Leis de Localização de Dados por País (2026)
As leis de localização de dados exigem que determinados dados pessoais sejam armazenados em servidores dentro das fronteiras de um país. As exigências variam desde a localização rígida, como a Lei Federal 242-FZ da Rússia, que proíbe que as bases de dados primárias de cidadãos saiam do país, até modelos flexíveis que permitem transferências condicionais. Mais de 60 países aplicam alguma forma de exigência de residência de dados em 2026.
As leis de localização de dados exigem que as organizações armazenem, processem ou mantenham cópias de determinados dados em servidores fisicamente localizados no território de um país específico. Essas leis se multiplicaram rapidamente desde 2015, impulsionadas por preocupações de segurança nacional, objetivos de proteção da privacidade, estratégias de desenvolvimento econômico e considerações geopolíticas em torno da soberania digital.
O escopo e o rigor das exigências de localização variam drasticamente. Alguns países exigem que todos os dados pessoais de seus residentes permaneçam dentro das fronteiras nacionais. Outros aplicam a localização apenas a setores específicos, como bancário, saúde ou telecomunicações. Vários países adotam uma posição intermediária, exigindo uma cópia local, mas permitindo transferências ao exterior sob determinadas condições.
Este guia apresenta uma visão geral, país por país, dos requisitos de localização de dados em 2026, explica a distinção entre localização rígida e flexível, aborda regras setoriais, examina a posição da UE, analisa o debate econômico e descreve estratégias práticas de conformidade.
Localização Rígida versus Localização Flexível
Compreender a diferença entre localização rígida e flexível é fundamental para o planejamento da conformidade.
Localização Rígida
A localização rígida proíbe que determinados dados saiam do país. Os dados devem ser coletados, armazenados e processados exclusivamente em servidores locais. Nenhuma cópia pode ser transferida ao exterior, independentemente das salvaguardas. A lei de dados pessoais da Rússia e certas categorias do arcabouço de proteção de dados da China representam a localização rígida.
Localização Flexível
A localização flexível exige que uma cópia dos dados seja mantida em servidores locais, mas permite a transferência de cópias para outros países, geralmente sujeita a condições como aprovação governamental, consentimento ou salvaguardas contratuais. A abordagem da Índia para determinadas categorias de dados e a regulamentação da Indonésia representam a localização flexível.
Modelos de Transferência Condicional
Alguns países não exigem armazenamento local, mas impõem condições às transferências internacionais que funcionam como uma localização de fato. Por exemplo, exigir aprovação governamental para cada transferência, exigir avaliações de segurança antes da exportação ou limitar as transferências a países com proteção "adequada". Esses modelos condicionais podem ser tão onerosos quanto as exigências formais de localização.
Requisitos de Localização de Dados País por País
A tabela a seguir resume os requisitos de localização de dados nas principais jurisdições. Uma análise detalhada dos países mais relevantes é apresentada a seguir.
| País | Tipo | Escopo | Lei Principal |
|---|---|---|---|
| China | Rígida/Condicional | Informações pessoais, dados importantes, dados de ICI | PIPL, DSL, CSL (emendada em jan/2026) |
| Rússia | Rígida | Dados pessoais de cidadãos russos | Lei Federal 242-FZ, 266-FZ |
| Índia | Flexível/Setorial | Dados de pagamento (rígida); demais dados condicionais | Regras DPDP 2025, diretivas do RBI |
| Indonésia | Flexível | Dados de sistemas eletrônicos públicos | GR 71/2019, Lei PDP (out/2024) |
| Vietnã | Flexível/Condicional | Dados pessoais, dados de segurança do Estado | Decreto 13/2023, Decreto 53/2022 |
| Nigéria | Flexível/Setorial | Dados governamentais, dados de infraestrutura crítica | NDPA 2023, NITDA Act |
| Turquia | Condicional | Dados pessoais | Lei 6698 (KVKK) |
| Arábia Saudita | Condicional/Setorial | Dados pessoais, financeiros, governamentais | PDPL (fiscalização a partir de set/2024) |
| Brasil | Nenhuma (condicional) | Sem localização; regras condicionais de transferência | LGPD |
| Coreia do Sul | Condicional | Informações pessoais | PIPA |
| Austrália | Nenhuma (condicional) | Sem localização; regras de transferência do APP 8 | Privacy Act 1988 |
| Cazaquistão | Flexível | Dados pessoais de cidadãos | Lei de Dados Pessoais (emendada em fev/2024) |
| EAU | Setorial | Dados financeiros, de saúde, governamentais | Diversos reguladores setoriais |
| Tailândia | Condicional | Dados pessoais | PDPA |
| África do Sul | Condicional | Informações pessoais | POPIA |
| Japão | Condicional | Informações pessoais | APPI (emendada em 2022) |
China: O Regime de Localização Mais Complexo
A China opera um dos arcabouços de localização de dados mais abrangentes do mundo, construído sobre três leis interligadas: a Lei de Cibersegurança (CSL), de 2017, a Lei de Segurança de Dados (DSL), de 2021, e a Lei de Proteção de Informações Pessoais (PIPL), de 2021.
