Transferência internacional de dados pessoais: regras atualizadas da ANPD
A maioria das organizações brasileiras faz transferência internacional de dados pessoais sem saber disso. Quando uma empresa usa o Google Workspace, a AWS, o Salesforce ou qualquer outro serviço em nuvem com servidores fora do Brasil, está transferindo dados pessoais de seus clientes e funcionários para o exterior — e isso tem implicações legais específicas.
Até agosto de 2025, essas organizações tinham um período de carência para se adequar. O prazo encerrou em 23 de agosto de 2025, com a entrada em vigor plena da Resolução CD/ANPD Nº 19/2024. A partir daí, transferências internacionais sem mecanismo adequado são irregulares e sujeitam o controlador às sanções do Art. 52 da LGPD — incluindo multas de até 2% do faturamento.
O que é transferência internacional de dados
Ocorre transferência internacional quando um exportador de dados (controlador ou operador no Brasil) transmite dados pessoais a um importador localizado fora do Brasil. Na ausência de agente de tratamento localizado no exterior — ou seja, quando os dados apenas trafegam por servidores no exterior sem que um agente no exterior tenha acesso ou controle — a operação pode não se configurar como transferência internacional. Mas na maioria dos casos de uso de serviços estrangeiros, a transferência ocorre.
Situações que se configuram como transferência internacional
| Situação | Enquadramento |
|---|---|
| AWS, Azure, Google Cloud com servidores fora do Brasil | Transferência — os dados são armazenados e processados no exterior |
| Google Workspace (Gmail, Drive, Meet) com infraestrutura no exterior | Transferência — Google acessa e processa os dados como operador |
| Microsoft 365 com servidores fora do Brasil | Transferência |
| Salesforce, SAP, HubSpot (SaaS internacionais) | Transferência — fornecedores estrangeiros como operadores |
| Empresa brasileira transferindo dados de RH para matriz multinacional no exterior | Transferência |
| IA generativa estrangeira (ChatGPT API, Gemini API, Claude API) processando dados pessoais | Transferência — dados enviados a servidores e processados no exterior |
| E-mail corporativo com servidor no exterior | Transferência |
A base legal: Arts. 33 a 36 da LGPD
O Art. 33 da LGPD estabelece que a transferência internacional de dados pessoais somente é permitida em uma das hipóteses listadas:
I — País ou organismo com nível de proteção adequado
Reconhecido formalmente pela ANPD. O destinatário está em país cuja proteção de dados a ANPD avaliou como equivalente à da LGPD.
II — Garantias adequadas oferecidas pelo controlador, mediante:
- a) Cláusulas contratuais específicas para a transferência
- b) Cláusulas-padrão contratuais (SCCs) aprovadas pela ANPD
- c) Normas corporativas globais (NCGs) — para transferências intragrupo
- d) Selos, certificados e códigos de conduta aprovados
III a IX — Situações específicas:
- Cooperação jurídica internacional entre órgãos públicos
- Proteção da vida ou da incolumidade física do titular ou de terceiro
- Autorização específica da ANPD
- Compromisso em acordo de cooperação internacional
- Execução de política pública com publicidade
- Consentimento específico e em destaque do titular, com informação sobre o caráter internacional da operação
- Hipóteses do Art. 7º, II, V e VI (obrigação legal, contrato, tutela de vida)
O Art. 34 define os critérios que a ANPD usa para avaliar se um país tem nível de proteção adequado: legislação local, natureza dos dados, princípios de proteção, medidas de segurança, garantias judiciais e institucionais.
A Resolução CD/ANPD Nº 19/2024: o regulamento definitivo
Publicada em 23 de agosto de 2024, a Resolução Nº 19/2024 regulamentou os Arts. 33 a 36 da LGPD com detalhe operacional. É a norma mais importante para quem precisa estruturar transferências internacionais em conformidade com a LGPD.
Prazo de implementação: 12 meses — encerrado em 23 de agosto de 2025.
Cláusulas-Padrão Contratuais (SCCs) — o mecanismo principal
A Resolução Nº 19/2024 aprovou um modelo de SCCs no Anexo II — documento contratual que deve ser incorporado ou adicionado aos contratos com fornecedores ou parceiros no exterior que recebam dados pessoais.
