Transferência Internacional de Dados sob a LGPD
“`html
A transferência internacional de dados pessoais é um dos temas mais sensíveis da Lei Geral de Proteção de Dados. Empresas que operam com fornecedores estrangeiros, plataformas em nuvem hospedadas fora do Brasil ou que simplesmente utilizam ferramentas digitais globais precisam entender as regras aplicáveis antes de qualquer fluxo transfronteiriço de informações.
O Que a LGPD Diz Sobre Transferências Internacionais
A Lei nº 13.709/2018 dedica o Capítulo V inteiramente ao tema da transferência internacional de dados pessoais. O artigo 33 é o ponto de partida essencial: a transferência de dados para países estrangeiros ou organismos internacionais só é permitida quando atendidas determinadas condições previstas expressamente na lei.
A premissa do legislador foi clara: o Brasil não pode simplesmente exportar dados de seus cidadãos para jurisdições que não ofereçam garantias equivalentes de proteção. Esse princípio, presente também no Regulamento Geral de Proteção de Dados europeu (GDPR), reconhece que a proteção de dados pessoais não termina na fronteira nacional.
Os fundamentos que autorizam a transferência internacional são alternativos, ou seja, basta que um deles esteja presente para que o fluxo seja lícito. Entre os principais, destacamos:
- País com grau de proteção adequado, reconhecido pela Autoridade Nacional de Proteção de Dados (ANPD) como equivalente ao brasileiro;
- Garantias suficientes de proteção fornecidas pelo receptor, por meio de cláusulas contratuais específicas, normas corporativas globais (BCR), selos ou certificados reconhecidos pela ANPD;
- Cooperação jurídica internacional, quando a transferência decorre de acordo internacional do qual o Brasil faz parte;
- Necessidade de execução de política pública ou serviço público;
- Consentimento específico do titular, dado de forma destacada, informada e com informação prévia sobre o caráter internacional da transferência;
- Necessidade para execução de contrato ou procedimentos preliminares contratuais a pedido do titular;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde, em procedimento realizado por profissional da área ou por entidade sanitária;
- Legítimo interesse, nos termos do artigo 10 da LGPD, observados os limites estabelecidos.
É fundamental que o controlador (a empresa ou pessoa que decide sobre o tratamento dos dados) documente qual fundamento está sendo utilizado antes de iniciar qualquer fluxo internacional. A ausência dessa documentação, por si só, já configura irregularidade perante a ANPD.
“Transferir dados pessoais para o exterior sem uma base legal adequada pode acarretar sanções que vão de advertências a multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração.”
Adequação de País e Garantias Contratuais: Como Funciona na Prática
A ANPD tem competência para publicar listas de países e organizações internacionais que oferecem grau de proteção adequado ao estabelecido na LGPD. Até o momento da elaboração deste artigo, a ANPD ainda se encontrava em processo de consolidação de sua estrutura regulatória sobre esse ponto específico, de modo que empresas não podem presumir automaticamente que determinado país estrangeiro é considerado “adequado” apenas por possuir legislação de proteção de dados.
Na prática, a solução mais utilizada pelas empresas que precisam transferir dados internacionalmente sem aguardar uma lista oficial de adequação é a adoção de cláusulas contratuais padrão. Esses instrumentos estabelecem obrigações específicas para o importador de dados no exterior, garantindo que ele se comprometa a tratar as informações com o mesmo nível de proteção exigido pela legislação brasileira.
Outro mecanismo relevante são as Binding Corporate Rules (BCR), ou normas corporativas globais vinculantes. Trata-se de políticas internas adotadas por grupos empresariais multinacionais que permitem o fluxo de dados entre suas entidades ao redor do mundo, desde que as regras sejam aprovadas pela autoridade competente. Para grupos que operam tanto na União Europeia quanto no Brasil, a harmonização entre as exigências do GDPR e da LGPD é um exercício constante de due diligence jurídica.
Convém destacar que a escolha do mecanismo mais adequado depende de variáveis como o volume de dados transferidos, a sensibilidade das informações, a natureza da relação entre as partes e a frequência das transferências. Uma empresa que utiliza um serviço de armazenamento em nuvem americano, por exemplo, enfrenta uma situação diferente daquela de um grupo empresarial que envia dados de seus funcionários brasileiros para uma matriz alemã.
