O GDPR Se Aplica a Empresas dos EUA? O Artigo 3 Explicado (2026)

O GDPR se aplica a empresas dos EUA que oferecem bens ou serviços a pessoas na UE ou que monitoram seu comportamento ali, nos termos do Artigo 3(2) do Regulamento (UE) 2016/679. Não é necessário escritório, funcionários ou estabelecimento na UE. Este guia aborda todos os fatores de ativação, obrigações e a exposição a multas que uma empresa dos EUA precisa compreender.
Para uma visão geral completa do que o GDPR exige, incluindo os sete princípios de tratamento de dados e as seis bases legais, veja o explicativo complementar.
O GDPR Realmente Se Aplica a uma Empresa dos EUA Sem Presença na UE?
Sim. O Artigo 3(2) do Regulamento (UE) 2016/679 estende o alcance do GDPR para além das fronteiras da UE. A disposição se aplica a qualquer controlador ou operador não estabelecido na União quando seu tratamento de dados pessoais estiver relacionado a: (a) a oferta de bens ou serviços, independentemente de exigir pagamento, a titulares de dados que estejam na União; ou (b) o monitoramento do comportamento de titulares de dados, na medida em que esse comportamento ocorra dentro da União.
A expressão operativa é "não estabelecido na União". O Artigo 3(2) foi redigido especificamente para alcançar entidades de fora da UE. Uma empresa de software em Austin, uma editora de mídia em Chicago e um varejista de comércio eletrônico em Phoenix podem, cada um, se enquadrar no escopo do GDPR, com base inteiramente na forma como tratam informações sobre pessoas que estão fisicamente na UE no momento desse tratamento. Esse é o ponto central que as empresas dos EUA frequentemente não percebem: o gancho jurisdicional do GDPR se baseia na localização do titular dos dados no momento do tratamento, não na localização da empresa ou de seus servidores.
Existe uma segunda via de entrada no GDPR que se aplica independentemente do Artigo 3(2). O Artigo 3(1) alcança controladores e operadores estabelecidos na UE. Isso é relevante para empresas dos EUA que abriram uma filial, uma subsidiária ou até mesmo um arranjo comercial estável em um Estado-Membro da UE. Se esse estabelecimento na UE estiver envolvido no tratamento de dados pessoais, mesmo que o tratamento de dados propriamente dito ocorra em servidores nos EUA, o Artigo 3(1) se aplica a esse tratamento no contexto das atividades do estabelecimento na UE. Uma empresa dos EUA com um escritório de vendas na Alemanha, uma subsidiária de distribuição na França ou uma equipe de atendimento ao cliente nos Países Baixos provavelmente está coberta pelo Artigo 3(1) quanto às suas operações na UE, independentemente da análise do Artigo 3(2).
O teste de estabelecimento do Artigo 3(1) decorre da jurisprudência pré-GDPR da CJUE no caso Google Spain v AEPD (Processo C-131/12, 2014), que decidiu que a subsidiária espanhola de uma empresa-mãe dos EUA constituía um estabelecimento na UE, submetendo as atividades de tratamento de dados da matriz à legislação europeia de proteção de dados. A mesma lógica se aplica sob o Artigo 3(1) do GDPR.
Os Dois Fatores de Ativação do Artigo 3(2): Direcionamento e Monitoramento
Fator 1: O Teste de Direcionamento Nos Termos do Artigo 3(2)(a)
O primeiro fator de ativação se aplica quando uma empresa dos EUA oferece bens ou serviços a titulares de dados que estão na União. A "oferta" requer um elemento de direcionamento deliberado. O Considerando 23 do GDPR traça essa linha explicitamente: "A mera acessibilidade do sítio web do responsável pelo tratamento, do subcontratante ou de um intermediário na União, de um endereço de correio eletrónico ou de outros dados de contacto, ou a utilização de uma língua geralmente utilizada no país terceiro onde o responsável pelo tratamento está estabelecido, é insuficiente para determinar essa intenção."
