Transferência Internacional de Dados Pessoais — Atualização ANPD 2026
A transferência internacional de dados pessoais era, até agosto de 2024, o maior vazio regulatório da LGPD. O Art. 33 listava as hipóteses autorizadas, mas faltava o "como": quais cláusulas contratuais usar, como funciona uma decisão de adequação, o que são normas corporativas globais na prática. A Resolução CD/ANPD nº 19/2024 preencheu essa lacuna. E em janeiro de 2026, a Resolução nº 32/2026 trouxe o marco mais significativo até agora: a decisão de adequação recíproca entre Brasil e União Europeia.
Este guia consolida tudo o que mudou e o que organizações precisam fazer para estar em conformidade em 2026.
O que é transferência internacional de dados
Transferência internacional de dados pessoais é o envio de dados pessoais para país estrangeiro ou organismo internacional. O conceito é mais amplo do que parece — praticamente toda empresa que usa serviços de cloud computing, SaaS ou plataformas internacionais realiza transferência internacional.
Exemplos comuns que constituem transferência internacional
| Situação | Transferência? | Por quê |
|---|---|---|
| Dados armazenados na AWS (região São Paulo) | Depende | Se os dados ficam no Brasil, não. Se há replicação para região no exterior, sim |
| E-mail corporativo no Google Workspace | Sim | Servidores do Google podem estar em múltiplos países |
| CRM no Salesforce ou HubSpot | Sim | Dados processados em servidores nos EUA |
| Slack, Zoom, Microsoft Teams | Sim | Dados de comunicação processados no exterior |
| Filial no exterior acessando banco de dados no Brasil | Sim | Acesso remoto por entidade em outro país |
| E-commerce vendendo para cliente no exterior | Não necessariamente | A coleta direta de dados de estrangeiros não é transferência (é tratamento local) |
O Art. 33 da LGPD: as hipóteses autorizadas
O Art. 33 da LGPD lista as hipóteses em que a transferência internacional é permitida:
- Países ou organismos com nível adequado de proteção (Art. 33, I) — decisão de adequação pela ANPD
- Garantias oferecidas pelo controlador (Art. 33, II) — cláusulas contratuais padrão, cláusulas específicas, normas corporativas globais, selos/certificações/códigos de conduta
- Cooperação jurídica internacional (Art. 33, III) — entre órgãos de inteligência, investigação e persecução
- Proteção da vida ou da incolumidade física (Art. 33, IV)
- Autorização pela ANPD (Art. 33, V)
- Compromisso em acordo de cooperação internacional (Art. 33, VI)
- Execução de política pública (Art. 33, VII)
- Consentimento específico e em destaque (Art. 33, VIII)
- Cumprimento de obrigação legal ou regulatória (Art. 33, IX)
- Execução de contrato ou procedimentos preliminares (Art. 33, X) — quando a pedido do titular
- Exercício regular de direitos (Art. 33, XI) — em processo judicial, administrativo ou arbitral
A Resolução CD/ANPD nº 19/2024 regulamentou os mecanismos dos incisos I (adequação) e II (garantias contratuais), que são os mais relevantes para a maioria das organizações.
Resolução CD/ANPD nº 19/2024: o regulamento de transferência
Publicada em 23 de agosto de 2024, a Resolução nº 19 regulamenta os Arts. 33 a 36 da LGPD, estabelecendo procedimentos e regras para:
- Reconhecimento de adequação de países e organismos internacionais
- Cláusulas contratuais padrão (CCPs) da ANPD
- Cláusulas contratuais específicas (aprovação pela ANPD)
- Normas corporativas globais (BCRs) para grupos econômicos
- Selos, certificações e códigos de conduta como mecanismo de garantia
Prazo de adequação: encerrado em agosto de 2025
A resolução concedeu prazo de 12 meses para que agentes de tratamento incorporassem as cláusulas-padrão contratuais aprovadas pela ANPD aos seus contratos existentes. Esse prazo encerrou-se em 23 de agosto de 2025.
