Adequação, garantias e exceções: os 3 mecanismos de transferência internacional na LGPD

A LGPD não proíbe a transferência internacional de dados pessoais — mas exige que ela ocorra dentro de um framework legal estruturado. O Art. 33 da lei organiza os mecanismos permitidos em três grandes grupos: adequação, garantias e exceções. Cada um tem características, requisitos e níveis de proteção diferentes.

Entender qual mecanismo se aplica a cada situação é a tarefa central da gestão de transferências internacionais. Este artigo desconstrói os três mecanismos, compara com o GDPR europeu e oferece um roteiro prático para a decisão.

A lógica do Art. 33 da LGPD

O Art. 33 da LGPD estabelece que a transferência internacional de dados pessoais "somente é permitida" nos casos que especifica. Essa formulação — "somente é permitida" — é importante: a transferência internacional sem um desses fundamentos é ilícita, mesmo que o país de destino tenha boas leis.

Os casos do Art. 33 podem ser agrupados em três categorias:

1. Adequação: o país ou organização de destino oferece proteção equivalente à LGPD, reconhecida pela ANPD
2. Garantias: o controlador oferece mecanismos contratuais ou corporativos que suprem a ausência de adequação
3. Exceções: casos específicos em que a transferência é permitida mesmo sem adequação ou garantias formais

Mecanismo 1: Adequação

A decisão de adequação é o mecanismo mais simples e robusto: a ANPD declara que determinado país, território ou organização internacional oferece um grau de proteção de dados adequado ao da LGPD. Uma vez declarada a adequação, a transferência de dados para aquele destino não requer medidas adicionais — é tratada como transferência doméstica para fins de conformidade.

Critérios para a decisão de adequação

A ANPD avalia fatores como:

• A existência de legislação de proteção de dados no país de destino e seu nível de proteção
• A independência e efetividade da autoridade regulatória de proteção de dados
• As obrigações internacionais do país (tratados de direitos humanos, acordos de cooperação)
• O respeito ao estado de direito e às garantias individuais
• As regras específicas aplicáveis a transferências de dados para terceiros países

A Resolução CD/ANPD nº 19/2024 estabeleceu formalmente esses critérios, criando o framework para que avaliações de adequação sejam conduzidas.

Situação atual: primeira decisão de adequação emitida pela ANPD

Em janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026, reconhecendo a União Europeia (27 Estados-membros + Islândia, Liechtenstein e Noruega — EEE) como território com nível adequado de proteção de dados pessoais. A decisão é recíproca: a Comissão Europeia igualmente reconheceu o Brasil como adequado. Com isso, transferências de dados pessoais entre Brasil e UE/EEE podem ocorrer sem necessidade de mecanismos adicionais (Art. 33, I da LGPD).

Para transferências para países fora da UE/EEE que ainda não possuem decisão de adequação da ANPD — como Estados Unidos, China e a maioria dos demais países —, as organizações continuam precisando de outro mecanismo (garantias contratuais ou exceções).

Comparação com o GDPR: a Comissão Europeia tem decisões de adequação para mais de 15 países e territórios, incluindo Argentina, Japão, Coreia do Sul, Reino Unido (pós-Brexit) e, desde janeiro de 2026, o Brasil.

Mecanismo 2: Garantias

Na ausência de adequação, o controlador pode realizar a transferência se oferecer e comprovar garantias de que os dados serão protegidos nos padrões da LGPD. O Art. 33, II lista os instrumentos aceitos como garantias:

a) Cláusulas contratuais específicas

Contratos negociados diretamente entre as partes que incorporam os princípios e obrigações da LGPD. São personalizadas para cada relação específica e devem cobrir:

• A finalidade do tratamento no país de destino
• As medidas de segurança adotadas
• Os direitos dos titulares e como serão exercidos
• Obrigações de notificação em caso de incidente
• O retorno ou destruição dos dados ao término

É o mecanismo mais flexível e, até a publicação da Resolução CD/ANPD nº 19/2024, era o principal mecanismo disponível. Com as cláusulas-padrão já publicadas, as cláusulas específicas permanecem relevantes para situações que demandam adaptação personalizada além do modelo padrão.

b) Cláusulas-padrão contratuais (SCCs)

Texto pré-aprovado pela ANPD que as partes podem utilizar sem negociação do conteúdo substantivo. A vantagem é a segurança jurídica — o texto já foi analisado e aprovado pela autoridade regulatória.

Situação atual: a ANPD publicou as SCCs brasileiras por meio da Resolução CD/ANPD nº 19/2024 (23 de agosto de 2024). A resolução regulamentou os Arts. 33 a 36 da LGPD e estabeleceu as cláusulas-padrão contratuais que organizações devem incorporar aos seus contratos de transferência internacional. O período de graça de 12 meses encerrou em agosto de 2025, tornando sua adoção obrigatória para transferências que se baseiem nesse mecanismo.

c) Normas corporativas globais (BCRs — Binding Corporate Rules)

Política interna de proteção de dados aprovada por uma autoridade regulatória, que se aplica a todas as entidades de um grupo empresarial multinacional. Permite transferências dentro do grupo sem necessidade de contratos individuais para cada transferência.

As BCRs são o mecanismo mais sofisticado e adequado para grandes grupos multinacionais — mas o processo de aprovação é complexo e demorado. No contexto europeu, a aprovação é feita pela autoridade-líder do grupo, com participação do EDPB.