Operadores de Infraestrutura Crítica de Informação (ICI)
Os operadores de ICI devem armazenar dentro do país as informações pessoais e os "dados importantes" coletados e gerados na China. As transferências ao exterior exigem uma avaliação de segurança governamental conduzida pela Administração do Ciberespaço da China (CAC). Os setores de ICI incluem energia, transporte, finanças, serviços públicos, governo eletrônico, defesa e tecnologia.
Emenda da CSL em Vigor desde 1º de Janeiro de 2026
O Comitê Permanente do Congresso Nacional do Povo aprovou emendas à CSL em 28 de outubro de 2025, em vigor desde 1º de janeiro de 2026. As emendas de janeiro de 2026 não alteram a exigência central de localização de dados para operadores de ICI prevista no artigo 39, mas mudam significativamente o cenário de fiscalização:
- As multas máximas para operadores de ICI cujas violações causem consequências especialmente graves agora chegam a RMB 10 milhões (aproximadamente USD 1,4 milhão).
- O alcance extraterritorial da CSL se expandiu além das atividades que prejudicam a infraestrutura crítica doméstica, passando a abranger qualquer organização ou indivíduo no exterior que realize atividades prejudiciais à cibersegurança da China de forma mais ampla.
- As obrigações de governança de IA agora estão expressamente integradas ao arcabouço da CSL, incluindo apoio estatal à inovação em IA, ao desenvolvimento de recursos de dados de treinamento e à avaliação de riscos e governança de segurança em IA.
- As penalidades por venda de equipamentos de segurança de rede não certificados incluem multas de até dez vezes o valor da compra.
Responsáveis por Informações Pessoais e as Mudanças de Limites de Março de 2024
Nos termos da PIPL, as organizações que tratam informações pessoais de residentes chineses e precisam transferir dados ao exterior devem atender a uma de quatro condições: aprovação em uma avaliação de segurança da CAC, obtenção de certificação de uma instituição reconhecida, celebração de um contrato-padrão registrado junto à CAC, ou cumprimento de outras condições aplicáveis.
Em 22 de março de 2024, a CAC publicou as Disposições sobre a Regulamentação e Promoção dos Fluxos Transfronteiriços de Dados, com vigência imediata. Essas disposições flexibilizaram significativamente as regras anteriores:
- A avaliação de segurança pela CAC agora só é exigida para transferências de dados pessoais de mais de 1 milhão de indivíduos por ano civil, ou de dados pessoais sensíveis de mais de 10.000 indivíduos por ano civil.
- As transferências de dados pessoais de menos de 100.000 indivíduos por ano civil estão isentas da exigência de registro do contrato-padrão.
- As avaliações de segurança aprovadas pela CAC agora têm validade de três anos, ampliada em relação ao prazo anterior de dois anos.
- As organizações em zonas de livre comércio designadas podem seguir uma lista negativa: a zona de livre comércio elabora um catálogo de dados restritos, e todos os dados fora do catálogo podem ser transferidos livremente. A Zona de Livre Comércio de Xangai publicou seu primeiro catálogo geral de dados em maio de 2024, abrangendo os setores automotivo, biofarmacêutico e de fundos mútuos.
Dados Importantes
A DSL introduziu uma categoria separada de "dados importantes", sujeita a restrições de localização e exportação. Os reguladores setoriais são responsáveis por definir o que constitui dados importantes em seus respectivos domínios. Os setores automotivo, de serviços financeiros e de saúde já publicaram catálogos preliminares ou finais de dados importantes.
Impacto Prático
O regime da China representa o arcabouço de localização mais oneroso para empresas multinacionais. As organizações que operam na China normalmente mantêm uma infraestrutura de dados totalmente separada, com data centers dedicados dentro do país e provedores de nuvem chineses (Alibaba Cloud, Tencent Cloud, Huawei Cloud) responsáveis pelo processamento local.
Rússia: Localização Rígida de Dados Pessoais
A lei de localização de dados da Rússia, a Lei Federal nº 242-FZ (que altera a Lei de Dados Pessoais nº 152-FZ), entrou em vigor em 1º de setembro de 2015. Ela exige que todas as bases de dados usadas para coletar, registrar, sistematizar, acumular, armazenar, atualizar, modificar ou recuperar dados pessoais de cidadãos russos estejam localizadas em servidores dentro da Federação Russa.
Escopo
A lei se aplica amplamente a qualquer operador (russo ou estrangeiro) que colete dados pessoais de cidadãos russos. Isso inclui serviços on-line, plataformas de comércio eletrônico, empresas de redes sociais e qualquer negócio que colete dados de funcionários ou clientes residentes na Rússia.
Transferências Internacionais e as Mudanças da FZ-266 (2023)
A Lei Federal nº 266-FZ (assinada em 14 de julho de 2022; principais disposições em vigor desde 1º de setembro de 2022; disposições sobre transferência internacional em vigor desde 1º de março de 2023) atualizou substancialmente o arcabouço de transferência internacional. Desde março de 2023, os operadores devem notificar o Roskomnadzor sobre sua intenção de transferir dados pessoais ao exterior antes de fazê-lo. As transferências para países não reconhecidos como oferecendo proteção adequada agora exigem autorização expressa do Roskomnadzor.
