Transferência internacional de dados pessoais: guia completo da LGPD
Qualquer dado pessoal de um brasileiro que sai do território nacional — para um servidor nos Estados Unidos, para o datacenter de uma plataforma europeia, para um sistema de backup na Ásia — é uma transferência internacional de dados pessoais sob a LGPD. E toda transferência internacional precisa de um mecanismo legal que a autorize.
Na prática, a maioria das organizações brasileiras realiza dezenas de transferências internacionais diariamente sem saber: o CRM que usa tem servidores nos EUA, o sistema de e-mail corporativo está em datacenter europeu, a plataforma de videoconferência armazena gravações na Irlanda. A digitalização dos negócios e a infraestrutura global de cloud tornaram a transferência internacional quase inevitável.
Este guia explica todos os mecanismos disponíveis, como a Resolução CD/ANPD Nº 19/2024 estruturou o regime brasileiro, quais países têm adequação reconhecida e como regularizar as transferências mais comuns.
O que é transferência internacional de dados pessoais
A LGPD não define "transferência internacional" explicitamente, mas o Art. 33 trata do tema ao estabelecer as hipóteses em que o tratamento de dados pessoais pode ser realizado por país estrangeiro ou organismo internacional.
Na interpretação predominante, transferência internacional ocorre quando dados pessoais:
- São enviados para processamento em servidores localizados fora do Brasil
- São acessados remotamente por pessoa ou sistema localizado fora do Brasil
- São armazenados em infraestrutura operada fora do Brasil, mesmo que o provedor tenha escritório no Brasil
Exemplos comuns de transferências internacionais:
- Upload de dados de clientes para CRM com servidores nos EUA
- Backup automático em cloud com armazenamento fora do Brasil
- Acesso remoto de time de suporte em outro país aos sistemas da empresa
- Integração com plataformas de analytics internacionais
- Envio de dados de RH para sistema de folha operado por empresa multinacional
Os mecanismos do Art. 33 da LGPD
O Art. 33 da LGPD estabelece os mecanismos pelos quais a transferência internacional pode ser realizada. Diferentemente do GDPR europeu, que tem um sistema de adequação centralizado e amplamente mapeado, o regime brasileiro ainda está sendo construído pela ANPD — mas os mecanismos fundamentais já estão definidos:
Mecanismo 1: Decisão de adequação (Art. 33, I)
O mecanismo mais simples: a ANPD reconhece que determinado país ou organismo internacional oferece nível de proteção compatível com a LGPD. Para países com adequação reconhecida, não é necessário nenhum mecanismo adicional.
Países/regiões com decisão de adequação da ANPD:
- União Europeia: Reconhecida pela Resolução CD/ANPD Nº 32/2026. A adequação é mútua — a UE também reconheceu o Brasil como país adequado, o que foi um marco para empresas brasileiras que exportam dados para parceiros europeus.
Outros países ainda não foram formalmente avaliados pela ANPD para decisão de adequação. O processo de avaliação considera o arcabouço legal de proteção de dados do país, a existência de autoridade de proteção de dados independente, e se o nível de proteção é efetivamente equivalente.
Mecanismo 2: Garantias contratuais (Art. 33, II — alíneas "a" a "d")
O Art. 33, II permite transferências quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, direitos e regime de proteção da LGPD, nas seguintes modalidades:
Alínea "a" — Cláusulas contratuais específicas: Contrato individual e específico para uma transferência determinada, com cláusulas que garantam proteção equivalente à LGPD. Adequado para parcerias pontuais.
Alínea "b" — Cláusulas-padrão contratuais (SCCs): O mecanismo mais amplamente aplicável para transferências recorrentes para países sem adequação. A Resolução CD/ANPD Nº 19/2024 (publicada em 23 de agosto de 2024) criou as SCCs brasileiras e definiu o modelo obrigatório no Anexo II da resolução. As SCCs brasileiras não podem ser modificadas — devem ser usadas exatamente como aprovadas pela ANPD.
Cenários de uso das SCCs (alínea "b"):
- Controlador brasileiro → Operador no exterior: assinar as SCCs com fornecedor estrangeiro para formalizar a transferência
- Controlador brasileiro → Controlador no exterior: para compartilhamento de dados com parceiros estrangeiros (subsidiária, parceiro de negócios, franqueador)
A questão das SCCs do GDPR: Muitos fornecedores internacionais já têm SCCs baseadas no modelo europeu. A compatibilidade com o modelo brasileiro da Res. 19/2024 precisa ser verificada caso a caso — as cláusulas europeias não são automaticamente reconhecidas como equivalentes.
