Transferência internacional de dados (Art. 33)
Acontece transferência internacional sempre que dados pessoais saem do Brasil — e isso é muito mais comum do que parece. Se a sua OSC usa e-mail, planilhas na nuvem, formulários ou ferramentas de marketing de empresas estrangeiras, é provável que parte dos dados esteja em servidores fora do país.
💡 Por que isso importa
A LGPD só permite enviar dados para fora do Brasil em hipóteses específicas (Art. 33), que garantam um nível de proteção adequado. Usar uma ferramenta estrangeira sem atenção a isso pode tornar o tratamento irregular.
⚠️ Atenção
Material de referência, não aconselhamento. A adequação da sua transferência deve ser avaliada com apoio jurídico. Veja o Aviso legal.
Quando é permitido (resumo do Art. 33)
Entre as principais hipóteses:
- Para países ou organismos que ofereçam grau de proteção adequado (reconhecido pela ANPD).
- Quando o controlador oferece garantias de cumprimento (ex.: cláusulas-padrão contratuais, cláusulas específicas, normas corporativas globais).
- Mediante consentimento específico e destacado do titular para a transferência.
- Outras hipóteses do Art. 33 (cumprimento de obrigação legal, proteção da vida, etc.).
Passos práticos
- Identifique quais das suas ferramentas armazenam dados fora do Brasil (verifique a documentação do fornecedor; muitos informam a região dos servidores).
- Registre isso no Inventário (ROPA).
- Verifique as garantias do fornecedor: muitos provedores internacionais oferecem cláusulas-padrão/aditivo de transferência prontos.
- Se a base for consentimento, deixe claro ao titular que haverá transferência internacional.
✅ Boas práticas
- Prefira fornecedores que explicitam as salvaguardas de transferência e oferecem aditivo.
- Quando possível, escolha a região de dados no Brasil (alguns serviços permitem).