O antigo sistema de dois níveis (países signatários da Convenção 108 do Conselho da Europa versus os demais) continua relevante para determinar quais países são presumidamente adequados. No entanto, a exigência de notificação prévia à transferência agora se aplica independentemente do destino.
A exigência principal de armazenamento de dados permanece inalterada: a base de dados mestra dos dados pessoais de cidadãos russos deve permanecer em servidores no território russo. Cópias podem ser disponibilizadas no exterior, mas a base de dados de origem deve permanecer na Rússia.
Fiscalização
A autoridade russa de proteção de dados, o Roskomnadzor, tem fiscalizado a exigência de localização por meio de bloqueios. O LinkedIn foi bloqueado na Rússia em 2016 por não cumprir a exigência de localização. As penalidades por violações de localização agora variam de RUB 60.000 a RUB 18.000.000, podendo violações reincidentes resultar no bloqueio do site.
Índia: Um Cenário de Localização em Evolução
O arcabouço de localização de dados da Índia mudou consideravelmente. A Digital Personal Data Protection Act (DPDP Act) de 2023 substituiu o antigo projeto de lei de proteção de dados pessoais, que continha disposições rígidas de localização.
Arcabouço Atual: Regras DPDP (Novembro de 2025)
As Regras DPDP foram finalizadas e publicadas em novembro de 2025. A Regra 15 dispõe: "um Fiduciário de Dados pode transferir dados pessoais para fora da Índia, exceto quando o Governo Central restringir tal transferência". Trata-se de um modelo de lista negativa: as transferências são permitidas para todos os destinos, a menos que o governo restrinja especificamente um país por meio de notificação. A conformidade plena em matéria de transferência internacional é exigida até maio de 2027 (18 meses após 13 de novembro de 2025). Em maio de 2026, o governo ainda não havia publicado sua lista negativa de países restritos.
Essa abordagem é notavelmente mais permissiva do que as versões anteriores do projeto de lei, que propunham uma lista branca rígida. A Índia optou pelo modelo de lista negativa em vez da abordagem baseada em adequação utilizada no GDPR.
Localização de Dados de Pagamento
O Banco de Reserva da Índia (RBI) emitiu uma diretiva em abril de 2018 exigindo que todos os dados de sistemas de pagamento fossem armazenados exclusivamente na Índia. Isso se aplica aos dados de transações domésticas processados por operadores de sistemas de pagamento, incluindo redes de cartões, agregadores de pagamento e provedores de carteiras digitais. Essa exigência é uma das mais rígidas exigências setoriais de localização no mundo e obrigou empresas como Visa, Mastercard e PayPal a estabelecerem data centers na Índia. Essa exigência permanece plenamente em vigor e não é afetada pelo arcabouço da DPDP.
Requisitos Setoriais
O Conselho de Valores Mobiliários da Índia (SEBI) publicou uma circular em 2024 impondo exigências de residência de dados às entidades reguladas que utilizam provedores de serviços em nuvem, exigindo que os dados regulatórios e de conformidade permaneçam na Índia. A Autoridade Reguladora e de Desenvolvimento de Seguros da Índia (IRDAI) impõe condições sobre onde os dados de seguros podem ser processados e armazenados. Essas regras setoriais operam de forma independente do arcabouço da DPDP.
Vietnã: Cibersegurança e Armazenamento de Dados
A Lei de Cibersegurança do Vietnã (Lei 24/2018), em vigor desde 1º de janeiro de 2019, e dois decretos de implementação impõem exigências de localização em camadas. É importante distinguir os dois decretos:
- o Decreto 53/2022/ND-CP (em vigor desde 1º de outubro de 2022) implementa a Lei de Cibersegurança e rege a localização de dados;
- o Decreto 13/2023/ND-CP (em vigor desde 1º de julho de 2023) é o regulamento de proteção de dados pessoais do Vietnã e rege os procedimentos de transferência internacional.
Nos termos do Decreto 53/2022, as empresas nacionais que prestam serviços de telecomunicações, internet, armazenamento de dados, comércio eletrônico, pagamento on-line, aplicativos de transporte, redes sociais, mensagens, jogos e serviços relacionados devem armazenar três categorias de dados no Vietnã: informações pessoais dos usuários do serviço, dados gerados pelo usuário (nomes de conta, registros de horário de sessão, informações de cartão de crédito, endereços de e-mail, endereços IP, números de telefone registrados) e dados de relacionamento (amigos e grupos aos quais o usuário se conectou).
Para as empresas estrangeiras, a exigência de localização é condicionada a um gatilho, e não automática. Uma solicitação por escrito do Ministério da Segurança Pública ativa a exigência se os serviços da empresa estrangeira tiverem sido usados para violar a lei vietnamita de cibersegurança, ou se a empresa não tiver cumprido solicitações anteriores. Uma vez ativada, a empresa deve cumprir a exigência em até 12 meses e reter os dados especificados por, no mínimo, 24 meses a partir do recebimento da solicitação.