Alínea "c" — Normas corporativas globais: Para grupos corporativos multinacionais — políticas internas que garantem proteção adequada em todas as entidades do grupo. Corresponde às BCRs (Binding Corporate Rules) do GDPR europeu. A ANPD ainda não regulamentou detalhadamente esse mecanismo, o que limita sua aplicabilidade prática no momento.
Alínea "d" — Selos, certificados e códigos de conduta: Transferências baseadas em certificações, selos ou códigos de conduta reconhecidos pela ANPD. Ainda aguarda regulamentação específica para se tornar operacional.
Mecanismo 3 e seguintes: situações específicas (Art. 33, III a IX)
A LGPD prevê outras situações que permitem transferências internacionais, desde situações de cooperação entre órgãos públicos até derrogatórias para casos individuais:
| Inciso | Hipótese | Aplicação típica |
|---|---|---|
| III | Cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução | Investigações com autoridades estrangeiras |
| IV | Proteção da vida ou incolumidade física do titular ou de terceiro | Emergências médicas internacionais |
| V | Autorização específica da ANPD | Casos avaliados e autorizados pela autoridade |
| VI | Compromisso assumido em acordo de cooperação internacional | Programas intergovernamentais bilaterais/multilaterais |
| VII | Execução de política pública ou atribuição legal de serviço público, com publicidade (Art. 23, I) | Programas governamentais com parceiros internacionais |
| VIII | Consentimento específico e em destaque do titular, com informação prévia sobre o caráter internacional | Quando o titular autoriza expressamente a transferência |
| IX | Hipóteses dos incisos II, V e VI do Art. 7º (obrigação legal, execução de contrato com o titular, exercício regular de direitos) | Contratos de viagem, reservas internacionais, execução de contratos com o próprio titular |
O consentimento (inciso VIII): A LGPD permite transferências baseadas em consentimento específico do titular, com informação clara sobre o país destinatário e caráter internacional da operação. O consentimento como base para transferências é adequado para casos individuais — não para o fluxo regular de dados de um negócio, pois pode ser revogado a qualquer momento.
A Resolução CD/ANPD Nº 19/2024 em detalhes
Publicada em 23 de agosto de 2024, a Resolução Nº 19/2024 é o principal ato normativo da ANPD sobre transferências internacionais. Seus pontos principais:
1. SCCs no Anexo II (modelo obrigatório): As SCCs brasileiras são o mecanismo de transferência mais acessível para a maioria das organizações. O modelo está no Anexo II da resolução e não admite modificações — apenas o preenchimento dos campos específicos (partes, categorias de dados, finalidades, medidas de segurança).
2. Período de carência: A Res. 19/2024 estabeleceu um período de adaptação para que controladores adequassem transferências existentes ao novo regime. Esse período se encerrou em 23 de agosto de 2025 — um ano após a publicação da resolução.
3. Normas Corporativas Globais: A resolução trouxe orientações preliminares sobre normas corporativas globais, mas o mecanismo ainda carece de regulamentação complementar para ser plenamente operacional.
4. Transferências baseadas em garantias: Além das SCCs, a resolução prevê que controladores podem usar outros mecanismos de garantia adequada, desde que demonstrem nível de proteção equivalente — o que exige análise jurídica mais sofisticada.
Como a transferência internacional se aplica a serviços de cloud
Os provedores de cloud mais utilizados no Brasil — AWS, Microsoft Azure, Google Cloud — têm presença global com datacenters em múltiplos países. Entender como cada um trata a questão da transferência internacional é essencial:
AWS (Amazon Web Services):
- Tem região no Brasil: sa-east-1 (São Paulo). Dados configurados para essa região ficam no Brasil.
- Para outros serviços (ex: CloudFront, Route 53, alguns serviços globais), pode haver processamento fora do Brasil.
- AWS oferece DPA com SCCs incluídas para conformidade com GDPR/UK/Swiss. A compatibilidade com o modelo LGPD da Res. 19/2024 precisa ser verificada.
Microsoft Azure:
- Tem região no Brasil: Brazil South (São Paulo) e Brazil Southeast (Rio de Janeiro).
- Microsoft oferece Microsoft Products and Services Data Protection Addendum (DPA) com SCCs.
- Para transferências fora da região brasil, as SCCs europeas estão disponíveis — verificar compatibilidade com modelo ANPD.
Google Cloud:
- Tem região no Brasil: southamerica-east1 (São Paulo).
- Google oferece Data Processing Addendum com SCCs.