Em termos simples: uma empresa dos EUA cujo site está em inglês não visa automaticamente residentes da UE, porque o inglês é amplamente falado na Europa. As Diretrizes 3/2018 do EDPB sobre Escopo Territorial (Versão 2.0, adotada em 12 de novembro de 2019) detalham esse limite. O EDPB identifica uma lista não exaustiva de fatores que, tomados em conjunto ou individualmente, indicam a intenção de oferecer bens ou serviços a titulares de dados da UE.
Fatores que indicam direcionamento nos termos do Considerando 23 e das Diretrizes 3/2018 do EDPB:
- Uso de um idioma ou moeda geralmente usados em um ou mais Estados-Membros da UE, junto com a possibilidade de encomendar bens ou serviços nesse idioma (por exemplo, uma página de produto em alemão com um carrinho de compras que aceita euros).
- Menção direta a clientes ou usuários da UE ou de Estados-Membros específicos.
- Oferta de opções de entrega para endereços em Estados-Membros da UE.
- Uso de um domínio de nível superior de código de país de um Estado-Membro da UE (por exemplo, .de, .fr, .nl).
- Execução de campanhas publicitárias pagas geodirecionadas a Estados-Membros da UE.
- Inclusão de informações específicas de IVA da UE ou exibição de preços com impostos inclusos para jurisdições da UE.
- Fornecimento de um canal de suporte ao cliente em um idioma ou fuso horário da UE.
Cada um desses fatores é evidência de intenção; nenhum é automaticamente decisivo por si só. As Diretrizes do EDPB reconhecem que a combinação de fatores aumenta o peso da análise. Uma empresa dos EUA que envia produtos para endereços na UE, aceita euros e veiculo anúncios do Google em francês acumulou três fortes indicadores de direcionamento.
Exemplos concretos em que o direcionamento quase certamente se aplica:
| Cenário | O GDPR se Aplica Nos Termos do Art. 3(2)(a)? |
|---|---|
| Varejista de comércio eletrônico dos EUA envia produtos para a Alemanha e a França; o checkout aceita euros | Quase certamente sim |
| SaaS dos EUA cuja página de preços observa "Para clientes da UE, o IVA é adicionado no checkout" | Quase certamente sim |
| Serviço de assinatura dos EUA veicula campanhas publicitárias no Facebook ou no Google geodirecionadas a Estados-Membros da UE | Quase certamente sim |
| Aplicativo dos EUA adiciona uma versão em alemão do seu produto | Quase certamente sim |
| Site de notícias dos EUA usa apenas inglês, sem preços, envio ou publicidade específicos para a UE | Improvável por si só |
| Site de escritório de advocacia dos EUA com formulário de contato apenas em inglês, sem serviços voltados à UE | Improvável por si só |
| Blogueiro dos EUA cujas postagens são acessíveis globalmente, sem recursos direcionados à UE | Improvável por si só |
A distinção fundamental é intenção mais capacidade. A acessibilidade sem intenção de direcionamento fica fora do Artigo 3(2)(a). O alcance direcionado ou a infraestrutura construída para atender usuários da UE ultrapassa esse limite.
Fator 2: O Teste de Monitoramento Nos Termos do Artigo 3(2)(b)
O segundo fator de ativação é o monitoramento comportamental. O Considerando 24 do GDPR explica que isso abrange o rastreamento de residentes da UE on-line, particularmente o uso de técnicas de definição de perfis para analisar ou prever preferências, comportamentos e atitudes pessoais. O fator de monitoramento é mais amplo do que parece à primeira vista: não exige o direcionamento intencional de usuários da UE. Se sua infraestrutura técnica coleta dados em nível individual de pessoas que se encontram na UE e usa esses dados para tomar decisões sobre elas, o fator de monitoramento pode se aplicar independentemente da análise de direcionamento.
As Diretrizes 3/2018 do EDPB enfatizam que "monitoramento" requer um elemento de rastreamento ou acompanhamento do comportamento de um indivíduo ao longo do tempo. Uma coleta única de um endereço IP em um registro de acesso, sem qualquer definição de perfil ou uso subsequente, tem menor probabilidade de constituir monitoramento. O rastreamento persistente por meio de cookies, pixels, identificação de dispositivos ou tecnologias de rastreamento entre sites geralmente constitui.