Como funciona:
- As SCCs devem ser incluídas no contrato com o fornecedor estrangeiro — ou em aditivo contratual específico
- O modelo da ANPD deve ser usado sem modificações substanciais que reduzam a proteção
- As SCCs definem as responsabilidades do exportador (empresa brasileira) e do importador (empresa estrangeira)
- Se o fornecedor estrangeiro já oferece SCCs para outras jurisdições (como as cláusulas do GDPR), é necessário verificar a compatibilidade com o modelo aprovado no Anexo II da Res. 19/2024 — que é o parâmetro de referência da ANPD
Quem precisa assinar SCCs:
Toda organização brasileira que transfere dados pessoais para um prestador de serviço no exterior, exceto quando:
- O destinatário está em país reconhecido como adequado pela ANPD
- A transferência se enquadra em uma das hipóteses específicas dos incisos III a IX do Art. 33
Normas Corporativas Globais (NCGs) — para grupos multinacionais
As NCGs são o mecanismo equivalente às Binding Corporate Rules (BCRs) do GDPR — um conjunto de políticas e comprometimentos vinculantes aplicados a todo o grupo econômico multinacional para regular as transferências de dados entre as empresas do grupo.
Características:
- Devem ser aprovadas previamente pelo Conselho Diretor da ANPD
- Aplicam-se exclusivamente a transferências intragrupo (entre empresas do mesmo grupo econômico)
- Até fevereiro de 2026, nenhuma NCG havia sido aprovada pela ANPD — o mecanismo ainda está em fase de primeiras aplicações
Para multinacionais com operações no Brasil que precisam transferir dados entre subsidiárias, as NCGs serão o mecanismo preferencial no longo prazo — mas o processo de aprovação exige tempo e recursos.
Cláusulas contratuais específicas
Para transferências pontuais e específicas — não abrangidas por um contrato genérico com SCCs — é possível negociar cláusulas contratuais específicas com o destinatário no exterior. Essas cláusulas precisam de aprovação prévia da ANPD, o que as torna menos práticas para transferências recorrentes.
A Resolução CD/ANPD Nº 32/2026: União Europeia como país adequado
Em 26 de janeiro de 2026, a ANPD e a Comissão Europeia se reconheceram mutuamente como proporcionando nível de proteção adequado. Foi a primeira decisão de adequação formal da ANPD.
O que isso muda na prática:
Para transferências de dados do Brasil para a UE: As SCCs não são mais necessárias. Os dados pessoais de brasileiros podem ser transferidos para qualquer empresa localizada nos 27 países da UE, mais Islândia, Liechtenstein e Noruega (EEA), sem necessidade de mecanismo adicional.
Para transferências de dados da UE para o Brasil: A Comissão Europeia também reconheceu o Brasil como adequado. Isso facilita o recebimento de dados pessoais de europeus por empresas brasileiras — relevante para exportadores, empresas com clientes europeus e multinacionais.
O que a adequação NÃO cobre:
- Transferências para fins de segurança pública, defesa nacional, segurança do Estado ou investigação/persecução criminal
- Transferências para outros países que não sejam da UE/EEA (ainda exigem mecanismo)
- Reavaliação: em até 4 anos a contar da entrada em vigor
Estado atual das decisões de adequação:
| País/Bloco | Status |
|---|---|
| União Europeia (27 países + EEA) | Adequado — desde janeiro/2026 |
| Estados Unidos | Não adequado — exige SCCs |
| Reino Unido | Não adequado — exige SCCs |
| China | Não adequado — exige SCCs |
| Demais países | Não adequados — exige mecanismo |
LGPD vs. GDPR: como as transferências internacionais se comparam
| Aspecto | GDPR (UE) | LGPD (Brasil) |
|---|---|---|
| Princípio geral | Transferência somente sob condições específicas | Idêntico |
| Países adequados reconhecidos | ~15 países/territórios (Japão, Reino Unido, Suíça, Israel, Nova Zelândia, etc.) | Apenas UE/EEA (Res. 32/2026) |
| SCCs | Bem estabelecidas, testadas em tribunal | Regulamentadas pela Res. 19/2024, em uso desde agosto/2024 |
| BCRs/NCGs | Processo consolidado, muitas aprovadas | Nenhuma NCG aprovada ainda |
| Certificações | Mecanismo disponível e em uso | Previsto mas sem regulamentação detalhada |
| Maturidade do regime | Alta — GDPR desde 2018 | Crescente — regulamento principal concluído em agosto/2024 |
| Uso de SCCs do GDPR | Não aplicável | ANPD pode reconhecer SCCs equivalentes do GDPR como válidas |
Ponto relevante: Para organizações que já implementaram as SCCs do GDPR para transferências da Europa para outros países, o ponto de partida é verificar a compatibilidade dessas cláusulas com o modelo aprovado no Anexo II da Res. 19/2024. Não se trata necessariamente de duplicar o trabalho — mas a adequação ao modelo da ANPD precisa ser confirmada antes de usar cláusulas existentes como substitutivo.