O Decreto 13/2023 exige que as organizações que transferem dados pessoais de cidadãos vietnamitas ao exterior elaborem uma Avaliação de Impacto da Transferência e a registrem junto ao Ministério da Segurança Pública. Um certificado de registro é exigido antes que as transferências possam ocorrer.
Indonésia: Regulamento Governamental sobre Sistemas Eletrônicos
O Regulamento Governamental nº 71 de 2019 (GR 71/2019) da Indonésia, sobre Sistemas e Transações Eletrônicas, exige que os operadores de sistemas eletrônicos públicos instalem seus data centers e centros de recuperação de desastres em território indonésio. Os operadores de sistemas eletrônicos privados podem localizar dados fora da Indonésia, sujeitos a condições: a localização no exterior não pode diminuir a eficácia da supervisão governamental, e deve ser fornecido acesso para fins de supervisão e aplicação da lei.
A Lei de Proteção de Dados Pessoais da Indonésia (Lei nº 27 de 2022) foi promulgada em outubro de 2022. O período de transição de dois anos para conformidade encerrou-se em 17 de outubro de 2024, e as organizações agora são obrigadas a cumprir integralmente a lei. A Lei PDP permite que os controladores de dados armazenem dados pessoais na Indonésia ou no exterior, mantendo coerência com a abordagem do GR 71/2019 para operadores privados.
O setor de serviços financeiros enfrenta exigências adicionais da Autoridade de Serviços Financeiros da Indonésia (OJK), que exige que bancos e instituições financeiras mantenham seus data centers primários no país.
Nigéria: NDPR Elevada a Lei Estatutária
As exigências de localização de dados da Nigéria agora se fundamentam na Nigeria Data Protection Act (NDPA) de 2023, sancionada em junho de 2023. A NDPA substituiu a Nigeria Data Protection Regulation (NDPR) de 2019 e elevou o arcabouço de proteção de dados ao status de lei estatutária. Ela criou a Nigeria Data Protection Commission (NDPC) como um órgão estatutário, substituindo o antigo arranjo regulatório sob a NITDA.
A NDPA não impõe uma localização geral, mas exige que os dados pessoais transferidos para fora da Nigéria recebam proteção adequada no país de destino ou que salvaguardas apropriadas sejam implementadas. Os Estados Unidos não são reconhecidos pela NDPC como oferecendo proteção adequada, o que significa que as transferências destinadas aos EUA exigem cláusulas contratuais-padrão ou outras salvaguardas.
Uma ordem governamental de 2024 designou diversos sistemas críticos como Infraestrutura Nacional de Informação Crítica (CNII): a base de dados do Número de Verificação Bancária (BVN), a base de dados do Número de Identificação Nacional (NIN) e o Sistema Interbancário de Liquidação da Nigéria (NIBSS). Os sistemas designados como CNII estão sujeitos a regras mais rígidas de tratamento e localização de dados.
Os dados governamentais enfrentam exigências adicionais. As diretrizes da NITDA exigem que os dados governamentais e os dados processados em nome de órgãos governamentais sejam hospedados dentro da Nigéria. O Banco Central da Nigéria (CBN) exige que as instituições financeiras mantenham armazenamento local de dados e obtenham aprovação para determinadas transferências internacionais.
Arábia Saudita: PDPL Agora Totalmente Fiscalizada
A Personal Data Protection Law (PDPL) da Arábia Saudita entrou em vigor em 14 de setembro de 2023, com um período de carência de um ano para conformidade. A fiscalização plena começou em 14 de setembro de 2024. A PDPL tem aplicação extraterritorial: ela abrange o tratamento de dados pessoais de residentes sauditas por entidades fora da Arábia Saudita.
Em agosto de 2024, a Autoridade Saudita de Dados e IA (SDAIA) publicou o Regulamento sobre Transferência de Dados Pessoais para Fora do Reino da Arábia Saudita. Os Regulamentos de Transferência permitem transferências internacionais se: o país de destino oferecer proteção adequada, ou o controlador implementar salvaguardas apropriadas, ou se aplicar uma das bases legais especificadas (consentimento, necessidade contratual, interesses vitais ou interesse público).
Os regulamentos da SAMA (Autoridade Monetária da Arábia Saudita) exigem que as instituições financeiras mantenham o armazenamento primário de dados na Arábia Saudita. O Centro Nacional de Informações de Saúde impõe exigências adicionais para dados de saúde. A Autoridade Nacional de Cibersegurança (NCA) exige que os dados governamentais permaneçam em solo saudita.
Turquia: Arcabouço de Transferência Condicional
A Lei de Proteção de Dados Pessoais nº 6698 (KVKK) da Turquia não impõe localização rígida de dados, mas cria um arcabouço de transferência condicional que pode funcionar como uma localização de fato.
