Neste artigo: Como este tema funciona na sua empresa Artigo 33 da LGPD: hipóteses legais para transferência Adequação vs. Contratos-padrão: qual escolher? Análise de Impacto de Privacidade (AIPD): documento essencial Criptografia como ferramenta de conformidade Governo de transferências: inventário e monitoramento Sinais de que sua empresa precisa estruturar governança de transferências Caminhos para estruturar conformidade de transferências internacionais Precisa estruturar conformidade de transferências internacionais? Perguntas frequentes Como fazer transferência internacional de dados em conformidade com a LGPD? Quais são as hipóteses legais para transferir dados para o exterior? Qual é a diferença entre adequação e contratos-padrão de proteção de dados? A LGPD proíbe transferência de dados para fora do Brasil? Como implementar criptografia de ponta a ponta em transferências internacionais? Quais países têm proteção de dados equivalente à LGPD? Fontes e referências

oHub Base TI Cibersegurança e Proteção de Dados › LGPD e Conformidade

Transferência internacional de dados: cuidados e requisitos

Hipóteses legais de transferência internacional e controles contratuais e técnicos exigidos.

Atualizado em: 24 de abril de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona na sua empresa

Pequena empresa

Raramente enfrenta transferência internacional, exceto se usa SaaS estrangeiro. Prioridade: verificar política de proteção de dados do fornecedor e contrato DPA com cláusulas-padrão. Documentar decisão.

Média empresa

Pode ter filial ou parceiros no exterior. Necessário mapeamento de fluxos internacionais, decisão sobre adequação vs contratos, implementação de medidas técnicas (criptografia, anonimização). Considerar vinculações corporativas se multinacional.

Grande empresa

Operações globais frequentes. Governança estruturada: inventário de transferências, análise periódica de adequação, mecanismos contratuais, AIPD, criptografia. Compliance é continuous process, não one-time.

Transferência internacional de dados pessoais sob LGPD requer que dados saindo do Brasil tenham proteção equivalente a brasileira ou mecanismos contratuais/técnicos que garantam conformidade. Decisão é responsabilidade do controlador e deve ser documentada.

Artigo 33 da LGPD: hipóteses legais para transferência

Lei permite transferência se:

Adequação: País destino tem nível de proteção equivalente. Ex: União Europeia foi considerada adequada pela UE (aplicável para referência, não vinculante Brasil). EUA pós-Schrems II é complicado (não há decisão de adequação global).
Cláusulas-padrão: Contrato padrão da ANPD entre importador (país destino) e exportador (Brasil) que garante proteção equivalente.
Vinculações corporativas: Grupo multinacional com políticas internas vinculantes em todas filiais.
Consentimento do titular: Pessoa consente com a transferência (nem sempre viável/prático).
Exceções específicas: Certas situações de interesse público ou compliance com lei estrangeira.

Escolha de hipótese é responsabilidade do controlador^[1].

Adequação vs. Contratos-padrão: qual escolher?

Adequação: País destino oferece proteção equiparável. Vantagem: simples (sem contrato). Desvantagem: deve ser analisado e documentado.

Cláusulas-padrão: Contrato padrão da ANPD. Vantagem: funciona para qualquer país (sem depender de governo). Desvantagem: requer negociação contratual, imposição ao importador.

Prática: se país é relevante (EUA, Canadá, Austrália), buscar adequação. Se país é "qualquer" ou vendor é difícil, usar cláusulas-padrão^[2].

Análise de Impacto de Privacidade (AIPD): documento essencial

O que é: Documento que mapeia riscos específicos da transferência internacional e medidas implementadas.

Riscos identificados: Dados cruzam fronteira (visibilidade limitada), acesso por autoridades estrangeiras (governos), infraestrutura de destino pode ser vulnerável.
Medidas técnicas: Criptografia de ponta a ponta (dados em claro não saem do Brasil), anonimização/pseudonimização (se viável).
Medidas contratuais: Contrato DPA com importador, proibição de subprocessadores não-aprovados, auditoria de segurança.
Residual risk: Mesmo com medidas, risco existe (governo estrangeiro pode forçar acesso). AIPD documenta aceitabilidade.

Criptografia como ferramenta de conformidade

Dados criptografados com chaves mantidas no Brasil podem ser transferidos (interpretação: dados em claro não saem do Brasil):

Scenario 1: BD criptografada transferida, chaves em cofre no Brasil. Importador não consegue acessar em claro. Conformidade: alta.
Scenario 2: Dados transferidos em claro. Conformidade exigida no destino. Conformidade: depende de adequação/contratos.