Atividades que comumente ativam o teste de monitoramento para empresas dos EUA:
- Instalação de pixels de publicidade ou remarketing de terceiros (tags de conversão do Google Ads, Meta Pixel, LinkedIn Insight Tag) em um site visitado por usuários da UE, quando esses pixels coletam endereços IP e comportamento de navegação para construir segmentos de audiência.
- Execução de análise web (incluindo análises hospedadas internamente) configurada para capturar e reter endereços IP ou identificadores de dispositivo em nível individual de visitantes da UE ao longo do tempo.
- Uso de uma plataforma de dados do cliente (CDP) que combina o histórico de navegação, os padrões de compra e os dados de abertura de e-mail de usuários da UE em um perfil comportamental para direcionamento ou personalização posterior.
- Operação de um aplicativo móvel que registra dados de localização ou comportamento no aplicativo de usuários da UE ao longo do tempo.
- Execução de um programa de fidelidade ou recompensas que rastreia o histórico de compras de membros da UE e envia ofertas direcionadas com base nesse histórico.
- Uso de uma ferramenta de enriquecimento de CRM que combina dados de contato de indivíduos da UE com sinais comportamentais de terceiros.
Uma empresa dos EUA não precisa saber que um usuário específico está na UE para que o fator de monitoramento se aplique. Se a tecnologia usada coleta dados em nível individual de residentes da UE e esses dados são tratados para tomar decisões sobre eles, o fator é atendido. O EDPB observa explicitamente que o rastreamento do comportamento dos titulares de dados "na medida em que esse comportamento ocorra dentro da União" foca no local onde o comportamento rastreado ocorre, não onde o tratamento acontece.
A Tabela de Cenários: O GDPR Se Aplica?
| Cenário | Art. 3(2)(a) Direcionamento | Art. 3(2)(b) Monitoramento | O GDPR Se Aplica? |
|---|---|---|---|
| Varejista dos EUA envia para a UE, checkout em euros | Sim | Depende da análise de dados | Sim |
| SaaS dos EUA com base de assinantes na UE e página de preços específica para a UE | Sim | Provável (análise de uso) | Sim |
| Empresa de ad-tech dos EUA executando pixels de remarketing em usuários da UE | Improvável por si só | Sim (definição de perfis) | Sim |
| Empresa dos EUA sem clientes na UE, mas com GA4 coletando IPs da UE para definição de perfis | Não | Possivelmente | Possivelmente (avaliar configuração de análise) |
| Blogueiro dos EUA, apenas em inglês, sem envio para a UE, sem anúncios direcionados à UE, sem definição de perfis por análise de dados da UE | Não | Não | Não |
| Empresa dos EUA com uma subsidiária de vendas na Alemanha | Estabelecimento Art. 3(1) | Estabelecimento Art. 3(1) | Sim (Art. 3(1)) |
Artigo 27: A Exigência de Representante na UE
Uma vez que o Artigo 3(2) enquadra uma empresa dos EUA no escopo do GDPR, o Artigo 27(1) impõe uma obrigação estrutural: a empresa deve designar, por escrito, um representante estabelecido em um dos Estados-Membros da UE onde estejam localizados os titulares de dados da empresa.
O papel do representante na UE é substantivo, não meramente formal. O representante atua como o ponto de contato local da empresa tanto para os titulares de dados quanto para as autoridades supervisoras. Os residentes da UE podem exercer seus direitos do GDPR (acesso, retificação, eliminação, portabilidade, oposição) diretamente por meio do representante. Qualquer autoridade de proteção de dados (DPA) da UE pode direcionar correspondência de fiscalização, ordens administrativas e processos ao representante. Nos termos do Artigo 27(4), a designação não exime o controlador ou operador de qualquer responsabilidade nos termos do GDPR; o representante atua em adição, não em substituição, à empresa dos EUA.
