No Brasil, a cada ciclo regulatório surge uma moda jurídica que, embora nascida com intenções nobres, rapidamente degenera em fórmulas automáticas, replicadas em série por departamentos jurídicos apressados e por consultorias de compliance que confundem diligência com preenchimento de formulário. A bola da vez atende por um nome pomposo, mas relativamente simples: as Cláusulas-Padrão.
Contratuais da ANPD para Transferência Internacional de Dados. O problema? A aplicação indiscriminada e equivocada desse mecanismo em contratos puramente domésticos, como se fosse uma poção mágica capaz de resolver todos os males da Lei Geral de Proteção de Dados Pessoais.
A Autoridade Nacional de Proteção de Dados, ao editar a Resolução CD/ANPD nº 19, de 2024, estabeleceu que, a partir de 23 de agosto de 2025, os agentes de tratamento que realizam transferências internacionais devem adaptar seus instrumentos contratuais às Cláusulas-Padrão Contratuais publicadas. Trata-se de um esforço louvável e, por sinal, alinhado ao modelo europeu inaugurado pela Comissão Europeia desde os anos 2000 e reforçado após o Regulamento Geral de Proteção de Dados de 2018. A racionalidade é conhecida: se dados brasileiros vão atravessar fronteiras, é preciso que viagem protegidos por um passaporte jurídico, garantindo que os direitos fundamentais dos titulares não se dissolvam no Atlântico.
Ocorre que, às vésperas do prazo, multiplicam-se casos de aplicação indevida das cláusulas em contratos que não envolvem transferência internacional alguma. Escritórios enviam aditivos prontos, plataformas digitais oferecem "modelos de conformidade instantânea" e fornecedores pressionam clientes domésticos a assinarem papéis que, em essência, nada têm a ver com a realidade da operação. O que se vê não é rigor jurídico, mas um movimento de inflação contratual: a crença de que a simples adoção de cláusulas "padrão" serve como vacina contra a responsabilidade regulatória.
Não é a primeira vez que testemunhamos esse fenômeno. Em 2020, logo após a entrada em vigor da LGPD, proliferaram contratos cheios de "consentimentos genéricos" e políticas de privacidade copiadas de sites estrangeiros. A lógica é a mesma: cumprir a forma, mesmo que o conteúdo seja disfuncional. Agora, vemos cláusulas de transferência internacional sendo inseridas em contratos entre duas empresas brasileiras, com servidores localizados em território nacional, apenas porque algum "manual de boas práticas" recomendou uniformidade. É o triunfo da preguiça intelectual sobre a análise de risco.
Para entender a gravidade da distorção, convém recordar que a LGPD diferencia claramente operações de tratamento domésticas de transferências internacionais de dados. Estas últimas, nos termos do artigo 33 da lei, exigem salvaguardas adicionais — seja por meio de cláusulas contratuais, normas corporativas globais, selos de certificação ou hipóteses específicas como consentimento ou decisão de adequação da autoridade. Aplicar cláusulas de transferência internacional a contratos puramente nacionais é o equivalente a exigir visto de entrada para um cidadão que se desloca de São Paulo a Belo Horizonte: não faz sentido jurídico nem prático.
A insistência em replicar CPCs em relações domésticas pode ser explicada por duas forças complementares: o medo e a ignorância. O medo de ser acusado de negligência regulatória, aliado à ignorância sobre a real extensão do instituto, gera a busca por soluções padronizadas, ainda que juridicamente despropositadas. Esse movimento, porém, traz consequências concretas. Cláusulas desnecessárias criam obrigações artificiais, aumentam custos transacionais e, pior, diluem a credibilidade do compliance. Quando tudo é tratado como risco máximo, nada é tratado com seriedade. A banalização das salvaguardas normativas transforma instrumentos de proteção em papelório inócuo, e coloca em risco a efetividade da própria LGPD.
A experiência europeia oferece uma lição eloquente. Após o famoso caso Schrems II (C-311/18, TJUE, 2020), que invalidou o Privacy Shield entre União Europeia e Estados Unidos, as cláusulas contratuais padrão tornaram-se praticamente o único instrumento seguro para transferências de dados a países sem decisão de adequação. Isso levou a uma corrida para adaptar contratos, mas também a uma explosão de copy-paste legal, em que CPCs eram enxertadas em qualquer relação comercial, independentemente da necessidade. Os tribunais europeus rapidamente perceberam a fragilidade dessa prática. Vários julgados destacaram que a simples inclusão de cláusulas padrão não basta: é preciso avaliar, caso a caso, se a realidade do tratamento comporta riscos adicionais e se as medidas contratuais são realmente suficientes. Em outras palavras, não adianta encher o contrato de palavras bonitas se, na prática, os dados continuam vulneráveis. Esse alerta ainda não ecoou no Brasil com a força devida, mas cedo ou tarde chegará ao contencioso, quando titulares questionarem a utilidade de cláusulas meramente ornamentais.
