Transferência Internacional de Dados: 9 Hipóteses da LGPD
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Quando uma empresa brasileira armazena dados pessoais em um servidor da AWS na Virgínia, quando um hospital envia prontuários para um centro de pesquisa na Alemanha, quando um e-commerce brasileiro usa uma plataforma de CRM sediada nos Estados Unidos — em todos esses casos, está ocorrendo uma transferência internacional de dados pessoais. E a LGPD tem regras específicas para cada um deles.
Os Arts. 33 e 34 da LGPD compõem o núcleo do Capítulo V (Da Transferência Internacional de Dados), definindo as hipóteses em que a transferência é permitida e os critérios para que um país ou organismo internacional seja reconhecido como dotado de nível adequado de proteção. Em agosto de 2024, a ANPD finalmente regulamentou esses artigos com a Resolução CD/ANPD nº 19/2024 — e em janeiro de 2026, a decisão de adequação mútua entre Brasil e União Europeia transformou radicalmente o cenário das transferências transatlânticas.
Art. 33 — As nove hipóteses de transferência internacional
"Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei."
Análise das hipóteses
As nove hipóteses do Art. 33 podem ser agrupadas em três categorias lógicas:
Mecanismos institucionais (incisos I, II e V)
Inciso I — Países com nível adequado de proteção. É o mecanismo mais abrangente e seguro. Se a ANPD reconhece que um país ou organismo internacional oferece proteção adequada, os dados podem fluir sem necessidade de garantias adicionais caso a caso.
Em janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026, reconhecendo a União Europeia como organismo internacional com nível adequado de proteção. Reciprocamente, em 26 de janeiro de 2026, a Comissão Europeia reconheceu o Brasil como país com nível adequado sob o GDPR. Essa decisão de adequação mútua — a primeira da ANPD — abrange todos os Estados-membros da UE, além da Islândia, Liechtenstein e Noruega (Espaço Econômico Europeu), e as instituições, órgãos e agências da UE.
Na prática, a adequação mútua Brasil-UE elimina a necessidade de cláusulas contratuais padrão ou outros mecanismos de garantia para transferências entre os dois blocos. É uma simplificação significativa para empresas que operam nos dois mercados, formando a maior área de fluxo seguro de dados do mundo — cerca de 700 milhões de pessoas.
Inciso II — Garantias contratuais e corporativas. Quando não há decisão de adequação para o país de destino, o controlador pode recorrer a mecanismos contratuais:
| Mecanismo | Uso típico | Regulamentação |
|---|---|---|
| Cláusulas contratuais específicas | Transferências pontuais ou atípicas | Aprovação pela ANPD |
| Cláusulas-padrão contratuais | Transferências recorrentes com fornecedores | Anexo II da Resolução nº 19/2024 |
| Normas corporativas globais (BCRs) | Transferências intragrupo econômico | Aprovação pela ANPD |
| Selos, certificados e códigos de conduta | Ainda sem regulamentação específica | Pendente |
A Resolução CD/ANPD nº 19/2024 detalhou esses mecanismos e introduziu as cláusulas-padrão contratuais brasileiras, que devem ser incorporadas aos contratos sem modificações. O prazo para adoção é de 12 meses a partir da publicação da Resolução (agosto de 2024).
Inciso V — Autorização específica da ANPD. A ANPD pode, caso a caso, autorizar transferências que não se enquadrem nas demais hipóteses. É um mecanismo residual, pouco utilizado na prática.
Hipóteses de exceção (incisos III, IV, VI, VII e IX)
Essas hipóteses dispensam garantias contratuais porque respondem a necessidades públicas ou emergenciais:
Inciso III — Cooperação jurídica internacional. Abrange transferências entre órgãos de inteligência, investigação e persecução penal, de acordo com instrumentos de direito internacional (como tratados de assistência jurídica mútua — MLATs). Não se aplica a transferências comerciais.
Inciso IV — Proteção da vida ou incolumidade física. Hipótese emergencial — por exemplo, transferir dados médicos de um paciente brasileiro para um hospital no exterior em caso de emergência.
Inciso VI — Acordo de cooperação internacional. Quando o Brasil, por meio de tratado ou acordo, se compromete a compartilhar dados com outro país para finalidade específica.
Inciso VII — Execução de política pública ou atribuição legal. Exclusivo para o poder público, com obrigação de publicidade nos termos do Art. 23.
Inciso IX — Bases legais do Art. 7, II, V e VI. Permite transferências necessárias para cumprimento de obrigação legal ou regulatória (Art. 7, II), execução de contrato ou procedimentos preliminares (Art. 7, V) e exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 7, VI).