O representante deve estar estabelecido (ter presença real, não apenas um endereço registrado) em um Estado-Membro da UE, não meramente no EEE. Essa distinção importa: Noruega, Islândia e Liechtenstein adotaram o GDPR como Estados do EEE, e uma presença apenas no EEE (por exemplo, um representante na Noruega) não satisfaz o Artigo 27 para fins de autoridade supervisora da UE, embora o EDPB tenha observado, na prática, que representantes baseados no EEE são geralmente aceitáveis, dada a implementação do GDPR pelo EEE. As empresas dos EUA devem confirmar com seus assessores jurídicos se um Estado do EEE se qualifica para sua situação específica.
A identidade e os dados de contato do representante do Artigo 27 devem ser divulgados no aviso de privacidade da empresa. Os titulares de dados devem conseguir contatar o representante. Existem serviços comerciais de representação em todos os principais Estados-Membros da UE especificamente para essa finalidade; o custo é tipicamente de algumas centenas a alguns milhares de euros por ano, bem abaixo da exposição a multas por não cumprir a exigência.
A Exceção Restrita do Artigo 27(2)
Nem toda empresa dos EUA que atende ao Artigo 3(2) precisa nomear um representante. O Artigo 27(2)(a) exclui o tratamento que seja simultaneamente: (a) ocasional (não rotineiro nem contínuo); (b) não inclua tratamento em larga escala de dados de categoria especial nos termos do Artigo 9(1) (dados de saúde, dados biométricos, dados genéticos, origem racial ou étnica, crenças religiosas ou filosóficas, opiniões políticas, filiação sindical, orientação sexual ou condenações penais); e (c) seja improvável que resulte em risco para os direitos e liberdades das pessoas físicas, levando em conta a natureza, o contexto, o escopo e as finalidades do tratamento. As autoridades públicas também são isentas nos termos do Artigo 27(2)(b).
Essa exceção é restrita na prática. A maioria das empresas dos EUA que operam um site com cookies de publicidade, uma lista de e-mails de marketing, um aplicativo móvel ou análise comportamental de dados não se qualificará. Seu tratamento é contínuo (não ocasional) e envolve rastreamento persistente em nível individual. Um pesquisador acadêmico dos EUA que conduziu uma pesquisa anônima única com participantes da UE pode se qualificar; uma empresa de SaaS dos EUA com uma base recorrente de clientes na UE não se qualificará.
A falta de nomeação de um representante do Artigo 27 exigido é uma violação de multa de Nível 1 (Artigo 83(4)), expondo a empresa a até 10 milhões de euros ou 2% do faturamento global anual, o que for maior.
O GDPR e as Leis de Privacidade Estaduais dos EUA: Como Interagem
Muitas empresas dos EUA sujeitas ao GDPR também estão cobertas por leis estaduais de privacidade dos EUA, principalmente a Lei de Privacidade do Consumidor da Califórnia (CCPA), conforme emendada e reforçada pela Lei de Direitos de Privacidade da Califórnia (CPRA, em vigor desde 1º de janeiro de 2023). O regime CCPA/CPRA e o GDPR compartilham DNA conceitual (ambos exigem avisos de privacidade, direitos dos titulares de dados e governança de fluxo de dados), mas diferem em vários aspectos importantes, que exigem um trabalho de conformidade distinto, e não um único programa unificado.
Base legal versus modelo de exclusão. O GDPR exige uma base legal para toda atividade de tratamento antes que o tratamento comece (adesão prévia como padrão). O CCPA/CPRA usa um modelo diferente: o tratamento é geralmente permitido, mas os consumidores têm o direito de optar por não participar da venda ou do compartilhamento de suas informações pessoais. O padrão de consentimento do GDPR nos termos do Artigo 7 exige uma indicação de concordância dada livremente, específica, informada e inequívoca; o consentimento do CCPA para dados sensíveis exige adesão prévia, mas o mecanismo geral de "venda/compartilhamento" usa uma exclusão proeminente. Uma empresa dos EUA não pode satisfazer a exigência de base legal do GDPR simplesmente fornecendo um mecanismo de exclusão do CCPA.
Escopo dos direitos dos titulares de dados. Ambos os regimes concedem direitos de acesso, exclusão e portabilidade. O GDPR também prevê o direito de oposição nos termos do Artigo 21 e o direito de restrição do tratamento nos termos do Artigo 18, que não têm equivalente direto no CCPA/CPRA. O GDPR também concede direitos relacionados à tomada de decisão automatizada nos termos do Artigo 22, que vão além da exclusão de definição de perfis do CCPA.