A ANPD, por sua vez, nunca disse que os CPCs deveriam ser usados em contratos puramente domésticos. Pelo contrário, sua Resolução é clara ao vinculá-los a transferências internacionais. Ocorre que o mercado brasileiro tem o hábito de confundir o mínimo exigido com o máximo recomendável. Daí a febre de aditivos contratuais desproporcionais. É como se, para dirigir em uma rua de bairro, alguém exigisse que todos os motoristas apresentassem habilitação internacional, seguro europeu e passaporte carimbado. O excesso de zelo, quando irracional, não protege: atrapalha.
Do ponto de vista prático, essa má aplicação pode, inclusive, expor empresas a riscos adicionais. Imagine uma companhia que, sem transferir dados para o exterior, passa a assumir obrigações contratuais típicas de transferências internacionais. Em eventual disputa judicial, a contraparte poderá usar essas obrigações autoimpostas para exigir níveis de responsabilidade além do que a LGPD prevê. O compliance mal calibrado transforma-se em bumerangue.
Além do risco jurídico, há o custo econômico. A cada aditivo desnecessário, multiplicam-se horas de advogados, revisões de contratos e assinaturas digitais. Em um mercado que já sofre com a inflação regulatória, criar obrigações artificiais é, no mínimo, contraproducente. Empresas médias e pequenas, que dependem de modelos contratuais fornecidos por associações ou consultorias, acabam absorvendo cláusulas sem entender o porquê. O resultado é um compliance performático, caro e ineficiente. O mais irônico é que, ao focar em cláusulas desnecessárias, muitos deixam de cumprir o que realmente importa: o mapeamento dos fluxos de dados, a adoção de medidas técnicas e organizacionais de segurança, e a demonstração de responsabilidade perante titulares e autoridades. Troca-se substância por formalismo. E, quando o regulador bater à porta, não será a quantidade de cláusulas padrão que salvará a empresa, mas sim a evidência de que houve governança efetiva.
O Brasil tem um histórico peculiar de transformar normas de compliance em exercícios performáticos. O mesmo ocorreu com a Lei Anticorrupção: muitas empresas correram para adotar códigos de ética extensos, mas sem treinamento, sem monitoramento e sem investigação interna. O resultado foi a multiplicação de manuais plastificados que ninguém lia. No campo da proteção de dados, a repetição desse padrão é evidente. Crê-se que basta inserir cláusulas mágicas em contratos para apaziguar a ANPD, como se a autoridade fosse uma espécie de cartório interessado apenas em colecionar papelada. A ANPD, apesar de jovem, já demonstrou que não se contenta com formalismos vazios. Suas primeiras fiscalizações enfatizaram a necessidade de comprovação de medidas efetivas, não apenas declarações. Exigir cláusulas de transferência internacional em contratos nacionais não impressionará a autoridade; pelo contrário, poderá levantar dúvidas sobre a maturidade regulatória da organização.
O risco de enforcement seletivo é real. Quando tudo se torna "obrigatório" por excesso de zelo, abre-se espaço para interpretações divergentes. Alguns fiscais poderão entender que a ausência de cláusulas-padrão em contratos domésticos é irrelevante (e de fato é), enquanto outros, imbuídos de um zelo maximalista, poderão considerar a ausência como falha de governança. Essa incerteza gera insegurança jurídica, o que afasta investimentos e aumenta o custo de operação no país.
Nos Estados Unidos, a ausência de uma lei federal geral de proteção de dados sempre foi vista como fraqueza, mas há algo a aprender com a experiência americana: a ênfase no enforcement concreto. A Federal Trade Commission aplica sanções quando há falhas reais de segurança, enganos em políticas de privacidade ou práticas comerciais desleais. O foco está no impacto sobre consumidores, não no tamanho do contrato ou na quantidade de cláusulas-padrão. Essa pragmática deveria inspirar o Brasil. Em vez de exigir que empresas multipliquem anexos contratuais irrelevantes, a ANPD deveria priorizar investigações sobre fluxos efetivos de dados, data breaches e falhas de segurança. A obsessão pelo formalismo burocrático é herança da cultura cartorial brasileira, e não um mandamento da proteção de dados.
Essa expansão contratual desmedida não ficará restrita ao campo regulatório. Ela inevitavelmente se infiltrará no contencioso societário e contratual. Quando duas empresas incluem cláusulas-padrão desnecessárias em um contrato doméstico, criam-se obrigações artificiais que poderão ser judicializadas. Um fornecedor pode alegar que determinada obrigação não cumprida, embora sem relevância prática, constitui inadimplemento contratual. Juízes, acostumados a valorizar a literalidade das cláusulas, poderão acolher argumentos baseados em deveres autoimpostos. Há divergência na jurisprudência brasileira sobre a possibilidade de exigir o cumprimento de cláusulas manifestamente desproporcionais ou destituídas de causa prática. Parte da doutrina sustenta que a função social do contrato permitiria ao juiz relativizar tais disposições. Outra corrente defende que, se as partes assinaram, devem arcar com as consequências. Nesse contexto, inserir CPCs sem pertinência em contratos domésticos é brincar com fogo. A prática forense nos mostra que cláusulas ornamentais raramente permanecem inofensivas. Quando há litígio, tudo vira munição. A banalização do instrumento normativo, portanto, não é apenas desperdício de tempo: é risco jurídico concreto.