Consentimento (inciso VIII)
Inciso VIII — Consentimento específico e em destaque. O titular pode consentir com a transferência, mas os requisitos são rigorosos:
- Consentimento específico para a transferência (não genérico)
- Em destaque — separado de outras cláusulas
- Com informação prévia sobre o caráter internacional da operação
- Distinguindo claramente a transferência de outras finalidades
Na prática, poucos controladores conseguem manter a validade desse consentimento ao longo do tempo, especialmente em transferências recorrentes. É uma base legítima, mas operacionalmente frágil — como todo consentimento na LGPD.
Art. 34 — O que define o "nível adequado" de proteção
"Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV - a adoção de medidas de segurança previstas em regulamento;
V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência."
Critérios de avaliação
O Art. 34 estabelece um teste de equivalência funcional: a ANPD não exige que o país de destino tenha legislação idêntica à LGPD, mas que ofereça proteção equivalente nos seguintes aspectos:
I — Legislação vigente. O país deve ter normas gerais ou setoriais que regulem a proteção de dados pessoais. Não precisa ser uma lei omnibus como a LGPD — regulamentação setorial pode ser suficiente, desde que cubra de forma adequada os dados transferidos.
II — Natureza dos dados. A avaliação pode variar conforme os tipos de dados envolvidos. Transferência de dados sensíveis para um país sem proteção reforçada para essas categorias pode ser reprovada, mesmo que dados ordinários tenham proteção aceitável.
III — Princípios e direitos equivalentes. O país deve observar princípios análogos aos do Art. 6 da LGPD (finalidade, necessidade, transparência, segurança, entre outros) e garantir direitos equivalentes aos do Art. 18 (acesso, correção, eliminação, portabilidade).
IV — Medidas de segurança. O país deve ter regulamentação que exija medidas técnicas e administrativas de proteção, análogas às do Art. 46 da LGPD.
V — Garantias judiciais e institucionais. Existência de autoridade de proteção de dados independente, mecanismos de reclamação e acesso à tutela jurisdicional por parte dos titulares.
VI — Outras circunstâncias. Cláusula aberta que permite à ANPD considerar fatores como: estado de direito no país, existência de programas de vigilância governamental (como foi central na decisão Schrems II do TJUE) e histórico de conformidade.
A decisão de adequação Brasil-UE como referência
A Resolução CD/ANPD nº 32/2026 ilustra como esses critérios são aplicados na prática. A ANPD avaliou o GDPR, a rede de autoridades de proteção de dados europeias (EDPB), a jurisprudência do Tribunal de Justiça da UE e os mecanismos de tutela disponíveis aos titulares, concluindo que a UE oferece nível adequado.
Do lado europeu, a Comissão avaliou a LGPD, a estrutura da ANPD (agora autarquia de natureza especial), o sistema judicial brasileiro e os mecanismos de controle — e concluiu que o Brasil oferece proteção equivalente.
Essa decisão mútua, reavaliável em 4 anos, será o modelo para futuras avaliações de adequação com outros países.
A Resolução CD/ANPD nº 19/2024: o regulamento de transferência internacional
Em 23 de agosto de 2024, a ANPD publicou a Resolução CD/ANPD nº 19/2024, que regulamenta de forma abrangente os Arts. 33 a 36 da LGPD. Os principais pontos:
Cláusulas-padrão contratuais
A Resolução define cláusulas-padrão (Anexo II) que devem ser incorporadas sem modificação aos contratos entre exportador e importador de dados. São equivalentes funcionais das Standard Contractual Clauses (SCCs) da Comissão Europeia.
As cláusulas cobrem:
- Obrigações do exportador e do importador
- Direitos dos titulares
- Medidas de segurança exigidas
- Procedimentos para subcontratação (sub-operadores)
- Mecanismos de resolução de conflitos
- Cooperação com a ANPD
Cláusulas contratuais equivalentes
Para quem já adota SCCs europeias ou mecanismos similares de outras jurisdições, a Resolução prevê o reconhecimento de cláusulas equivalentes — desde que ofereçam nível de proteção compatível com as cláusulas-padrão brasileiras.
Normas corporativas globais (BCRs)
Para transferências dentro de um mesmo grupo econômico, a Resolução regulamenta as normas corporativas globais (Binding Corporate Rules). Exigem aprovação prévia da ANPD e devem contemplar todas as entidades do grupo que participam do fluxo de dados.
Decisões de adequação
O regulamento define o procedimento para avaliação de adequação de países e organismos internacionais, incluindo: instauração de processo, critérios de avaliação (conforme Art. 34), consulta pública, decisão do Conselho Diretor e reavaliação periódica.