Definições de dados sensíveis. A CPRA acrescentou uma categoria de "informações pessoais sensíveis" (SPI) com exigências de consentimento prévio para determinados usos. As categorias especiais do Artigo 9 do GDPR são semelhantes, mas não idênticas. Por exemplo, a CPRA inclui números de identificação governamental, geolocalização precisa e filiação sindical como SPI; o GDPR inclui origem racial/étnica, crenças religiosas e dados de saúde. Uma empresa deve mapear seus tipos de dados em relação a ambas as definições separadamente.
Limiares de escopo. O CCPA/CPRA se aplica a empresas com fins lucrativos que atendam a um dos três limiares: receita bruta anual superior a 25 milhões de dólares; compra, venda ou compartilhamento anual de informações pessoais de 100.000 ou mais consumidores ou domicílios; ou 50% ou mais da receita anual proveniente da venda ou compartilhamento de informações pessoais. O GDPR não tem limiar de receita ou volume; qualquer empresa que atenda aos testes do Artigo 3(2) está coberta, independentemente do porte, sujeita a obrigações mais restritas para operadores menores em determinados artigos.
Operador versus prestador de serviço. O Artigo 28 do GDPR usa o termo "operador" para fornecedores que tratam dados em nome de um controlador. O CCPA/CPRA usa "prestador de serviço". Ambos exigem um contrato escrito especificando o escopo do tratamento, mas os termos contratuais exigidos diferem. Um contrato combinado de tratamento de dados/prestação de serviço que satisfaça ambos é possível, mas requer redação cuidadosa.
Implicação prática. Uma empresa dos EUA de médio porte com usuários na UE e clientes ou funcionários na Califórnia deve tratar o GDPR e o CCPA/CPRA como dois programas de conformidade paralelos, com uma estrutura compartilhada de mapeamento de dados e gestão de fornecedores, não como um único exercício. As etapas de auditoria se sobrepõem (inventário de dados, contratos com fornecedores, atualização do aviso de privacidade, fluxo de trabalho de direitos dos titulares), mas os padrões jurídicos substantivos divergem nas camadas de base legal e consentimento.
Para a comparação completa, veja o guia comparativo GDPR versus CCPA.
Transferências de Dados UE-EUA: O DPF e as SCCs de 2021
Quando uma empresa dos EUA recebe dados pessoais de uma entidade da UE (um cliente, parceiro ou fornecedor), surge uma questão jurídica separada: o Capítulo V do GDPR (Artigos 44 a 49) exige um mecanismo de transferência lícito para dados pessoais que fluem da UE para um país terceiro, incluindo os Estados Unidos. O acórdão Schrems II da CJUE (Comissário de Proteção de Dados v. Facebook Ireland, Processo C-311/18, 16 de julho de 2020) invalidou o mecanismo antecessor, o Privacy Shield, deixando uma lacuna até que o atual DPF fosse adotado.
Duas ferramentas principais estão agora disponíveis.
O Data Privacy Framework (DPF) Entre a UE e os EUA
Em 10 de julho de 2023, a Comissão Europeia adotou sua decisão de adequação para o Data Privacy Framework entre a UE e os EUA, como Decisão de Execução (UE) 2023/1795 da Comissão, nos termos do Artigo 45(3) do GDPR. A decisão de adequação conclui que os Estados Unidos garantem um nível adequado de proteção para dados pessoais transferidos a organizações dos EUA certificadas pelo DPF. Isso significa que empresas e indivíduos da UE podem transferir dados pessoais para uma empresa certificada dos EUA sem executar um contrato de transferência separado ou realizar uma Avaliação de Impacto de Transferência para essa transferência específica.
O DPF é administrado pelo Departamento de Comércio dos EUA. Uma empresa dos EUA se autocertifica anualmente junto ao Departamento de Comércio, comprometendo-se com os sete Princípios do DPF: Aviso, Escolha, Responsabilização por Transferência Posterior, Segurança, Integridade dos Dados e Limitação de Finalidade, Acesso, e Recurso, Fiscalização e Responsabilidade. A certificação é pública: o Departamento de Comércio mantém uma lista pesquisável de organizações certificadas em dataprivacyframework.gov, que as empresas da UE podem consultar para verificar o status de um parceiro dos EUA.