SaaS internacional em geral: Para plataformas SaaS que não têm região no Brasil (Slack, Salesforce, HubSpot, muitas outras), os dados tipicamente ficam em servidores nos EUA ou Europa. O mecanismo mais adequado é:
- Para fornecedores com servidores na UE: coberto pela adequação ANPD-UE (Res. 32/2026)
- Para fornecedores com servidores nos EUA: SCCs brasileiras (Anexo II, Res. 19/2024) ou verificar se o DPA do fornecedor oferece mecanismo equivalente
Mapeando e regularizando as transferências: o processo prático
Passo 1: Identificar todas as transferências internacionais no ROPA
Para cada atividade de tratamento no ROPA, identifique: o dado chega a servidores fora do Brasil? Quem acessa remotamente? O backup vai para onde?
Passo 2: Classificar por mecanismo disponível
Para cada transferência identificada, determine:
- O país de destino tem adequação da ANPD? → Use a adequação
- Há SCCs disponíveis no DPA do fornecedor? → Assine o DPA com SCCs
- É uma derrogatória (execução de contrato com titular, emergência)? → Documente a base
Passo 3: Regularizar as lacunas
Para transferências sem mecanismo: assinar DPA com SCCs do Anexo II da Res. 19/2024, negociar com o fornecedor, ou avaliar alternativa com processamento no Brasil.
Passo 4: Documentar e registrar no ROPA
Cada transferência internacional deve constar no ROPA com o mecanismo utilizado. Isso é o que demonstra conformidade em uma investigação da ANPD.
Passo 5: Informar na política de privacidade
A política de privacidade deve mencionar as transferências internacionais realizadas, os países destinatários e os mecanismos utilizados. Transparência é obrigação legal.
Situações especiais
Funcionário que acessa dados do escritório de outro país: Um funcionário brasileiro que viaja e acessa o sistema com dados pessoais de clientes de um hotel no exterior tecnicamente faz uma transferência internacional. Na prática, isso é gerenciado por VPN corporativa e políticas de acesso seguro — não pela assinatura de SCCs, mas deve constar no ROPA como risco monitorado.
Empresa multinacional com matriz no exterior: Quando a matriz fora do Brasil acessa dados pessoais de brasileiros mantidos pela subsidiária brasileira, é uma transferência internacional. O mecanismo mais adequado é normas corporativas globais (BCRs) — que ainda aguardam regulamentação específica da ANPD — ou SCCs entre as entidades do grupo.
Pesquisa científica e cooperação internacional: O Art. 33, I pode ser interpretado como incluindo cooperação jurídica internacional, e o Art. 4º da LGPD tem dispositivos sobre pesquisa. Para dados de pesquisa científica transferidos para parceiros internacionais, a base é o Art. 11, II, c (pesquisa científica) para dados sensíveis, e o Art. 7º, IV (pesquisa científica) para dados não sensíveis — com minimização e, quando possível, anonimização antes da transferência.
Checklist de conformidade em transferências internacionais
Mapeamento:
- Transferências internacionais identificadas no ROPA para cada atividade de tratamento?
- País de destino e fornecedor identificados para cada transferência?
Mecanismos:
- Adequação verificada para cada país destinatário (lista de países com decisão ANPD)?
- SCCs assinadas ou DPA com mecanismo equivalente para países sem adequação?
- Derrogatórias documentadas quando aplicáveis?
Contratos:
- DPA com fornecedores estrangeiros inclui cláusula de transferência internacional?
- Compatibilidade das SCCs europeias com o modelo ANPD verificada?
Transparência:
- Política de privacidade menciona transferências internacionais, países destinatários e mecanismos?
Monitoramento:
- Processo para identificar novas transferências quando novos fornecedores são contratados?
- Revisão anual das transferências mapeadas (adequação pode mudar; fornecedores mudam de datacenter)?
Conclusão
O regime de transferências internacionais da LGPD é mais simples do que parece — mas exige que a organização mapeie sistematicamente para onde seus dados vão e com qual base legal. O período de carência da Resolução Nº 19/2024 encerrou em agosto de 2025, o que significa que transferências sem mecanismo adequado estão em desconformidade desde então.
O primeiro passo para qualquer organização é o mapeamento: identificar, em seu ROPA, todas as atividades de tratamento que envolvem transferência para fora do Brasil. A partir daí, a maioria das regularizações é mais operacional do que jurídica — assinar o DPA com SCCs que o fornecedor já oferece, ou configurar a região do datacenter para o Brasil ou para a UE (que tem adequação).
O Confidata inclui campo específico no ROPA para registro de transferências internacionais, com identificação do mecanismo utilizado por transferência, alertas de inadequação e painel de status de regularização de transferências para toda a organização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.