LGPD e GDPR: como funciona a transferência de dados entre Brasil e Europa
Empresas brasileiras que usam serviços europeus de software, filiais de multinacionais europeias operando no Brasil, startups que enviam dados de usuários para servidores em Frankfurt ou Dublin — todas enfrentam a mesma questão: duas legislações de proteção de dados se aplicam simultaneamente, e cada uma tem suas próprias exigências para que a transferência seja legal.
A relação Brasil-Europa em matéria de dados é complexa precisamente porque ambos os lados têm regulamentação robusta. Entender como LGPD e GDPR interagem é essencial para qualquer organização que opere nos dois mercados.
O problema da dupla regulação
Quando dados pessoais de titulares brasileiros são enviados para a Europa — ou quando dados de titulares europeus são processados por empresas brasileiras — duas legislações incidem simultaneamente:
A LGPD exige que a transferência de dados pessoais de titulares brasileiros para o exterior seja respaldada por um dos mecanismos do Art. 33 (adequação, garantias contratuais, exceções específicas).
O GDPR (Regulamento Geral de Proteção de Dados da União Europeia) exige que qualquer exportação de dados pessoais de titulares europeus para países fora do EEE (Espaço Econômico Europeu) seja autorizada por um mecanismo do Capítulo V do GDPR (decisão de adequação, salvaguardas adequadas, ou exceções).
O resultado: uma empresa brasileira que importa dados de usuários europeus deve cumprir o GDPR mesmo estando sediada no Brasil — e o envio de dados brasileiros para servidores europeus deve cumprir a LGPD. Ambas as análises são necessárias e independentes.
Adequação mútua Brasil–UE: o que mudou em janeiro de 2026
A decisão de adequação é o mecanismo mais simples de transferência internacional: a autoridade reguladora declara que determinado país oferece um nível de proteção equivalente, permitindo transferências livres sem salvaguardas adicionais.
Em 26 de janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026, reconhecendo a União Europeia (27 Estados-membros + Islândia, Liechtenstein e Noruega — EEE) como território com nível adequado de proteção de dados pessoais. Simultaneamente, a Comissão Europeia reconheceu o Brasil como adequado. Essa adequação mútua transforma radicalmente o cenário de transferências transatlânticas:
- Transferências de dados de brasileiros para a UE/EEE passam a ser permitidas sem necessidade de SCCs ou outras salvaguardas adicionais (Art. 33, I da LGPD)
- Transferências de dados de europeus para o Brasil passam a ser permitidas sem necessidade de SCCs europeias (Art. 45 do GDPR)
O que a adequação mútua NÃO cobre
A decisão de adequação não se aplica a transferências para fins de segurança pública, defesa nacional, segurança do Estado ou investigação criminal. Para esses casos, os mecanismos específicos de cada legislação continuam sendo necessários.
A adequação também não elimina as demais obrigações da LGPD e do GDPR — a organização continua precisando de base legal, medidas de segurança, ROPA e todas as demais exigências de cada lei. A adequação simplifica apenas o mecanismo de transferência, não a conformidade como um todo.
O cenário antes da adequação (até janeiro de 2026)
Até a publicação da Resolução 32/2026, o cenário era significativamente mais complexo. A ANPD não havia declarado adequação para nenhum país, e a Comissão Europeia não havia reconhecido o Brasil como adequado. Todas as transferências Brasil-Europa dependiam de SCCs ou outros mecanismos contratuais. Países como Argentina, Japão, Coreia do Sul, Nova Zelândia, Reino Unido e Suíça já tinham adequação europeia — o Brasil agora integra esse grupo.
O acórdão Schrems II e suas consequências para o Brasil
Em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) proferiu o acórdão Schrems II — uma das decisões mais impactantes na história da proteção de dados global. O tribunal invalidou o mecanismo EU-EUA Privacy Shield e estabeleceu que as SCCs, por si sós, não são suficientes se a legislação do país de destino não oferecer proteção equivalente.
O que mudou com Schrems II
Antes de Schrems II: usar SCCs para transferir dados para os EUA era suficiente — bastava assinar o contrato.
Depois de Schrems II: quem usa SCCs deve realizar uma Transfer Impact Assessment (TIA) — análise do contexto legal do país de destino para verificar se as garantias contratuais podem ser cumpridas na prática. Se a legislação do país de destino permite acesso governamental irrestrito aos dados (como as leis de vigilância americanas, FISA 702 e EO 12333), medidas técnicas complementares (como criptografia com chaves sob controle do exportador) podem ser necessárias.