As transferências internacionais exigem consentimento explícito do titular dos dados ou uma decisão de adequação do Conselho de Proteção de Dados Pessoais (Conselho da KVKK). Em março de 2024, o Conselho da KVKK atualizou sua abordagem, passando a permitir transferências baseadas em regras corporativas vinculantes, cláusulas contratuais-padrão ou outras salvaguardas aprovadas, aproximando o arcabouço da Turquia do modelo do GDPR. Essa atualização está alinhada com a ambição de longa data da Turquia de obter o reconhecimento de adequação pelo GDPR. Veja nosso guia sobre leis de privacidade de dados da Turquia para mais detalhes.
Cazaquistão: Localização com Emendas de 2024
A Lei sobre Dados Pessoais e sua Proteção do Cazaquistão (Lei nº 94-V) exige que os operadores que tratam dados pessoais de cidadãos cazaques armazenem esses dados em servidores localizados dentro do Cazaquistão. Emendas em vigor desde 11 de fevereiro de 2024 (aprovadas em 11 de dezembro de 2023) introduziram novas obrigações: as organizações devem notificar o Ministério do Desenvolvimento Digital sobre qualquer violação de segurança de dados pessoais, com a exigência de notificação em vigor desde 1º de julho de 2024. A coleta e o processamento de cópias físicas de documentos de identidade agora estão proibidos. O Ministério passou a ter competência para realizar inspeções de conformidade não programadas.
Padrões Setoriais de Localização
Diversos padrões emergem entre as jurisdições em que a localização se aplica a setores específicos, e não a todos os dados.
Dados Financeiros
Os reguladores bancários em todo o mundo frequentemente impõem as regras de localização mais rígidas. A exigência do RBI da Índia sobre dados de pagamento, os requisitos da OJK da Indonésia, as diretivas do CBN da Nigéria, as regras bancárias de dados da China e os regulamentos da SAMA da Arábia Saudita exigem, todos, algum grau de armazenamento local para dados financeiros. A localização de dados financeiros é o padrão setorial mais consistente em nível global.
Dados de Saúde
A localização de dados de saúde aparece na Austrália (My Health Records Act), na Turquia (regulamentos de dados de saúde), na Arábia Saudita (exigências do Centro Nacional de Informações de Saúde) e em vários Estados-Membros da UE que impõem restrições adicionais aos dados de saúde além do piso estabelecido pelo GDPR.
Telecomunicações
Os metadados de telecomunicações e os dados de assinantes enfrentam exigências de localização na Rússia, na China, no Vietnã, na Índia (por meio de condições de licenciamento de telecomunicações) e em vários países africanos. Essas regras normalmente decorrem de preocupações relacionadas à segurança nacional e ao acesso por autoridades de aplicação da lei.
Dados Governamentais e do Setor Público
De forma quase universal, os países exigem que os dados governamentais sejam armazenados dentro do país. Isso inclui o GR 71/2019 da Indonésia para sistemas eletrônicos públicos, as diretrizes da NITDA na Nigéria, a política de nuvem governamental da Índia e as exigências da NCA na Arábia Saudita.
Dados de Treinamento de Inteligência Artificial
Os regulamentos de governança de IA da China, agora integrados ao arcabouço da CSL desde as emendas de janeiro de 2026, incluem componentes de localização para dados de treinamento de IA processados por operadores de ICI. As organizações que treinam modelos de IA com dados coletados de usuários chineses dentro de setores de ICI devem garantir que os dados de treinamento permaneçam sujeitos às exigências padrão de localização e avaliação de segurança.
A UE e a Soberania de Dados
O GDPR não exige localização de dados dentro da UE ou do EEE. Em vez disso, ele permite transferências internacionais para países com proteção adequada ou por meio de mecanismos de transferência aprovados, como Cláusulas Contratuais-Padrão, Regras Corporativas Vinculantes, ou decisões de adequação. O arcabouço do GDPR é construído em torno de condições de transferência, e não de exigências de armazenamento.
No entanto, a UE não está totalmente livre de pressões relacionadas à soberania de dados.
O Esquema Europeu de Certificação de Cibersegurança para Serviços em Nuvem (EUCS), desenvolvido pela ENISA nos termos da Lei de Cibersegurança da UE, tem sido objeto de um debate prolongado sobre exigências de soberania. Versões anteriores do EUCS incluíam exigências explícitas de soberania para o nível mais alto de certificação (High+): sede na UE, controle jurisdicional da UE e ausência de obrigação legal de divulgar dados a governos de terceiros países. Essas exigências teriam, na prática, excluído os principais provedores de nuvem dos EUA da possibilidade de obter o nível mais alto de certificação. Em setembro de 2024, o Conselho da UE instou a ENISA e a Comissão Europeia a acelerarem o processo do EUCS e a esclarecerem como os critérios de soberania seriam incorporados. A adoção pelo Grupo Europeu de Certificação de Cibersegurança (ECCG) tinha como meta 2025, embora a questão da soberania permanecesse contestada.
Vários Estados-Membros da UE impõem exigências setoriais de localização que vão além do piso estabelecido pelo GDPR. Alemanha, França e Países Baixos impõem exigências adicionais para dados de saúde. Diversos Estados-Membros exigem que os dados relacionados ao governo permaneçam em solo nacional. Essas regras nacionais coexistem com o arcabouço geral de transferência do GDPR.
