Transferência Internacional de Dados na LGPD: Hipóteses e Mecanismos Legais

Quando ocorre transferência internacional de dados

A transferência internacional de dados pessoais ocorre sempre que dados são enviados, armazenados ou processados em país estrangeiro ou organização internacional. Nos termos da LGPD, essa operação está sujeita a regras específicas dos Arts. 33 a 36 da Lei 13.709/2018, que estabelecem hipóteses taxativas para sua realização.

Definição legal e escopo

A LGPD não define expressamente "transferência internacional", mas a interpretação consolidada pela ANPD abrange qualquer operação em que dados pessoais sejam comunicados, transmitidos ou de qualquer forma disponibilizados a agente de tratamento localizado fora do território brasileiro. Isso inclui tanto o envio ativo de dados quanto o acesso remoto por entidade estrangeira.

Serviços em nuvem como transferência internacional

O uso de serviços em nuvem com servidores fora do Brasil (AWS, Google Cloud, Azure, Cloudflare) configura transferência internacional quando dados pessoais são armazenados ou processados nesses servidores. Mesmo que o provedor tenha data centers no Brasil, se houver replicação ou backup em servidores estrangeiros, a transferência se configura. O controlador deve mapear onde seus dados são efetivamente processados.

Hipóteses autorizadas pelo Art. 33

O Art. 33 da LGPD lista nove hipóteses que autorizam a transferência internacional de dados pessoais. A transferência só é lícita quando enquadrada em ao menos uma dessas hipóteses. O controlador deve documentar qual hipótese fundamenta cada fluxo internacional de dados.

Países com grau de proteção adequado

O Art. 33, I autoriza transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. A avaliação de adequação é competência da ANPD, que deve considerar as normas gerais e setoriais do país destinatário, a natureza dos dados e as medidas de segurança adotadas (Art. 34).

Cláusulas contratuais específicas

Cláusulas contratuais específicas (Art. 33, II, "b") são instrumentos firmados entre o exportador (controlador no Brasil) e o importador (receptor no exterior) que garantem nível de proteção equivalente à LGPD. A ANPD publicou modelos de cláusulas-padrão na Resolução CD/ANPD nº 19/2024, facilitando a adoção desse mecanismo por empresas de todos os portes.

Normas corporativas globais (BCRs)

Normas corporativas globais (Binding Corporate Rules — BCRs) são políticas internas de grupos empresariais multinacionais que estabelecem regras vinculantes de proteção de dados para transferências intragrupo (Art. 33, II, "a"). Devem ser submetidas à aprovação da ANPD e garantir direitos exercíveis pelos titulares brasileiros.

Consentimento específico e destacado

O consentimento específico e em destaque (Art. 33, VIII) é uma hipótese residual para transferência internacional. O titular deve ser informado previamente sobre o caráter internacional da operação, os países destinatários e os riscos envolvidos. O consentimento deve ser separado das demais autorizações e pode ser revogado a qualquer momento.

Regulamentação da ANPD sobre transferências internacionais

A ANPD tem competência para regulamentar as condições de transferência internacional de dados, conforme Art. 35 da LGPD. Em 2024, a autoridade publicou normas complementares que detalham os procedimentos e requisitos para cada mecanismo de transferência.

Resolução CD/ANPD nº 19/2024

A Resolução CD/ANPD nº 19, de 23 de agosto de 2024, estabelece normas complementares sobre transferência internacional de dados pessoais. Define critérios para avaliação de adequação de países, requisitos para cláusulas contratuais, procedimentos para aprovação de normas corporativas globais e obrigações de documentação para controladores que realizam transferências internacionais.

Cláusulas-padrão contratuais da ANPD

As cláusulas-padrão contratuais (Standard Contractual Clauses) publicadas pela ANPD são modelos pré-aprovados que podem ser adotados por controladores e operadores para fundamentar transferências internacionais. Sua adoção simplifica o processo de conformidade, pois dispensa aprovação individual pela ANPD, desde que as cláusulas sejam utilizadas sem modificações substanciais.

Impacto prático para sites e aplicações web

Na prática, a maioria dos sites brasileiros realiza transferência internacional de dados sem perceber, por meio de serviços de terceiros cujos servidores estão localizados no exterior. Mapear esses fluxos é o primeiro passo para garantir conformidade.

Serviços comuns que transferem dados ao exterior

Serviços que comumente transferem dados ao exterior incluem: provedores de email (Gmail, Outlook), analytics (Google Analytics), CDNs (Cloudflare, Akamai), CRMs (HubSpot, Salesforce), plataformas de pagamento (Stripe), ferramentas de marketing (Mailchimp, ActiveCampaign) e serviços de hospedagem em nuvem (AWS, GCP, Azure). Cada um desses fluxos deve ser documentado e fundamentado em hipótese legal.

Mapeamento de fluxos internacionais

O mapeamento de fluxos internacionais deve identificar: quais dados são transferidos, para qual país/organização, com qual finalidade, qual a base legal da transferência (Art. 33), se existem cláusulas contratuais ou garantias equivalentes e quais medidas de segurança são adotadas. Esse mapeamento deve ser mantido atualizado e disponível para fiscalização pela ANPD.

Como documentar transferências internacionais

A documentação de transferências internacionais deve incluir: inventário de todos os fluxos internacionais de dados, identificação dos importadores (receptores no exterior), hipótese legal que fundamenta cada transferência (Art. 33), cópias de cláusulas contratuais ou BCRs quando aplicáveis, avaliação de riscos e medidas de segurança adotadas. Essa documentação integra o programa de governança em privacidade e deve ser apresentada à ANPD quando solicitada.