais quatro anos (originalmente assinado em 2021); troca de experiências regulatórias |
| APD (Agência de Proteção de Dados) | Angola | Primeiro acordo da ANPD com autoridade de país africano lusófono; intercâmbio de conhecimentos, apoio técnico, harmonização regulatória |
| AAIP (Agencia de Acceso a la Información Pública) | Argentina | Cooperação em regulação, supervisão e investigações; desenvolvimento conjunto de programas de educação e pesquisa |
| CNIL (Commission Nationale de l'Informatique et des Libertés) | França | Cooperação em proteção de dados e inteligência artificial; educação digital |
Esses acordos são operacionalizados por meio de troca de informações, visitas técnicas, participação cruzada em eventos e, em alguns casos, investigações conjuntas. O MoU com o ICO é particularmente relevante, pois prevê investigações conjuntas — um instrumento que pode ser acionado quando um incidente de dados envolve titulares nos dois países.
Fóruns multilaterais
Global Privacy Assembly (GPA)
A ANPD foi aceita como membro pleno da Global Privacy Assembly em outubro de 2023, na reunião anual realizada nas Bermudas. A GPA é o principal fórum global de autoridades de proteção de dados e privacidade, reunindo mais de 130 membros de todo o mundo.
Em outubro de 2024, a ANPD participou da 46ª reunião anual da GPA, realizada nas Ilhas de Jersey. A representação brasileira incluiu o Diretor-Presidente Waldemar Gonçalves e a Diretora Miriam Wimmer.
A participação como membro pleno permite ao Brasil: votar resoluções, participar de grupos de trabalho temáticos (IA, crianças, transferência internacional), acessar redes de cooperação para investigação e trocar experiências com autoridades de todos os continentes.
Rede Ibero-Americana de Proteção de Dados (RIPD)
A ANPD ingressou na RIPD em 2021, e em maio de 2025 foi eleita para a presidência da Rede para o biênio 2025-2027, por unanimidade, durante o XXI Encontro da RIPD realizado em Cartagena das Índias, Colômbia.
A RIPD reúne autoridades de mais de 20 países da América Latina, América do Norte e Europa (incluindo Portugal e Espanha), com o objetivo de fortalecer a cooperação institucional, promover o intercâmbio de boas práticas e estimular a harmonização da legislação de proteção de dados na região ibero-americana.
A presidência reforça o protagonismo do Brasil no cenário regional. Desde 2023, a ANPD também preside a Rede Lusófona de Proteção de Dados — formada por autoridades de países de língua portuguesa.
O que esses acordos significam para a cooperação sob os Arts. 35-36
A rede de acordos e fóruns permite à ANPD:
- Obter informações de autoridades estrangeiras para avaliar o nível de proteção de outros países (Art. 34)
- Coordenar investigações quando uma violação de dados envolve transferência internacional
- Receber alertas sobre mudanças no cenário regulatório de outros países que afetem garantias de transferência
- Harmonizar padrões de cláusulas contratuais e certificações com outras jurisdições
- Influenciar padrões globais de proteção de dados, participando da formulação de resoluções e diretrizes internacionais
Comparação com mecanismos europeus
| Aspecto | LGPD (Arts. 35-36) | GDPR / Framework europeu |
|---|---|---|
| Definição de cláusulas-padrão | ANPD (Art. 35, caput) | Comissão Europeia (Art. 46(2)(c) GDPR) |
| Aprovação de BCRs | ANPD (Art. 35, caput) | Autoridade supervisora líder + mecanismo de consistência (Art. 47 GDPR) |
| Organismos de certificação | ANPD pode designar (Art. 35, §3º) | Autoridades supervisoras ou organismos de acreditação (Art. 42-43 GDPR) |
| Revisão de garantias | Obrigação de comunicar à ANPD (Art. 36) | Obrigação de revisão sob mecanismo de consistência (Art. 63-64 GDPR) |
| Cooperação entre autoridades | Bilateral (MoUs) + multilateral (GPA, RIPD) | EDPB + mecanismo de consistência + cooperação vinculante (Arts. 60-76 GDPR) |
A principal diferença: o GDPR prevê um mecanismo de cooperação vinculante entre autoridades europeias (através do EDPB e do mecanismo de consistência). A LGPD prevê cooperação voluntária, baseada em acordos bilaterais e participação em fóruns multilaterais. Não existe, no framework brasileiro, um mecanismo que obrigue a ANPD a considerar a posição de outras autoridades — embora o Art. 36 crie a obrigação para os controladores de comunicar decisões estrangeiras relevantes.