O Debate Econômico e de Política Comercial
As exigências de localização de dados têm custos econômicos mensuráveis. A Information Technology and Innovation Foundation (ITIF) identificou 154 casos de regulamentações explícitas ou de fato de localização de dados em 66 países. Utilizando um índice de restritividade de dados derivado da OCDE, o ITIF estima que um aumento de 1 ponto na restritividade de dados de um país reduz seu produto comercial bruto em 7%, desacelera a produtividade em 2,9% e aumenta em 1,5% os preços a jusante para indústrias dependentes de dados ao longo de cinco anos.
Os países mais restritivos em matéria de dados na análise do ITIF são China (29 medidas de localização), Índia (12), Rússia (9) e Turquia (7).
Na Organização Mundial do Comércio, as discussões sobre comércio digital no âmbito da Iniciativa de Declaração Conjunta sobre Comércio Eletrônico têm tratado dos fluxos internacionais de dados. Vários membros da OMC propuseram compromissos vinculantes sobre a liberalização dos fluxos de dados, mas nenhum acordo multilateral vinculante sobre localização de dados foi concluído.
Os defensores da localização argumentam que ela atende a interesses legítimos: segurança nacional (impedindo o acesso de serviços de inteligência estrangeiros aos dados de cidadãos), acesso para aplicação da lei (garantindo que os dados estejam disponíveis para investigações dentro da jurisdição), desenvolvimento econômico (construindo indústrias domésticas de nuvem e mantendo empregos de processamento de dados no país) e proteção da privacidade (mantendo os dados de cidadãos sob a legislação nacional). Os críticos argumentam que a localização fragmenta a internet global, eleva os custos de conformidade para empresas que operam além-fronteiras, prejudica os países em desenvolvimento que carecem de infraestrutura doméstica de nuvem, e duplica a infraestrutura a um custo econômico significativo, sem benefícios de segurança proporcionais.
O equilíbrio entre esses interesses ainda não está resolvido. A tendência global é de mais localização, não menos, ainda que alguns países (notadamente a Índia, com a DPDP Act) tenham avançado para arcabouços de base mais permissivos do que os propostos em suas versões anteriores.
Desenvolvimentos Recentes (2024-2026)
Diversos desenvolvimentos significativos ocorreram desde a revisão anterior desta página (março de 2026):
China. As emendas da CSL entraram em vigor em 1º de janeiro de 2026, aumentando as multas máximas para RMB 10 milhões, ampliando o alcance extraterritorial e integrando a governança de IA. As disposições transfronteiriças da CAC de março de 2024 flexibilizaram os limites de transferência e introduziram listas negativas para zonas de livre comércio, representando a flexibilização mais significativa das regras transfronteiriças da China até o momento.
Índia. As Regras DPDP foram finalizadas e publicadas em novembro de 2025. A Regra 15 estabelece o modelo de lista negativa para transferências internacionais. A conformidade plena é exigida até maio de 2027. A lista negativa de países restritos ainda não foi publicada.
Arábia Saudita. O período de carência da PDPL encerrou-se em 14 de setembro de 2024. A SDAIA publicou o regulamento de transferência internacional em agosto de 2024. O regime saudita de proteção de dados agora está plenamente operativo e exequível.
Nigéria. A NDPA, sancionada em junho de 2023, substituiu a NDPR como base estatutária da proteção de dados. A designação de CNII, em 2024, do BVN, do NIN e do NIBSS acrescentou novas obrigações de localização de infraestrutura crítica.
Indonésia. O período de transição de dois anos da Lei PDP encerrou-se em 17 de outubro de 2024. Todas as organizações foram obrigadas a alcançar conformidade plena a partir dessa data.
Rússia. A exigência de notificação de transferência internacional da FZ-266 (em vigor desde março de 2023) acrescentou uma etapa obrigatória de notificação prévia ao Roskomnadzor para qualquer transferência internacional de dados pessoais.
Cazaquistão. As emendas de fevereiro de 2024 introduziram obrigações de notificação de violações (em vigor desde julho de 2024) e proibiram a coleta de cópias físicas de documentos de identidade.
Estratégias de Conformidade para Organizações Multinacionais
As organizações que operam em múltiplas jurisdições com diferentes exigências de localização podem adotar diversas estratégias.
Arquitetura Regional de Data Centers
Implantar data centers (ou contratar provedores de nuvem) em jurisdições-chave garante a conformidade com o armazenamento local. Grandes provedores de nuvem, como AWS, Microsoft Azure e Google Cloud, oferecem opções de residência de dados específicas por região. As organizações podem configurar políticas de residência de dados para garantir que os dados de países específicos permaneçam dentro de regiões designadas. Os grandes provedores também introduziram ofertas de nuvem soberana: o Sovereign Cloud do Google, o EU Data Boundary da Microsoft e produtos comparáveis permitem que as organizações se comprometam contratualmente a nunca deixar que determinados dados saiam de uma zona geográfica definida, o que pode satisfazer exigências de localização flexível sem o custo de capital de uma infraestrutura dedicada.