Arquitetura: criptografia ponta a ponta (cliente em Brasil encripta, servidor estrangeiro armazena encriptado, decriptação em Brasil) é máxima conformidade^[3].

A decisão de adequação é responsabilidade do controlador (não pode ser delegada a consultoria ou advogado). Controlador deve documentar: 1) Análise de país destino, 2) Conclusão de adequação, 3) Riscos residuais, 4) Medidas mitigation. Mudanças geopolíticas (sanções, acordos) afetam viabilidade. Revisão periódica é obrigatória.

Adequado: UE pré-Schrems II. Análise simples, transferência livre.

Não adequado: Países sem lei de proteção de dados. Exigem contratos + medidas técnicas fortes.

Governo de transferências: inventário e monitoramento

Prática de conformidade:

Inventário: Quais dados saem do Brasil? Para onde? Por qual hipótese legal (adequação, contrato, etc.)? Revisar 1x/ano.
Documentação: AIPD, DPA, cláusulas-padrão arquivados e datados.
Auditoria: Verificar que importador cumpre compromissos contratuais (auditoria anual, relatório de segurança).
Revisão de adequação: Se adequação foi base, revisar se ainda válida (mudanças geopolíticas, novas sentenças judiciais).

Sinais de que sua empresa precisa estruturar governança de transferências

Se você se reconhece em dois ou mais cenários, é hora de agir.

Usa SaaS estrangeiro (Salesforce, Slack, Google) mas não tem DPA documentado
Tem filial no exterior mas sem política formalizada de transferência de dados
Processa dados de clientes brasileiros em servidor estrangeiro mas sem análise de adequação
Não há documentação de decisão de transferência (sem AIPD, sem análise de risco)
Conformidade exige prova de que transferências são conformes LGPD
Não há inventário de quais dados saem do Brasil para onde
DPA com fornecedor estrangeiro é genérico (não específico LGPD)

Caminhos para estruturar conformidade de transferências internacionais

Avaliação interna

Viável quando empresa tem expertise legal/compliance.

Perfil necessário: Jurista LGPD ou Compliance Officer com conhecimento de transferências.
Tempo estimado: 4-8 semanas (mapeamento de fluxos, análise de adequação, documentação).
Faz sentido quando: Transferências são simples ou limitadas a poucos fornecedores.
Risco: Análise de adequação pode ser insuficiente; ANPD pode questionar.

Com consultoria especializada

Recomendado para estrutura complexa ou multinacional.

Tipo de fornecedor: Consultoria LGPD/privacy ou firma de advocacia especializada.
Vantagem: Expertise em negociação de cláusulas-padrão, análise de risco internacionalmente informada, documentação defensável.
Faz sentido quando: Transferências são críticas ou multinacional tem operações complexas.
Resultado típico: Em 2-3 meses, inventário completo, AIAIDs documentadas, DPAs adequados.

Precisa estruturar conformidade de transferências internacionais?

Se mapeamento de fluxos de dados, análise de adequação, ou estrutura de contratos para transferência é prioridade, o oHub conecta você gratuitamente a especialistas em LGPD e privacidade. Em menos de 3 minutos, descreva seu cenário, receba propostas, sem compromisso.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Como fazer transferência internacional de dados em conformidade com a LGPD?

1) Determinar hipótese legal (adequação, contratos, vinculações, exceções). 2) Documentar decisão em AIPD. 3) Implementar medidas técnicas (criptografia, anonimização). 4) Contrato DPA com importador. 5) Revisar periodicamente.

Quais são as hipóteses legais para transferir dados para o exterior?

Adequação (país tem proteção equivalente), cláusulas-padrão (contrato garante conformidade), vinculações corporativas (grupo multinacional), consentimento do titular, exceções específicas (interesse público).

Qual é a diferença entre adequação e contratos-padrão de proteção de dados?

Adequação: país destino oferece proteção equiparável por lei própria. Contratos-padrão: contrato padronizado ANPD garante conformidade mesmo se país não tem lei própria.

A LGPD proíbe transferência de dados para fora do Brasil?

Não. Transferência é permitida se atender uma das hipóteses legais (adequação, contratos, etc.). LGPD não impede transferências; exige conformidade em qualquer destino.

Como implementar criptografia de ponta a ponta em transferências internacionais?

Dados encriptados no Brasil antes de transferir. Chaves mantidas no Brasil (ou em terceiro país de confiança). Importador não consegue acessar dados em claro. Máxima conformidade.

Quais países têm proteção de dados equivalente à LGPD?

UE (com GDPR) é referência. Análise de país específico é necessária. Não há lista oficial brasileira de "países adequados". Cada transferência requer análise.