Na prática: implicações para organizações
Monitoramento de alterações nas garantias
O Art. 36 impõe aos controladores que realizam transferências internacionais com base em mecanismos do Art. 33, II (cláusulas contratuais, BCRs, selos) uma obrigação de comunicação à ANPD sempre que houver alterações nessas garantias. Na prática, isso implica manter vigilância sobre o cenário regulatório e operacional que sustenta a transferência.
Cenários que podem configurar "alteração nas garantias":
- Renegociação de cláusulas contratuais que afetem obrigações de proteção de dados
- Mudança de suboperador no país de destino com nível de segurança diferente
- Alteração nas medidas técnicas ou organizacionais do importador de dados
- Mudança legislativa no país de destino que reduza o nível de proteção
- Revogação de certificação ou selo que fundamentava a transferência
Revisão periódica de contratos
Organizações que utilizam cláusulas-padrão ou BCRs devem prever cláusula de revisão periódica nos contratos, para garantir que as garantias continuem válidas diante de mudanças no cenário regulatório. A Resolução CD/ANPD nº 19/2024 prevê obrigações de monitoramento contínuo para exportadores de dados.
Documentação
Cada transferência internacional deve estar documentada com:
- Identificação do mecanismo legal utilizado (cláusula-padrão, adequação, consentimento, etc.)
- Avaliação do nível de proteção do país de destino
- Registro de eventuais comunicações à ANPD sobre alterações nas garantias
- Histórico de revisões contratuais
Erros comuns
| Erro | Risco | Correção |
|---|---|---|
| Adotar cláusulas-padrão e nunca mais revisar | Cláusulas podem se tornar insuficientes após mudança legislativa no destino | Revisão anual + monitoramento de decisões no país de destino |
| Não monitorar mudanças no cenário regulatório do país de destino | Garantias podem se tornar inadequadas sem que o controlador perceba | Monitorar mudanças legislativas e regulatórias nos países de destino |
| Não comunicar alterações contratuais à ANPD | Descumprimento do Art. 36 | Incluir nos fluxos internos a comunicação obrigatória |
| Tratar BCRs como documento estático | BCRs devem refletir a realidade operacional do grupo | Atualizar BCRs quando houver mudança de entidades, países ou tipos de dados |
Conclusão
Os Arts. 35 e 36 completam o framework de transferência internacional da LGPD com dois elementos essenciais: a centralidade da ANPD na definição e aprovação de mecanismos de garantia, e a obrigação de revisão contínua dessas garantias diante de mudanças no cenário internacional.
A inserção crescente da ANPD em fóruns internacionais — como membro pleno da Global Privacy Assembly desde 2023 e na presidência da Rede Ibero-Americana de Proteção de Dados para o biênio 2025-2027 — fortalece sua capacidade de exercer essas competências. Os acordos bilaterais com autoridades do Reino Unido, Espanha, Angola, Argentina e França criam canais concretos de cooperação que beneficiam tanto as investigações quanto a avaliação de níveis de proteção.
Para organizações que transferem dados internacionalmente, a mensagem é clara: a conformidade não é um evento pontual. É um processo contínuo de monitoramento, revisão e, quando necessário, comunicação à ANPD.
A Confidata rastreia transferências internacionais no inventário de atividades de tratamento, com indicação do mecanismo legal, país de destino e status de conformidade — facilitando o cumprimento dos Arts. 33 a 36 e a demonstração de conformidade perante a ANPD. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.