Segregação e Classificação de Dados
Implementar arcabouços de classificação de dados que rotulam os dados por jurisdição e categoria permite que as organizações apliquem as regras de localização de forma seletiva. Nem todos os dados de um determinado país exigem localização; frequentemente, apenas categorias específicas (financeira, saúde, governamental) estão sujeitas a exigências de armazenamento local.
Arquiteturas Híbridas
Algumas organizações mantêm armazenamento local "quente" para fins de conformidade, ao mesmo tempo em que processam ou analisam os dados de forma centralizada. Essa abordagem satisfaz as exigências de localização e preserva a eficiência das análises centralizadas. O ponto essencial é garantir que a cópia local atenda à exigência de "armazenamento primário", quando aplicável.
Combinação de Mecanismos de Transferência
Em jurisdições de localização flexível, as organizações podem manter o armazenamento local enquanto utilizam mecanismos de transferência (Cláusulas Contratuais-Padrão, decisões de adequação, consentimento ou cláusulas contratuais) para exportar cópias dos dados destinadas às operações globais.
Monitoramento Regulatório
As leis de localização mudam com frequência. As organizações precisam de um processo sistemático para acompanhar os desenvolvimentos legislativos e regulatórios em cada país onde operam. O período de 2024 a 2026 registrou mudanças significativas na Índia, na Arábia Saudita, na Indonésia, na Nigéria, no Cazaquistão e na China. Revisões trimestrais de conformidade são o mínimo recomendado para organizações com presença relevante nesses mercados.
Estas são informações jurídicas gerais, não consultoria jurídica. As organizações que precisam lidar com exigências de localização de dados em múltiplas jurisdições devem consultar um advogado habilitado na jurisdição relevante para obter orientação específica sobre sua situação. Esta página reflete as informações disponíveis em maio de 2026.
Frequently Asked Questions
O que é localização de dados?
A localização de dados refere-se a exigências legais de que dados pessoais ou outras categorias de dados sejam armazenados, processados ou mantidos em servidores fisicamente localizados dentro das fronteiras de um país específico. Essas leis podem exigir que todos os dados sobre os residentes de um país permaneçam dentro do território nacional (localização rígida), exigir uma cópia local ao mesmo tempo em que permitem transferências ao exterior (localização flexível), ou impor condições às transferências internacionais que funcionam como uma localização de fato.
Quais países possuem as leis de localização de dados mais rígidas?
China, Rússia e Vietnã mantêm os regimes de localização mais abrangentes em 2026. A China exige que os operadores de ICI armazenem localmente informações pessoais e dados importantes, com avaliações de segurança governamentais exigidas antes de qualquer transferência internacional. As emendas da CSL em vigor desde 1º de janeiro de 2026 elevaram as multas máximas para RMB 10 milhões e ampliaram o alcance extraterritorial da lei. A Rússia exige que todas as bases de dados primárias de dados pessoais de cidadãos russos sejam armazenadas em servidores dentro da Rússia; desde março de 2023, os operadores também devem notificar o Roskomnadzor antes de qualquer transferência internacional. O Vietnã exige armazenamento local pelos provedores de serviços domésticos e impõe obrigações de localização condicionadas a gatilhos para empresas estrangeiras.
O GDPR exige localização de dados dentro da UE?
O [GDPR](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr) não exige localização de dados dentro da UE ou do EEE. Em vez disso, permite transferências internacionais para países com proteção adequada ou por meio de mecanismos de transferência aprovados, como [Cláusulas Contratuais-Padrão](/world-laws/world-data-privacy-laws/standard-contractual-clauses), Regras Corporativas Vinculantes ou [decisões de adequação](/world-laws/world-data-privacy-laws/eu-adequacy-decisions). No entanto, o debate sobre a certificação de nuvem do EUCS e as regras setoriais de determinados Estados-Membros da UE para dados de saúde e dados governamentais vão além do piso estabelecido pelo GDPR.
Qual é a diferença entre localização de dados rígida e flexível?
A localização rígida proíbe que determinados dados saiam do país. Os dados devem ser armazenados e processados exclusivamente em servidores locais, sem cópias transferidas ao exterior. A localização flexível exige que uma cópia dos dados seja mantida em servidores locais, mas permite a transferência de cópias para outros países, geralmente sujeita a condições como aprovação governamental, consentimento ou salvaguardas contratuais. A lei de dados pessoais da Rússia representa a localização rígida, enquanto o arcabouço da Indonésia representa a localização flexível.
A Índia exige localização de dados?
As Regras de Proteção de Dados Pessoais Digitais da Índia, finalizadas em novembro de 2025, não impõem uma localização geral. A Regra 15 permite transferências internacionais para qualquer país, a menos que o governo central restrinja especificamente esse destino por meio de uma lista negativa. Em maio de 2026, nenhuma lista negativa havia sido publicada. A conformidade plena em matéria de transferência internacional é exigida até maio de 2027. No entanto, o Banco de Reserva da Índia exige que todos os dados de sistemas de pagamento sejam armazenados exclusivamente na Índia, tornando essa uma das exigências setoriais de localização mais rígidas do mundo.