Como adequar sua organização
Passo 1 — Mapeie todas as transferências internacionais
No seu ROPA (Registro de Operações de Tratamento), adicione a coluna "localização do destinatário dos dados" para cada atividade. Perguntas-guia:
- Quais fornecedores de tecnologia acessam dados pessoais da organização?
- Onde estão os servidores desses fornecedores?
- Há filiais ou empresas do grupo no exterior que recebem dados de clientes ou funcionários?
Passo 2 — Classifique o risco de cada transferência
| Transferência para | Mecanismo necessário |
|---|---|
| País da UE/EEA | Nenhum — adequação (Res. 32/2026) |
| Demais países | SCCs ou outro mecanismo |
| Empresa do mesmo grupo (qualquer país) | SCCs ou NCG (quando aprovada) |
Passo 3 — Implemente SCCs com os fornecedores prioritários
Para fornecedores críticos (que tratam dados sensíveis ou dados em larga escala), priorize a assinatura das SCCs. A maioria dos grandes provedores de nuvem (AWS, Microsoft, Google) já disponibiliza modelos de SCCs adaptados para diferentes jurisdições — verificar compatibilidade com o modelo da ANPD.
Passo 4 — Revise contratos existentes
Contratos com fornecedores estrangeiros que processam dados pessoais em nome da sua organização devem ser aditados com as SCCs ou com cláusulas específicas de privacidade que atendam ao nível exigido pela LGPD.
Passo 5 — Documente no ROPA
Para cada transferência internacional, o ROPA deve registrar:
- País de destino
- Mecanismo utilizado (SCC, adequação, NCG, etc.)
- Referência ao contrato que contém as SCCs
- Dados envolvidos (categorias, volume estimado)
O que esperar do regulador
A ANPD ainda não aplicou sanções específicas por transferência internacional irregular. O foco da fiscalização até 2024 foi DPO, canal do titular e comunicação de incidentes. Mas o vencimento do período de carência em agosto de 2025 e o crescimento da capacidade regulatória da ANPD indicam que transferências irregulares entrarão na agenda de fiscalização.
O Mapa de Temas Prioritários 2026-2027 inclui dados biométricos, de saúde e financeiros no Eixo 1 — exatamente as categorias mais sensíveis de dados frequentemente transferidos para provedores internacionais de saúde digital, soluções de crédito e plataformas de RH.
Checklist de conformidade para transferências internacionais
Mapeamento:
- Todos os fornecedores estrangeiros com acesso a dados pessoais identificados?
- País de destino mapeado para cada transferência?
- Categorias de dados e volume estimado registrados?
Mecanismos:
- Fornecedores em países da UE/EEA: adequação aplicada (pós-janeiro/2026)?
- Fornecedores em outros países: SCCs assinadas ou mecanismo equivalente?
- Transferências intragrupo: SCCs ou NCG em avaliação?
Contratos:
- Contratos com fornecedores estrangeiros contêm SCCs ou cláusulas equivalentes?
- DPAs (Data Processing Agreements) assinados com todos os operadores estrangeiros?
Documentação:
- ROPA inclui localização dos destinatários e mecanismo de transferência para cada atividade?
- Evidências de que as SCCs foram formalizadas arquivadas?
Conclusão
A regulamentação da transferência internacional de dados pessoais no Brasil está substancialmente mais madura do que estava até 2024. A Resolução Nº 19/2024 fechou a principal lacuna — definindo os mecanismos habilitados e o modelo de SCCs. O reconhecimento da UE como país adequado (Resolução Nº 32/2026) criou o primeiro corredor de livre fluxo de dados entre Brasil e Europa.
Para a maioria das organizações, o caminho prático é verificar quais fornecedores estrangeiros acessam dados pessoais, assinar SCCs com os que não estão em países adequados, e documentar o processo no ROPA. O trabalho já deveria ter sido feito em agosto de 2025 — se não foi, o momento de regularizar é agora.
O Confidata inclui registro de operadores e fornecedores internacionais integrado ao ROPA, com controle de mecanismos de transferência internacional, vencimentos de SCCs e NCGs e rastreabilidade dos países de destino de dados pessoais.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.