Due Diligence em Transferências Internacionais: O Que Verificar
A expressão “due diligence de dados” designa o conjunto de verificações que devem ser realizadas antes, durante e após uma transferência internacional. Trata-se de um processo contínuo, não um evento isolado. A seguir, detalhamos as principais etapas que compõem uma due diligence adequada sob a perspectiva da LGPD.
Mapeamento dos Fluxos de Dados
O primeiro passo é identificar todos os dados pessoais que cruzam fronteiras. Isso inclui dados de clientes, colaboradores, parceiros comerciais e terceiros. É comum que as empresas descubram, nessa fase, transferências “invisíveis” que ocorrem automaticamente por meio de ferramentas de terceiros integradas aos seus sistemas, como plataformas de análise de marketing, ERPs, CRMs e ferramentas de videoconferência.
Classificação dos Dados Transferidos
A LGPD confere proteção especial às chamadas categorias sensíveis de dados, listadas no artigo 11. Entre elas estão dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico. Transferências internacionais que envolvam essas categorias exigem atenção redobrada, pois os fundamentos legais aplicáveis são mais restritos.
Avaliação do Marco Regulatório do País Destinatário
Mesmo que a ANPD ainda não tenha publicado uma lista oficial de países adequados, é prudente que as empresas realizem sua própria avaliação sobre o nível de proteção oferecido pelo ordenamento jurídico do país de destino. Essa avaliação deve considerar a existência de lei de proteção de dados, a presença de autoridade de supervisão independente, a possibilidade de o titular exercer seus direitos no exterior e o histórico de enforcement da legislação local.
Revisão de Contratos com Fornecedores
Uma das fontes mais frequentes de transferências internacionais não documentadas são os contratos com fornecedores de tecnologia. Cláusulas genéricas que permitem ao fornecedor “subcontratar serviços” ou “hospedar dados em qualquer localidade” podem significar, na prática, que dados pessoais de clientes brasileiros estão sendo processados em servidores localizados em países sem proteção equivalente. A revisão contratual é, portanto, parte indispensável da due diligence.
Aviso aos Titulares e Atualização de Políticas
O titular dos dados tem o direito de ser informado sobre a possibilidade de transferência internacional e sobre quais países ou organizações receberão suas informações. Esse direito decorre diretamente dos princípios da transparência e da finalidade estabelecidos no artigo 6º da LGPD. A política de privacidade da empresa deve, portanto, descrever com clareza se há fluxos internacionais, quais são os países destinatários e qual é o fundamento legal adotado.
Registro das Operações de Tratamento
O artigo 37 da LGPD determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais. No contexto das transferências internacionais, esse registro deve indicar: a categoria de dados transferidos, o país destinatário, a finalidade, o fundamento legal e as garantias adotadas. Esse documento é o principal instrumento de comprovação de conformidade perante a ANPD.
“Empresas que adotam uma postura proativa de documentação e transparência nas transferências internacionais tendem a enfrentar processos regulatórios mais ágeis e com menor risco de sanções, pois demonstram boa-fé e comprometimento com a proteção dos titulares.”
Principais Riscos e Como Mitigá-los
A ausência de conformidade nas transferências internacionais de dados expõe as organizações a riscos que vão muito além das multas administrativas. Do ponto de vista reputacional, a exposição de dados de clientes em jurisdições com baixo padrão de proteção pode gerar crises de confiança difíceis de reverter. Do ponto de vista contratual, contratos de grande porte com parceiros internacionais frequentemente exigem que a empresa brasileira comprove conformidade com a LGPD como condição para a manutenção do vínculo comercial.
Entre os riscos mais recorrentes identificados na prática jurídica, destacamos:
- Uso de provedores de nuvem sem cláusulas adequadas: muitas pequenas e médias empresas utilizam serviços de armazenamento em nuvem sem verificar se os contratos incluem garantias de proteção de dados compatíveis com a LGPD;
- Integrações com plataformas de marketing digital: ferramentas como pixels de rastreamento e plataformas de automação frequentemente enviam dados para servidores localizados fora do Brasil sem que o operador local tenha consciência disso;
- Transferência de dados de colaboradores para matrizes no exterior: grupos multinacionais que centralizam sistemas de RH em outras países precisam garantir que os dados dos trabalhadores brasileiros sejam tratados com as mesmas garantias exigidas pela legislação nacional;
- Falta de atualização dos contratos existentes: muitos contratos firmados antes da vigência plena da LGPD não incluem cláusulas de proteção de dados, o que cria uma lacuna de conformidade que pode ser explorada em eventual auditoria ou litígio.
