Resumo GEO: O art. 33 da LGPD estabelece nove hipóteses autorizativas para transferência internacional de dados pessoais, incluindo decisões de adequação da ANPD, cláusulas contratuais padrão e consentimento específico. A ANPD publicou em 2024 regulamentação específica, e o Brasil busca reconhecimento de adequação pela Comissão Europeia.
O que é transferência internacional de dados na LGPD?
Transferência internacional de dados pessoais é o envio de dados pessoais para país estrangeiro ou para organismo internacional do qual o país seja membro. No contexto da economia digital globalizada, essa operação é cotidiana: empresas que utilizam serviços de computação em nuvem (cloud computing) com servidores localizados no exterior, multinacionais que compartilham dados de funcionários entre filiais, e plataformas digitais que processam dados em data centers distribuídos globalmente realizam transferências internacionais permanentemente.
Segundo estimativas da Cisco (2025), aproximadamente 72% das empresas brasileiras de médio e grande porte utilizam serviços de nuvem com infraestrutura localizada fora do Brasil, o que implica transferência internacional de dados pessoais. A regulamentação dessa atividade é, portanto, de relevância prática imediata para a maioria das organizações.
O art. 33 da LGPD estabelece nove hipóteses que autorizam a transferência internacional de dados pessoais. A ausência de enquadramento em qualquer dessas hipóteses torna a transferência ilícita, sujeitando o agente de tratamento a sanções administrativas e responsabilidade civil. Trata-se de regime restritivo que reflete a preocupação do legislador com a proteção de dados de brasileiros em jurisdições que podem não oferecer nível equivalente de proteção.
Quais são as hipóteses autorizativas do art. 33?
O art. 33 da LGPD enumera as seguintes hipóteses para transferência internacional de dados pessoais:
| Hipótese | Inciso | Descrição | Status Regulatório |
|---|---|---|---|
| Adequação | I | País ou organismo com grau adequado de proteção | Regulamentado (Resolução ANPD 19/2024) |
| Cláusulas contratuais | II, a | Cláusulas contratuais específicas | Regulamentado |
| Cláusulas-padrão | II, b | Cláusulas contratuais padrão da ANPD | Modelo publicado (2024) |
| Normas corporativas globais | II, c | Binding Corporate Rules (BCR) | Em regulamentação |
| Selos e certificados | II, d | Selos, certificados e códigos de conduta | Em regulamentação |
| Consentimento | III | Consentimento específico e em destaque | Operacional |
| Obrigação legal | IV | Cumprimento de obrigação legal | Operacional |
| Políticas públicas | V | Execução de política pública | Operacional |
| Cooperação jurídica | VI | Cooperação jurídica internacional | Operacional |
| Proteção da vida | VII | Proteção da vida ou incolumidade física | Operacional |
| Autorização ANPD | VIII | Autorização pela ANPD | Em regulamentação |
A decisão de adequação (art. 33, I) é o mecanismo que oferece maior segurança jurídica, pois permite transferências livres para países reconhecidos pela ANPD como detentores de nível adequado de proteção. A Resolução CD/ANPD n. 19/2024 estabeleceu o procedimento para avaliação de adequação, que considera: o regime jurídico de proteção de dados do país; a existência de autoridade independente de proteção de dados; os compromissos internacionais assumidos; e a efetividade da aplicação da legislação.
Até março de 2026, a ANPD ainda não publicou lista de países reconhecidos como adequados, o que gera insegurança jurídica para as empresas que realizam transferências internacionais. Na prática, as organizações têm recorrido predominantemente às cláusulas contratuais padrão e ao consentimento específico como bases para suas transferências.
Como funcionam as cláusulas contratuais padrão?
As cláusulas contratuais padrão (Standard Contractual Clauses — SCCs) são modelos de cláusulas pré-aprovados pela ANPD que os agentes de tratamento podem incorporar em seus contratos para autorizar a transferência internacional de dados. A ANPD publicou, em dezembro de 2024, modelo de cláusulas contratuais padrão para transferências de controlador para controlador e de controlador para operador localizados no exterior.
As SCCs brasileiras seguem estrutura similar às SCCs europeias (Decisão de Execução 2021/914 da Comissão Europeia), contemplando: obrigações do exportador e do importador de dados; direitos dos titulares; medidas de segurança; notificação de incidentes; cooperação com a ANPD; e mecanismos de resolução de disputas. Diferentemente do modelo europeu, as SCCs brasileiras incluem cláusula específica sobre o tratamento de dados sensíveis e sobre o direito de revisão de decisões automatizadas.