Comparação com o GDPR
| Aspecto | LGPD (Arts. 33-34) | GDPR (Arts. 44-49) |
|---|---|---|
| Hipóteses de transferência | 9 hipóteses (Art. 33) | 6 mecanismos principais + derrogações (Arts. 45-49) |
| Decisões de adequação | Art. 34 (avaliação pela ANPD) | Art. 45 (avaliação pela Comissão Europeia) |
| Cláusulas-padrão | Resolução nº 19/2024, Anexo II | SCCs da Comissão Europeia (2021) |
| BCRs | Regulamentadas pela Resolução nº 19/2024 | Art. 47 do GDPR |
| Consentimento | Inciso VIII — específico e em destaque | Art. 49(1)(a) — explícito, informado sobre riscos |
| Adequação mútua | Brasil-UE (jan/2026) | 18 jurisdições reconhecidas (incluindo Brasil desde jan/2026) |
A principal diferença filosófica: o GDPR parte da proibição geral de transferência para fora do EEE, com exceções taxativas. A LGPD adota estrutura similar, mas com elenco mais extenso de hipóteses, incluindo bases legais do Art. 7 como fundamento autônomo para transferência (inciso IX) — algo que o GDPR não prevê.
Cloud computing e a questão da localização de dados
A transferência internacional de dados é uma realidade incontornável para qualquer organização que utilize serviços de computação em nuvem. Quando uma empresa brasileira contrata AWS, Google Cloud ou Azure, os dados podem ser processados em data centers localizados em múltiplos países.
Quando há transferência internacional?
Há transferência internacional quando dados pessoais são armazenados, processados ou acessados em servidores localizados fora do território brasileiro — mesmo que o controlador seja uma empresa brasileira e os titulares sejam brasileiros.
Exemplos de transferência internacional na prática:
- Dados armazenados em bucket S3 na região us-east-1 (Virgínia)
- Backup replicado automaticamente para data center em Dublin
- Equipe de suporte do fornecedor acessando dados a partir de escritório na Índia
- Ferramenta de analytics com processamento nos EUA
- Plataforma de e-mail marketing com servidores na Europa
Estratégias de conformidade
1. Escolher região de data center no Brasil. AWS, Google Cloud e Azure oferecem regiões em São Paulo. Quando possível, configurar o armazenamento e processamento primário no Brasil reduz a exposição à regulamentação de transferência internacional.
2. Para dados que inevitavelmente saem do país, adotar as cláusulas-padrão contratuais da Resolução nº 19/2024. A maioria dos grandes provedores de cloud já incorpora cláusulas equivalentes em seus DPAs (Data Processing Agreements).
3. Para transferências para a UE/EEE, a decisão de adequação mútua (Resolução nº 32/2026) elimina a necessidade de cláusulas contratuais — mas a empresa deve documentar que a transferência se enquadra nessa hipótese.
4. Para transferências para países sem decisão de adequação (EUA, China, Índia, entre outros), as cláusulas-padrão contratuais ou normas corporativas globais são os mecanismos adequados.
Erros comuns em transferências internacionais
| Erro | Risco | Correção |
|---|---|---|
| Ignorar que cloud = transferência internacional | Tratamento sem base legal para a transferência | Mapear localização de todos os data centers e aplicar mecanismo adequado |
| Usar consentimento genérico para transferência internacional | Consentimento inválido (falta especificidade e destaque) | Consentimento específico, em destaque, com informação sobre caráter internacional |
| Não incluir cláusulas-padrão em DPAs com fornecedores estrangeiros | Transferência sem garantia contratual adequada | Incorporar Anexo II da Resolução nº 19/2024 aos contratos |
| Assumir que qualquer país europeu é "adequado" sem verificar | Até 2026, não havia decisão formal de adequação | Desde jan/2026, UE/EEE é formalmente adequada; para demais países europeus fora da UE, verificar individualmente |
| Não documentar a base legal da transferência no ROPA | Incapacidade de demonstrar conformidade em fiscalização | Registrar no inventário de dados o mecanismo utilizado para cada transferência |
Conclusão
Os Arts. 33 e 34 constroem o framework brasileiro para transferência internacional de dados — um tema que, em 2024 e 2025, saiu do campo teórico para o operacional. A Resolução CD/ANPD nº 19/2024 regulamentou os mecanismos contratuais, e a decisão de adequação mútua Brasil-UE (Resolução nº 32/2026) eliminou barreiras para transferências com o maior bloco econômico do mundo.
Para DPOs e profissionais de compliance, o cenário agora é mais claro, mas não mais simples. Cada transferência internacional deve estar mapeada no inventário de dados, com o mecanismo legal correspondente documentado. A era do "dados na nuvem, não sei onde" acabou: a LGPD exige rastreabilidade, e a ANPD tem instrumentos para exigi-la.
A Confidata permite mapear transferências internacionais de dados diretamente no inventário de atividades de tratamento, com indicação automática do mecanismo legal aplicável — cláusulas-padrão, adequação, consentimento ou outra hipótese do Art. 33. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.