A mitigação desses riscos passa invariavelmente por três ações concretas: mapeamento atualizado dos fluxos de dados, revisão e atualização contratual com fornecedores e parceiros, e treinamento das equipes responsáveis por contratos e tecnologia para que reconheçam quando uma operação envolve transferência internacional de dados.
Perguntas Frequentes sobre Transferência Internacional de Dados e LGPD
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “Usar um serviço de nuvem estrangeiro como Google Drive ou AWS já configura transferência internacional de dados?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sim. Sempre que dados pessoais de titulares brasileiros são armazenados ou processados em servidores localizados fora do Brasil, há transferência internacional para fins da LGPD. Isso inclui o uso de serviços populares como Google Drive, AWS, Microsoft Azure e similares. A boa notícia é que esses grandes fornecedores geralmente disponibilizam cláusulas contratuais específicas e relatórios de conformidade que podem servir como fundamento legal para a transferência. A empresa brasileira deve, porém, verificar se essas cláusulas foram efetivamente aceitas e documentadas.”
}
},
{
“@type”: “Question”,
“name”: “O consentimento do titular é suficiente para autorizar qualquer transferência internacional de dados?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “O consentimento pode ser utilizado como fundamento para a transferência internacional, mas com condições específicas. A LGPD exige que o consentimento seja fornecido de forma destacada, ou seja, não pode estar enterrado em um contrato extenso. O titular deve ser informado claramente sobre o caráter internacional da transferência e sobre quais países receberão seus dados. Além disso, o consentimento pode ser revogado a qualquer momento, o que tornaria a transferência ilícita a partir da revogação. Por essas razões, o consentimento não é a opção mais robusta para transferências recorrentes ou estruturais, sendo mais adequado como fundamento em situações pontuais.”
}
},
{
“@type”: “Question”,
“name”: “Quais são as sanções previstas pela LGPD em caso de transferência internacional sem base legal adequada?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “A ANPD pode aplicar uma série de sanções administrativas às organizações que realizarem transferências internacionais sem observar os requisitos da LGPD. As penalidades incluem: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da empresa no Brasil referente ao último exercício, limitada a R$ 50 milhões por infração; multa diária observado o mesmo limite; publicização da infração, o que pode gerar danos reputacionais significativos; bloqueio dos dados pessoais envolvidos; eliminação dos dados pessoais; e, nos casos mais graves, suspensão parcial do funcionamento do banco de dados. As sanções são graduadas conforme a gravidade e a boa-fé da organização, mas a ausência total de documentação tende a agravar o enquadramento.”
}
},
{
“@type”: “Question”,
“name”: “O que são Binding Corporate Rules (BCR) e quando fazem sentido para empresas no Brasil?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “As Binding Corporate Rules, ou normas corporativas globais vinculantes, são políticas internas adotadas por grupos empresariais multinacionais para regular o fluxo de dados pessoais entre suas entidades em diferentes países. Elas estabelecem um padrão uniforme de proteção que se aplica a todas as filiais e subsidiárias do grupo, independentemente de onde estejam localizadas. Para empresas brasileiras que fazem parte de grupos multinacionais, as BCR podem ser um mecanismo eficiente para legitimizar as transferências intragrupo, evitando a necessidade de celebrar contratos bilaterais com cada entidade. No entanto, a implementação de BCR exige aprovação prévia da autoridade de proteção de dados competente, o que representa um processo mais longo e custoso. Para empresas de médio porte que não integram grandes grupos, as cláusulas contratuais padrão tendem a ser a alternativa mais prática.”
}
},
{
“@type”: “Question”,
“name”: “Empresas que recebem dados de clientes europeus também precisam cumprir o GDPR além da LGPD?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sim. O GDPR possui aplicação extraterritorial: se uma empresa brasileira oferta bens ou serviços a titulares localizados na União Europeia, ou monitora o comportamento de pessoas na UE, está sujeita às obrigações do regulamento europeu, independentemente de onde esteja estabelecida. Isso significa que, na prática, empresas brasileiras com operações voltadas ao mercado europeu precisam observar simultaneamente as exigências da LGPD e do GDPR. Embora as duas legislações compartilhem princípios semelhantes, há diferenças importantes em aspectos como os fundamentos legais disponíveis, os requisitos para o consentimento e os prazos para comunicação de incidentes. Uma estratégia de conformidade integrada é, portanto, a abordagem mais eficiente para empresas que operam nos dois ambientes regulatórios.”