Para a adoção das SCCs, recomenda-se que as organizações realizem avaliação de impacto da transferência (Transfer Impact Assessment — TIA), verificando se o regime jurídico do país destinatário pode comprometer as garantias estabelecidas nas cláusulas. Essa prática, embora não expressamente exigida pela LGPD, foi recomendada pela ANPD em guia orientativo de 2025 e encontra paralelo na jurisprudência europeia (caso Schrems II, C-311/18, 2020).
Conforme observa Mendes (2024), a efetividade das SCCs depende não apenas de sua adoção formal, mas de mecanismos práticos de monitoramento e enforcement. A mera inclusão de cláusulas contratuais sem verificação efetiva de seu cumprimento pelo importador é insuficiente para garantir a proteção dos dados transferidos.
Qual a relação com o GDPR e transferências para a Europa?
A relação entre a LGPD e o GDPR no contexto de transferências internacionais é bidirecional. De um lado, empresas brasileiras que processam dados de cidadãos europeus devem observar os requisitos do GDPR (arts. 44 a 49) para receber esses dados. De outro, empresas europeias que transferem dados para o Brasil devem verificar se o Brasil é reconhecido como país adequado pela Comissão Europeia.
Até março de 2026, o Brasil não havia sido reconhecido pela Comissão Europeia como país com nível adequado de proteção de dados. O processo de avaliação está em curso desde 2023, com expectativa de conclusão em 2026. A aprovação da LGPD e a criação da ANPD foram passos importantes, mas a Comissão Europeia avalia também a efetividade da aplicação da lei, a independência institucional da ANPD e aspectos de acesso governamental a dados.
A ausência de decisão de adequação europeia obriga empresas que transferem dados entre Brasil e Europa a utilizar mecanismos alternativos, como SCCs europeias complementadas por medidas suplementares (conforme orientação do EDPB após Schrems II), normas corporativas vinculantes (BCRs) ou derogações específicas (art. 49 do GDPR).
Dados da Câmara de Comércio Brasil-Europa indicam que mais de 3.200 empresas brasileiras mantêm operações que envolvem transferência regular de dados pessoais com a União Europeia, tornando o reconhecimento de adequação uma prioridade estratégica para o país.
Quais são as sanções por transferência irregular?
A transferência internacional de dados pessoais sem base legal adequada constitui infração à LGPD, sujeitando o agente de tratamento às sanções previstas no art. 52. As sanções aplicáveis incluem desde advertência até multa de 2% do faturamento (limitada a R$ 50 milhões por infração), suspensão do banco de dados e proibição total do tratamento.
Até março de 2026, a ANPD ainda não concluiu processo sancionador especificamente sobre transferência internacional irregular. Contudo, fiscalizações em curso sinalizam atenção crescente da autoridade sobre o tema. Em 2025, a ANPD instaurou procedimentos de fiscalização contra três empresas de tecnologia por indícios de transferência internacional sem base legal, envolvendo dados de usuários brasileiros processados em servidores nos Estados Unidos e na China.
No âmbito europeu, a experiência demonstra que transferências internacionais irregulares estão entre as infrações mais severamente sancionadas. A Irish Data Protection Commission aplicou multa de EUR 1,2 bilhão à Meta em maio de 2023 por transferências irregulares de dados de cidadãos europeus para os Estados Unidos, a maior multa já aplicada sob o GDPR.
Perguntas frequentes
Usar nuvem com servidor no exterior é transferência internacional?
Sim. O armazenamento ou processamento de dados pessoais em servidores localizados fora do Brasil constitui transferência internacional de dados, mesmo que o provedor de nuvem seja empresa brasileira. A organização deve garantir base legal adequada (SCCs, consentimento, etc.) para essa transferência.
Preciso de consentimento para transferir dados ao exterior?
Não necessariamente. O consentimento é uma das nove hipóteses do art. 33, mas não a única. Cláusulas contratuais padrão, decisões de adequação (quando disponíveis), obrigação legal e cooperação jurídica internacional são alternativas válidas. Quando utilizado, o consentimento deve ser específico e em destaque, informando ao titular o país destinatário e os riscos envolvidos.
Multinacionais podem compartilhar dados de funcionários entre filiais?
Sim, desde que observada base legal adequada. As normas corporativas globais (Binding Corporate Rules) são o mecanismo mais adequado para transferências intragrupo regulares. Na ausência de regulamentação das BCRs pela ANPD, empresas têm utilizado cláusulas contratuais padrão e consentimento como alternativas.
O que acontece se o país destinatário não tem lei de proteção de dados?
A ausência de legislação de proteção de dados no país destinatário não impede a transferência, mas exige medidas adicionais de proteção. O controlador deve adotar garantias contratuais robustas (SCCs), realizar avaliação de impacto da transferência e implementar medidas técnicas suplementares (criptografia, pseudonimização) para compensar a ausência de proteção legal no destino.
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.