Impacto para empresas brasileiras
Para empresas brasileiras que importam dados de titulares europeus:
- Estão sujeitas ao GDPR (Art. 3° — aplicação extraterritorial quando tratam dados de residentes europeus)
- Devem garantir que o exportador europeu tenha respaldo legal para a transferência (SCCs, adequação ou outra salvaguarda)
- Devem estar preparadas para receber auditorias de seus parceiros europeus e cooperar com autoridades europeias
Para empresas brasileiras que exportam dados de titulares brasileiros para a Europa:
- A LGPD exige salvaguardas conforme o Art. 33
- Na prática, devem utilizar as cláusulas-padrão contratuais da ANPD (Art. 33, II, b — publicadas pela Resolução CD/ANPD nº 19/2024, obrigatórias desde agosto de 2025) ou cláusulas contratuais específicas (Art. 33, II, a)
- Mas como os países europeus têm proteção robusta, o risco regulatório dessa direção é menor
O EU-US Data Privacy Framework: referência para entender o cenário global
Em julho de 2023, a Comissão Europeia adotou a decisão de adequação para o EU-US Data Privacy Framework — o sucessor do Privacy Shield invalidado pelo Schrems II. O mecanismo permite que empresas americanas certificadas no DPF recebam dados de titulares europeus sem necessidade de SCCs.
O DPF é relevante para empresas brasileiras porque:
- Demonstra que decisões de adequação são politicamente possíveis — e que o Brasil pode aspirar a uma futura adequação
- Empresas brasileiras que também operam nos EUA precisam entender qual mecanismo seus parceiros americanos utilizam para importar dados europeus
Mecanismos disponíveis para a relação Brasil-Europa hoje
Na ausência de adequação mútua, as organizações dispõem de:
Para exportar dados de brasileiros para a Europa (LGPD)
| Mecanismo | Base legal | Situação atual |
|---|---|---|
| Decisão de adequação (países europeus) | Art. 33, I LGPD | Disponível — Resolução CD/ANPD nº 32/2026 reconhece UE/EEE como adequada |
| Cláusulas contratuais específicas | Art. 33, II, a LGPD | Disponível — mais utilizado atualmente |
| Normas corporativas globais (BCR) | Art. 33, II, c LGPD | Disponível para grupos multinacionais |
| SCCs brasileiras padrão | Art. 33, II, b LGPD | Disponível — publicadas pela Resolução CD/ANPD nº 19/2024 (ago/2024); obrigatórias desde ago/2025 |
| Exceção por consentimento | Art. 33, VIII LGPD | Disponível mas com limitações |
Para importar dados de europeus para o Brasil (GDPR)
| Mecanismo | Base legal | Situação atual |
|---|---|---|
| Decisão de adequação (Brasil) | Art. 45 GDPR | Disponível — Comissão Europeia reconheceu Brasil como adequado (jan/2026) |
| SCCs europeias (Decisão 2021/914) | Art. 46 GDPR | Principal mecanismo utilizado |
| Normas corporativas globais (BCR) | Art. 47 GDPR | Disponível para grupos multinacionais |
| Exceções específicas | Art. 49 GDPR | Disponível em situações específicas |
O que o DPO deve fazer na prática
1. Mapear todas as transferências Brasil-Europa
Identificar no inventário de dados quais fluxos cruzam o Atlântico — incluindo transferências "invisíveis" (servidores de SaaS europeus que processam dados de brasileiros, ou vice-versa).
2. Determinar o papel da empresa em cada transferência
A empresa é exportadora ou importadora? De que tipo de titulares (brasileiros ou europeus)? A análise regulatória é diferente para cada combinação.
3. Assegurar o instrumento correto para cada direção
Com a adequação mútua reconhecida em janeiro de 2026, transferências entre Brasil e UE/EEE podem ser realizadas sem mecanismos adicionais (Art. 33, I da LGPD e Art. 45 do GDPR). Para transferências com países fora da UE/EEE (como EUA, China, Índia), os mecanismos de SCCs e cláusulas contratuais continuam necessários.
4. Realizar a TIA para transferências com SCCs europeias
Para as SCCs europeias, conduzir a Transfer Impact Assessment considerando a legislação brasileira — e documentar a avaliação.
5. Adequar os contratos às SCCs brasileiras da ANPD
A Resolução CD/ANPD nº 19/2024 publicou as cláusulas-padrão contratuais brasileiras. O período de graça de 12 meses encerrou em agosto de 2025 — organizações com transferências internacionais devem verificar se seus contratos já incorporam as cláusulas aprovadas pela ANPD ou se precisam ser atualizados.
Conclusão: conformidade bilateral é o padrão mínimo
A transferência de dados entre Brasil e Europa não é unilateral — envolve obrigações simultâneas de dois ordenamentos jurídicos robustos. Organizações que operam nessa relação precisam manter conformidade com ambos: LGPD do lado brasileiro, GDPR do lado europeu, com instrumentos contratuais que satisfaçam as exigências de cada regulador.
Para o DPO que precisa entender o cenário completo de fiscalização da ANPD — incluindo prioridades regulatórias para transferências internacionais — o material mais atual está disponível no eBook de fiscalização.
Baixe o eBook "ANPD: O que esperar da fiscalização em 2026" e saiba como o regulador brasileiro está abordando transferências internacionais nas suas ações de fiscalização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.