Na prática, as cláusulas-padrão da ANPD devem ser utilizadas exclusivamente quando houver transferência internacional de dados pessoais, ou seja, quando informações coletadas no Brasil forem efetivamente enviadas ou armazenadas em outro país sem decisão de adequação emitida pela autoridade. Um exemplo legítimo é a empresa brasileira que utiliza serviços de nuvem com datacenters situados nos Estados Unidos ou na Ásia: ainda que toda a operação seja doméstica, a localização física dos servidores caracteriza transferência internacional e exige salvaguardas adequadas. Outro caso típico é o de clínicas ou startups que compartilham dados sensíveis com equipes de processamento ou suporte técnico no exterior. Já os erros mais comuns envolvem a inclusão automática das cláusulas em contratos puramente nacionais — por exemplo, com provedores que armazenam dados em servidores no Brasil ou entre empresas brasileiras que nunca exportam informações pessoais. Nessas hipóteses, o aditivo não apenas é inútil, como cria obrigações artificiais e potenciais armadilhas em disputas contratuais. Em resumo: cláusulas-padrão são remédio para trânsito internacional de dados; usá-las fora desse contexto é receita para inflar contratos e esvaziar governança.
A adoção indiscriminada das CPCs em contratos nacionais também produz um efeito colateral pernicioso: o falso senso de segurança. Empresas acreditam estar blindadas porque assinaram "os papéis certos", quando, na realidade, continuam vulneráveis por não adotarem medidas técnicas e organizacionais adequadas. O fenômeno é análogo ao greenwashing em matéria ambiental: muito discurso, pouca prática. Assim como no mercado ESG, a proteção de dados corre o risco de se tornar um exercício retórico. Organizações declaram compromisso com a privacidade, mas terceirizam operações para provedores mal estruturados, não investem em criptografia, não auditam fluxos de dados e tampouco respondem adequadamente a incidentes. No papel, entretanto, o compliance parece impecável. Esse inchaço contratual reforça a patologia: contratos inflados funcionam como cortina de fumaça para encobrir fragilidades reais.
O antídoto para esse fenômeno não está em mais cláusulas, mas em governança sob medida. A verdadeira conformidade com a LGPD exige que empresas mapeiem fluxos de dados, avaliem riscos concretos, adotem salvaguardas proporcionais e documentem suas escolhas. As CPCs são apenas um dos instrumentos possíveis — úteis e necessários, mas restritos ao contexto para o qual foram criados: transferências internacionais. Se duas empresas brasileiras trocam dados dentro do território nacional, não há sentido em obrigá-las a adotar compromissos contratuais voltados a operações transfronteiriças. O que se exige é que cumpram os princípios da LGPD: finalidade, adequação, necessidade, segurança, prevenção, transparência, responsabilização e não discriminação. Essa governança deve ser traduzida em contratos de forma proporcional, sem importar modelos estrangeiros ou fórmulas prontas.
Estamos diante de mais um episódio do velho vício brasileiro: confundir burocracia com compliance, forma com substância, excesso com prudência. O inchaço das cláusulas-padrão aplicadas a contratos domésticos é apenas o sintoma mais recente de um mercado jurídico que, em vez de pensar criticamente, prefere replicar modelos. O resultado é previsível: contratos inchados, litígios desnecessários, custos adicionais e, ironicamente, maior vulnerabilidade regulatória. É hora de admitir que o verdadeiro luxo, em tempos de modismos regulatórios, é pensar criticamente. A ANPD não pediu para que contratos domésticos fossem preenchidos por cláusulas de transferência internacional. Quem fez isso foi o próprio mercado, por medo ou ignorância. Cabe agora aos profissionais do direito — advogados, pareceristas, magistrados — resistirem ao canto da sereia do formalismo e reafirmarem o óbvio: compliance não se mede pela quantidade de cláusulas, mas pela qualidade da governança. E se isso soa surpreendente, é porque no Brasil ainda estamos acostumados a acreditar que tudo se resolve com um carimbo. Mas carimbos não protegem dados. Nem salvam empresas de sanções. Só governança efetiva faz isso. E, enquanto não internalizarmos essa verdade elementar, continuaremos a inflar contratos de maneira contraproducente — da anticorrupção ao ESG, agora na privacidade. A diferença é que, desta vez, o prazo da ANPD está batendo à porta. E quem apostar no placebo contratual descobrirá, dolorosamente, que não há cláusula-padrão capaz de imunizar contra a realidade.
Lucia Regina P. Moioli é advogada, L.LM pela Cornell Law School e head da área de M&A do Chodraui & Hohl Advogados. ?
Ainda não há comentários.