Desde então, organizações que realizam transferências internacionais de dados sem as cláusulas-padrão (ou outro mecanismo válido) estão sujeitas às sanções previstas na LGPD.
Cláusulas contratuais padrão (CCPs) da ANPD
As cláusulas-padrão contratuais são o mecanismo mais utilizado para transferências internacionais. São cláusulas predefinidas pela ANPD que podem ser incorporadas a contratos existentes (DPAs, termos de serviço) e estabelecem garantias mínimas para que os dados pessoais continuem protegidos segundo o padrão da LGPD, mesmo quando transferidos para jurisdições com regimes diferentes.
Como funcionam
- Incorporação obrigatória — as CCPs devem ser incorporadas ao contrato entre exportador (no Brasil) e importador (no exterior)
- Prevalência — as cláusulas prevalecem sobre disposições conflitantes do contrato principal
- Obrigações recíprocas — exportador e importador se obrigam mutuamente a proteger os dados segundo o padrão LGPD
- Direitos dos titulares — os titulares são beneficiários das cláusulas e podem exercer direitos previstos nelas
Comparação com SCCs da UE
| Aspecto | CCPs da ANPD (Resolução 19/2024) | SCCs da UE (Decisão 2021/914) |
|---|---|---|
| Base legal | Art. 33, II da LGPD | Art. 46, 2(c) do GDPR |
| Estrutura | Modulares | Modulares (4 módulos) |
| Prevalência | Sim, sobre contrato principal | Sim, sobre contrato principal |
| Aprovação caso a caso | Não (padrão) | Não (padrão) |
| Prazo para incorporação | 12 meses (encerrado ago/2025) | Prazo já encerrado |
Para organizações que já implementaram as SCCs da UE, a incorporação das CCPs brasileiras tende a ser mais simples — muitos conceitos são análogos. Veja nosso guia detalhado sobre cláusulas contratuais padrão.
Decisão de adequação Brasil-UE: o marco de janeiro de 2026
A Resolução CD/ANPD nº 32, de 26 de janeiro de 2026, é o marco mais significativo da transferência internacional de dados no Brasil: o reconhecimento recíproco de adequação entre Brasil e União Europeia.
O que isso significa na prática
A ANPD reconheceu que a União Europeia (e o Espaço Econômico Europeu — Islândia, Liechtenstein e Noruega) oferece nível adequado de proteção de dados pessoais. Reciprocamente, a Comissão Europeia reconheceu que o Brasil oferece nível adequado sob o GDPR.
Impacto direto: dados pessoais podem circular entre Brasil e os 30 países cobertos pela decisão (27 UE + 3 EEE) de forma direta, segura e simplificada, sem necessidade de cláusulas contratuais padrão ou outro mecanismo adicional para a transferência.
O que muda para as empresas
| Antes da adequação (até jan/2026) | Depois da adequação (desde jan/2026) |
|---|---|
| Transferência Brasil→UE exigia SCCs do GDPR | Transferência direta, sem SCCs |
| Transferência UE→Brasil exigia mecanismo do Art. 46 GDPR | Transferência direta |
| Processo burocrático para cada fornecedor | Simplificado |
| Custos legais de negociação de cláusulas | Reduzidos |
Escopo e limitações
Abrange:
- Todos os 27 Estados-membros da UE
- Islândia, Liechtenstein e Noruega (EEE)
- Instituições e órgãos europeus
Não abrange:
- Transferências para fins de segurança pública, defesa nacional, segurança do Estado
- Transferências para investigação e repressão de infrações penais
- Transferências para países fora da UE/EEE (cada país deve ser avaliado individualmente)
Reavaliação
A decisão de adequação será reavaliada em 4 anos (janeiro de 2030), considerando eventuais mudanças na legislação de proteção de dados de ambos os lados.
Normas corporativas globais (BCRs)
As normas corporativas globais — equivalentes às Binding Corporate Rules (BCRs) do GDPR — são um mecanismo para transferências intra-grupo: quando empresas do mesmo grupo econômico precisam transferir dados pessoais entre filiais em diferentes países.
