Transferência internacional de dados (Art. 33)

Acontece transferência internacional sempre que dados pessoais saem do Brasil — e isso é muito mais comum do que parece. Se a sua OSC usa e-mail, planilhas na nuvem, formulários ou ferramentas de marketing de empresas estrangeiras, é provável que parte dos dados esteja em servidores fora do país.

💡 Por que isso importa

A LGPD só permite enviar dados para fora do Brasil em hipóteses específicas (Art. 33), que garantam um nível de proteção adequado. Usar uma ferramenta estrangeira sem atenção a isso pode tornar o tratamento irregular.

⚠️ Atenção

Material de referência, não aconselhamento. A adequação da sua transferência deve ser avaliada com apoio jurídico. Veja o Aviso legal.

Quando é permitido (resumo do Art. 33)

Entre as principais hipóteses:

  • Para países ou organismos que ofereçam grau de proteção adequado (reconhecido pela ANPD).
  • Quando o controlador oferece garantias de cumprimento (ex.: cláusulas-padrão contratuais, cláusulas específicas, normas corporativas globais).
  • Mediante consentimento específico e destacado do titular para a transferência.
  • Outras hipóteses do Art. 33 (cumprimento de obrigação legal, proteção da vida, etc.).

Passos práticos

  1. Identifique quais das suas ferramentas armazenam dados fora do Brasil (verifique a documentação do fornecedor; muitos informam a região dos servidores).
  2. Registre isso no Inventário (ROPA).
  3. Verifique as garantias do fornecedor: muitos provedores internacionais oferecem cláusulas-padrão/aditivo de transferência prontos.
  4. Se a base for consentimento, deixe claro ao titular que haverá transferência internacional.

Boas práticas

  • Prefira fornecedores que explicitam as salvaguardas de transferência e oferecem aditivo.
  • Quando possível, escolha a região de dados no Brasil (alguns serviços permitem).

Relacionado