Para o Brasil: grupos com BCRs aprovadas por uma autoridade europeia podem usar esse instrumento como base para transferências envolvendo dados de brasileiros, argumentando que o nível de proteção é comparável ao exigido pela LGPD.

d) Selos, certificados e códigos de conduta

Mecanismos de certificação emitidos regularmente que comprovam conformidade com padrões de proteção de dados. No contexto do GDPR, há trabalho em desenvolvimento para certificações setoriais (como para transferências em nuvem). A ANPD ainda não regulamentou certificações específicas para transferências internacionais.

e) Cooperação jurídica internacional (caso especial)

O Art. 33, III permite transferências necessárias para cooperação jurídica internacional entre órgãos públicos — fora do escopo das garantias privadas.

Comparação com o GDPR — Art. 46: o GDPR tem estrutura análoga de garantias, incluindo SCCs (mais consolidadas), BCRs (mais desenvolvidas) e instrumentos específicos para contratos de natureza pública. A base europeia é mais madura por ter sido implementada desde 2018.

Mecanismo 3: Exceções

As exceções do Art. 33 permitem transferências mesmo sem adequação ou garantias formais, em situações específicas onde outros interesses legitimam a transferência. São análogas às derrogatórias do Art. 49 do GDPR.

Consentimento específico e informado (Art. 33, VIII)

O titular pode consentir com a transferência internacional, desde que:

• O consentimento seja específico e destacado
• O titular tenha sido informado previamente sobre o caráter internacional da operação
• A finalidade da transferência esteja claramente indicada

Limitação importante: o consentimento como base para transferência internacional tem limitações práticas. Para transferências contínuas e sistemáticas (como o uso de plataformas SaaS), o consentimento individual não é viável como mecanismo principal. É mais adequado para situações pontuais (ex.: serviço específico de telemedicina com parceiro no exterior solicitado pelo próprio titular).

Necessidade de execução de contrato (Art. 33, IX — remissão ao Art. 7°, V)

Quando a transferência for necessária para a execução de contrato do qual o titular é parte ou para procedimentos preliminares a pedido do titular. Exemplo: reserva de hotel no exterior feita pelo próprio titular — os dados precisam ser transferidos para o parceiro estrangeiro para viabilizar a reserva.

Proteção da vida ou incolumidade física (Art. 33, IV)

Transferência necessária para proteger a vida ou a segurança física do titular ou de terceiro. Exemplo: paciente em viagem internacional que precisa que seus dados médicos sejam compartilhados com hospital estrangeiro em situação de emergência.

Exercício de direitos em processo judicial, administrativo ou arbitral (Art. 33, V — remissão ao Art. 7°, VI)

Quando a transferência for necessária para o exercício de direitos em processo judicial, administrativo ou de arbitragem.

Interesse público (Art. 33 — remissão ao Art. 7°, III)

Para tratamentos indispensáveis ao cumprimento de obrigação legal ou regulatória pelo controlador, ou para execução de políticas públicas.

Atenção: as exceções do Art. 33 devem ser interpretadas restritivamente — são exceções, não cláusulas abertas. O uso de exceções como mecanismo padrão para transferências sistemáticas é inadequado e vulnerável em fiscalização.

Comparação com o GDPR — Art. 49: estrutura similar, mas o GDPR é mais explícito em restringir as derrogatórias a situações "não repetitivas" e que envolvam "apenas um número limitado de pessoas". O Comitê Europeu de Proteção de Dados (EDPB) publicou orientações (Diretrizes 2/2018) enfatizando que as exceções não podem ser usadas como mecanismo sistemático.

Árvore de decisão: qual mecanismo usar?

Há decisão de adequação da ANPD para o país de destino?
├── SIM → Transferência livre (mecanismo: adequação)
└── NÃO → Prosseguir

O controlador pode oferecer garantias contratuais/corporativas?
├── SIM, via cláusulas contratuais específicas → Art. 33, II, a
├── SIM, via SCCs brasileiras (quando disponíveis) → Art. 33, II, b
├── SIM, via BCRs do grupo → Art. 33, II, c
└── NÃO → Prosseguir

A transferência se enquadra em alguma exceção do Art. 33?
├── Consentimento específico do titular → Art. 33, VIII
├── Execução de contrato do titular → Art. 33, IX + Art. 7°, V
├── Proteção da vida → Art. 33, IV
├── Exercício de direito em processo → Art. 33, V
└── NÃO → Transferência não autorizada pela LGPD

O papel da ANPD no desenvolvimento desses mecanismos

A ANPD tem papel central na maturação do sistema de transferências internacionais no Brasil:

• Decisões de adequação: a Resolução CD/ANPD nº 19/2024 criou o framework — as primeiras avaliações de países ainda não foram concluídas
• SCCs brasileiras: publicadas pela Resolução CD/ANPD nº 19/2024 — obrigatórias desde agosto de 2025 para transferências que utilizem esse mecanismo
• Regulamentação de BCRs: a Resolução CD/ANPD nº 19/2024 também estabeleceu o procedimento para aprovação de normas corporativas globais pela ANPD
• Certificações: ainda em desenvolvimento

Conclusão: o mecanismo certo para cada situação

A escolha do mecanismo de transferência internacional não é apenas técnica — é estratégica. Transferências sistemáticas e de alto volume pedem garantias robustas (SCCs ou BCRs). Situações pontuais podem se enquadrar em exceções. A escolha errada expõe a organização a riscos regulatórios e contratuais significativos.

Este artigo é especialmente relevante para o DPO que precisa estruturar o programa de transferências internacionais e entender como a ANPD está abordando esse tema na fiscalização.

Baixe o eBook "ANPD: O que esperar da fiscalização em 2026" e saiba quais aspectos das transferências internacionais estão no radar da autoridade regulatória brasileira.