Quando usar BCRs
- Multinacionais com operações no Brasil e em países sem decisão de adequação
- Grupos econômicos com fluxo constante de dados entre entidades
- Situações em que cláusulas contratuais caso a caso seriam impraticáveis pelo volume de transferências
Processo de aprovação
A Resolução 19/2024 estabeleceu o procedimento para aprovação de BCRs pela ANPD, mas até março de 2026 não há notícia de BCRs aprovadas. As organizações devem submeter suas normas corporativas à análise da ANPD, demonstrando que oferecem garantias equivalentes às da LGPD.
Cláusulas contratuais específicas
Diferentemente das cláusulas-padrão (que são predefinidas e de uso livre), as cláusulas específicas são cláusulas customizadas que precisam de aprovação prévia da ANPD. A resolução limita seu uso a situações excepcionais:
- Quando, por razões de fato ou de direito devidamente comprovadas, não for possível utilizar as cláusulas-padrão
- O interessado deve demonstrar a impossibilidade de uso das CCPs
Na prática, esse mecanismo deve ser raramente utilizado — as cláusulas-padrão foram desenhadas para cobrir a grande maioria dos cenários.
Cloud computing e SaaS: quase toda empresa transfere dados
A verdade inconveniente é que a maioria das empresas brasileiras realiza transferência internacional de dados sem saber — ou sem tratar como tal. Serviços de cloud computing e SaaS processam dados em servidores distribuídos globalmente.
Principais cenários
AWS, Google Cloud, Azure com região no Brasil: Quando os dados são configurados para permanecer exclusivamente na região brasileira (ex: sa-east-1 na AWS), não há transferência internacional. Porém, serviços de suporte, backup, ou funcionalidades específicas podem envolver processamento em outras regiões — é necessário verificar.
SaaS internacional (Salesforce, HubSpot, Slack, Zoom): Esses serviços processam dados em servidores fora do Brasil. A transferência é real e precisa de base legal. Com a decisão de adequação Brasil-UE, transferências para servidores na UE ficaram simplificadas. Para servidores nos EUA, as cláusulas-padrão da ANPD continuam sendo necessárias.
E-mail corporativo (Google Workspace, Microsoft 365): O processamento de e-mails, documentos e dados corporativos ocorre em data centers globais. Tanto Google quanto Microsoft oferecem DPAs e cláusulas contratuais específicas — mas a organização deve verificar se esses instrumentos incluem as CCPs brasileiras.
O que verificar com cada fornecedor
- Onde os dados são processados? — solicite a lista de sub-processadores e localizações
- Há DPA/CCP incorporada? — verifique se o contrato inclui as cláusulas-padrão da ANPD
- A decisão de adequação se aplica? — se os dados vão para a UE/EEE, a Resolução 32/2026 simplifica
- Há transferências secundárias? — o importador pode transferir para terceiros países?
Para um guia completo sobre avaliação de fornecedores, veja nosso post sobre gestão de fornecedores cloud e SaaS.
RIPD para transferência internacional
A transferência internacional de dados pessoais é uma operação que pode acionar a necessidade de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), especialmente quando:
- Dados sensíveis são transferidos
- O volume de dados é significativo
- O país de destino não tem decisão de adequação
- A transferência envolve dados de crianças ou adolescentes
- Há uso de novas tecnologias no processamento dos dados pelo importador
O RIPD deve documentar: a necessidade da transferência, o mecanismo utilizado (adequação, CCPs, BCRs), os riscos identificados e as medidas mitigatórias. Veja como elaborar em nosso guia sobre RIPD.