}
}
]
}
Usar um serviço de nuvem estrangeiro como Google Drive ou AWS já configura transferência internacional de dados?
Sim. Sempre que dados pessoais de titulares brasileiros são armazenados ou processados em servidores localizados fora do Brasil, há transferência internacional para fins da LGPD. Isso inclui o uso de serviços populares como Google Drive, AWS, Microsoft Azure e similares. A boa notícia é que esses grandes fornecedores geralmente disponibilizam cláusulas contratuais específicas e relatórios de conformidade que podem servir como fundamento legal para a transferência. A empresa brasileira deve, porém, verificar se essas cláusulas foram efetivamente aceitas e documentadas.
O consentimento do titular é suficiente para autorizar qualquer transferência internacional de dados?
O consentimento pode ser utilizado como fundamento para a transferência internacional, mas com condições específicas. A LGPD exige que o consentimento seja fornecido de forma destacada, não podendo estar enterrado em um contrato extenso. O titular deve ser informado claramente sobre o caráter internacional da transferência e sobre quais países receberão seus dados. Além disso, o consentimento pode ser revogado a qualquer momento, o que tornaria a transferência ilícita a partir da revogação. Por essas razões, o consentimento não é a opção mais robusta para transferências recorrentes ou estruturais, sendo mais adequado como fundamento em situações pontuais.
Quais são as sanções previstas pela LGPD em caso de transferência internacional sem base legal adequada?
A ANPD pode aplicar uma série de sanções administrativas às organizações que realizarem transferências internacionais sem observar os requisitos da LGPD. As penalidades incluem advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da empresa no Brasil referente ao último exercício, limitada a R$ 50 milhões por infração; multa diária observado o mesmo limite; publicização da infração; bloqueio ou eliminação dos dados pessoais envolvidos; e, nos casos mais graves, suspensão parcial do funcionamento do banco de dados. As sanções são graduadas conforme a gravidade e a boa-fé da organização.
O que são Binding Corporate Rules (BCR) e quando fazem sentido para empresas no Brasil?
As Binding Corporate Rules são políticas internas adotadas por grupos empresariais multinacionais para regular o fluxo de dados pessoais entre suas entidades em diferentes países. Elas estabelecem um padrão uniforme de proteção aplicável a todas as filiais e subsidiárias do grupo, independentemente de onde estejam localizadas. Para empresas brasileiras que fazem parte de grupos multinacionais, as BCR podem ser um mecanismo eficiente para legitimar as transferências intragrupo. No entanto, a implementação exige aprovação prévia da autoridade de proteção de dados competente. Para empresas de médio porte que não integram grandes grupos, as cláusulas contratuais padrão tendem a ser a alternativa mais prática.
Empresas que recebem dados de clientes europeus também precisam cumprir o GDPR além da LGPD?
Sim. O GDPR possui aplicação extraterritorial: se uma empresa brasileira oferta bens ou serviços a titulares localizados na União Europeia, ou monitora o comportamento de pessoas na UE, está sujeita às obrigações do regulamento europeu, independentemente de onde esteja estabelecida. Isso significa que empresas brasileiras com operações voltadas ao mercado europeu precisam observar simultaneamente as exigências da LGPD e do GDPR. Embora as duas legislações compartilhem princípios semelhantes, há diferenças importantes em aspectos como os fundamentos legais disponíveis, os requisitos para o consentimento e os prazos para comunicação de incidentes.
Este artigo tem caráter exclusivamente informativo e educacional, não constituindo aconselhamento jurídico específico para qualquer situação concreta. As regras sobre transferência internacional de dados pessoais encontram-se em constante evolução regulatória, especialmente em razão da atuação da ANPD. Recomendamos consultar um advogado especializado em proteção de dados para avaliar os fluxos internacionais específicos da sua organização e definir a estratégia de conformidade mais adequada.
“`
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.