O que mudou nas regras de localização de dados da China em 2024 e 2026?
Duas mudanças importantes ocorreram. Em março de 2024, a CAC publicou novas disposições sobre fluxos transfronteiriços de dados que flexibilizaram significativamente os limites de transferência: as avaliações de segurança agora só são exigidas para transferências envolvendo mais de 1 milhão de indivíduos ou mais de 10.000 titulares de dados sensíveis por ano. As transferências de menos de 100.000 indivíduos estão isentas da exigência de registro do contrato-padrão. Em janeiro de 2026, as emendas à Lei de Cibersegurança entraram em vigor, elevando as multas máximas para RMB 10 milhões, ampliando o alcance extraterritorial para abranger qualquer atividade prejudicial à cibersegurança da China e integrando a governança de IA ao arcabouço da CSL.
Como as empresas multinacionais cumprem exigências de localização diferentes?
As estratégias comuns incluem implantar data centers regionais ou utilizar provedores de nuvem com opções de residência de dados específicas por jurisdição (incluindo produtos de nuvem soberana, como o Google Sovereign Cloud e o Microsoft EU Data Boundary), implementar arcabouços de classificação de dados que rotulam os dados por país e categoria, manter arquiteturas híbridas com armazenamento local para conformidade e processamento centralizado para análises, combinar mecanismos de transferência como as Cláusulas Contratuais-Padrão em jurisdições de localização flexível, e estabelecer processos trimestrais de monitoramento regulatório para acompanhar as mudanças em todos os países de operação.
Quais setores enfrentam mais exigências de localização de dados?
Os serviços financeiros e bancários enfrentam as regras setoriais de localização mais rígidas e disseminadas, com reguladores na Índia (RBI), na Indonésia (OJK), na Nigéria (CBN), na Arábia Saudita (SAMA) e na China exigindo, todos, armazenamento local de dados. Os dados de saúde enfrentam localização em múltiplas jurisdições. Os metadados de telecomunicações são frequentemente localizados por razões de segurança nacional. Os dados governamentais e do setor público estão sujeitos a exigências de localização em praticamente todos os países que possuem leis de residência de dados. Os dados de treinamento de IA são uma categoria emergente de localização, particularmente na China.
As exigências de localização de dados estão aumentando ou diminuindo globalmente?
A tendência global é de mais localização. O número de países com alguma forma de exigência de localização cresceu significativamente desde 2015. O ITIF identificou 154 medidas de localização em 66 países nos relatórios mais recentes. Os fatores impulsionadores incluem preocupações de segurança nacional, estratégias de desenvolvimento econômico para construir indústrias domésticas de nuvem, tensões geopolíticas em torno da soberania digital e exigências de acesso para aplicação da lei. Alguns países (notadamente a Índia, com suas Regras DPDP) adotaram arcabouços mais permissivos do que os propostos em versões anteriores, mas a tendência mais ampla é de expansão, não de contração.
Sources and References
- PIPL da China(npc.gov.cn).gov
- Lei de Segurança de Dados da China(npc.gov.cn).gov
- Lei de Cibersegurança da China (emendada em janeiro de 2026)(npc.gov.cn).gov
- Emenda à CSL da China (outubro de 2025, em vigor a partir de janeiro de 2026)(gov.cn).gov
- Disposições da CAC sobre Fluxos Transfronteiriços de Dados (março de 2024)(chinalawtranslate.com)
- Contrato-Padrão da CAC para Exportação de Dados (2023)(cac.gov.cn).gov
- Lei Federal 242-FZ da Rússia(pravo.gov.ru).gov
- Convenção 108 do Conselho da Europa(coe.int).gov
- DPDP Act 2023 da Índia(meity.gov.in).gov
- Diretiva do RBI sobre Armazenamento de Dados de Pagamento(rbi.org.in).gov
- Localização de Dados de Cibersegurança do Vietnã (US ITA)(trade.gov).gov
- Nigeria Data Protection Act 2023(cert.gov.ng).gov
- Nigeria Data Protection Commission(ndpc.gov.ng).gov
- Lei KVKK nº 6698 da Turquia(mevzuat.gov.tr).gov
- GR 71/2019 da Indonésia(jdih.kominfo.go.id).gov
- Regulamentos de Implementação da PDPL da Arábia Saudita(istitlaa.ncc.gov.sa).gov
- Fiscalização de Transferência Internacional de TIC da Arábia Saudita (US ITA)(trade.gov).gov
- Panorama da Localização de Dados no Cazaquistão (Morgan Lewis, 2024)(morganlewis.com)
- ITIF: Barreiras aos Fluxos Transfronteiriços de Dados(itif.org)
- ITIF: Restrições a Serviços de Nuvem na UE (2025)(itif.org)
- Hogan Lovells: Debate sobre a Soberania no EUCS(hoganlovells.com)