Timeline: o que aconteceu e o que esperar
| Data | Marco |
|---|---|
| Agosto de 2018 | LGPD aprovada — Art. 33 a 36 sobre transferência internacional |
| Setembro de 2020 | LGPD entra em vigor — transferência sem regulamentação |
| 23 de agosto de 2024 | Resolução CD/ANPD nº 19/2024 — Regulamento de Transferência Internacional + CCPs |
| 23 de agosto de 2025 | Fim do prazo de 12 meses para incorporação das CCPs aos contratos |
| 26 de janeiro de 2026 | Resolução CD/ANPD nº 32/2026 — Adequação recíproca Brasil-UE |
| Janeiro de 2030 | Reavaliação da decisão de adequação Brasil-UE |
| Em andamento | ANPD avaliando adequação de outros países (aguardar novas resoluções) |
O que fazer agora: plano de ação para 2026
Se sua organização já incorporou as CCPs (prazo ago/2025)
- Verificar a decisão de adequação Brasil-UE — transferências para a UE/EEE não precisam mais de CCPs (mas manter no contrato como boa prática não prejudica)
- Identificar transferências para países sem adequação — EUA, Índia, China e outros ainda exigem CCPs ou outro mecanismo
- Atualizar o inventário de transferências — documentar todos os fluxos internacionais de dados
- Avaliar necessidade de RIPD — para transferências de maior risco
Se sua organização NÃO incorporou as CCPs
Atenção: o prazo já expirou em agosto de 2025. Organizações em desconformidade estão sujeitas a sanções. Ações imediatas:
- Mapear todas as transferências internacionais — identificar cada fornecedor e serviço que envia dados para fora do Brasil
- Priorizar por risco — dados sensíveis, grande volume, países sem adequação
- Incorporar as CCPs — começar pelos contratos de maior risco
- Atualizar DPAs existentes — adicionar as cláusulas-padrão da ANPD
- Documentar — manter evidências da adequação para eventual fiscalização
Checklist de conformidade para transferência internacional
Mapeamento
- Inventário de todas as transferências internacionais de dados pessoais
- Para cada transferência: identificação do importador, país de destino, dados transferidos, finalidade
- Identificação do mecanismo legal aplicável (adequação, CCPs, BCRs, consentimento)
Decisão de adequação (Brasil-UE)
- Transferências para UE/EEE identificadas como beneficiadas pela Resolução 32/2026
- Documentação atualizada refletindo a base legal (Art. 33, I)
Cláusulas contratuais padrão
- CCPs da ANPD incorporadas a todos os contratos com importadores em países sem adequação
- Verificação de que CCPs prevalecem sobre cláusulas conflitantes do contrato principal
- Atualização periódica conforme eventuais revisões das CCPs pela ANPD
Fornecedores de cloud/SaaS
- Localização dos servidores verificada para cada serviço
- DPAs atualizados com CCPs brasileiras
- Sub-processadores e transferências secundárias mapeadas
- Configurações de residência de dados verificadas (quando disponíveis)
RIPD e documentação
- RIPD elaborado para transferências de alto risco
- Evidências de conformidade organizadas e acessíveis
- Política de transferência internacional documentada
- ROPA atualizado com informação sobre transferências (como criar ROPA)
Conclusão
O cenário de transferência internacional de dados no Brasil mudou radicalmente entre 2024 e 2026. A Resolução 19/2024 trouxe as cláusulas-padrão que faltavam desde 2020. A Resolução 32/2026 trouxe o marco que o mercado mais esperava: a adequação recíproca com a União Europeia, eliminando a burocracia contratual para transferências com o maior bloco econômico do mundo.
Para a maioria das organizações brasileiras, o cenário ficou mais simples — mas não dispensou a ação. Transferências para a UE foram simplificadas, mas transferências para EUA, Ásia e outros destinos ainda exigem cláusulas contratuais. E o prazo para incorporar as CCPs já expirou. Quem ainda não fez, precisa priorizar.
A Confidata oferece rastreamento completo de transferências internacionais de dados: inventário de fluxos internacionais por fornecedor e país, registro do mecanismo legal aplicável, alertas de vencimento de cláusulas e integração com o ROPA — garantindo visibilidade e conformidade para operações globais.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.