A elegibilidade para a certificação do DPF é limitada a organizações dos EUA sujeitas à jurisdição da Comissão Federal de Comércio ou do Departamento de Transporte dos EUA. Isso abrange a maioria das empresas do setor privado dos EUA. No entanto, instituições financeiras reguladas exclusivamente pela GLBA, operadoras de telecomunicações sujeitas à jurisdição da FCC e determinadas organizações sem fins lucrativos podem não se qualificar. Qualquer empresa que tenha dúvidas sobre sua elegibilidade deve confirmar com o Departamento de Comércio ou com assessores jurídicos antes de adotar o DPF como seu mecanismo de transferência.
Nos termos da decisão de adequação do DPF, os indivíduos da UE cujos dados sejam transferidos a uma empresa dos EUA certificada pelo DPF têm quatro níveis de reparação: (1) reclamação direta à organização certificada (que deve responder em até 45 dias); (2) resolução independente de disputas por meio de um dos órgãos aprovados pelo DPF; (3) arbitragem vinculante por meio do Painel do DPF para reclamações residuais não resolvidas; e (4) o Conselho de Supervisão de Privacidade e Liberdades Civis (PCLOB) para reclamações sobre o acesso do governo dos EUA a dados transferidos, um mecanismo inserido especificamente para tratar das preocupações de segurança nacional que levaram a CJUE a invalidar o Privacy Shield.
A estabilidade de longo prazo do DPF enfrenta escrutínio jurídico contínuo. A autoridade francesa de proteção de dados (CNIL) e outras já observaram que as diferenças estruturais entre a legislação de vigilância da UE e dos EUA permanecem, e futuros questionamentos na CJUE são possíveis. A decisão de adequação está sujeita a revisão periódica pela Comissão Europeia. As empresas dos EUA que desejam um mecanismo de transferência menos dependente da durabilidade política de uma única decisão de adequação também devem executar as SCCs de 2021 como medida adicional de segurança.
Para uma cobertura detalhada do risco de litígio do DPF e do mecanismo do PCLOB, veja o guia de transferências internacionais de dados do GDPR.
Cláusulas Contratuais-Padrão de 2021
Empresas dos EUA que não são certificadas pelo DPF, ou que preferem um mecanismo de transferência contratual, usam as Cláusulas Contratuais-Padrão de 2021, estabelecidas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021. As SCCs de 2021 substituem as decisões de SCCs de 2001 e 2010 anteriores ao GDPR; essas cláusulas antigas não podem mais ser usadas para novas transferências.
As SCCs de 2021 utilizam uma estrutura de quatro módulos que corresponde a diferentes relações de transferência:
- Módulo 1 (Controlador a Controlador): a empresa dos EUA recebe dados pessoais da UE de um controlador da UE e os trata para suas próprias finalidades. Exemplo: uma empresa de análise de dados dos EUA que recebe dados de segmentação de clientes de uma marca da UE para análise independente.
- Módulo 2 (Controlador a Operador): a empresa dos EUA trata dados pessoais da UE estritamente em nome de um controlador da UE. Exemplo: um provedor de hospedagem em nuvem dos EUA, uma plataforma de entrega de e-mail ou uma ferramenta de automação de marketing atuando como operador para uma empresa da UE.
- Módulo 3 (Operador a Suboperador): a empresa dos EUA atua como suboperadora contratada por um operador da UE. Exemplo: um data center dos EUA usado por um provedor de nuvem da UE.
- Módulo 4 (Operador a Controlador): a empresa dos EUA, atuando como operadora, envia dados de volta ao seu controlador na UE. Este é o cenário menos comum.
Errar na seleção do módulo é, em si, uma falha de conformidade. Uma empresa dos EUA que recebe dados da UE de um parceiro comercial da UE deve caracterizar corretamente se está atuando como controladora ou operadora para essa atividade de tratamento, antes de executar as SCCs.
As SCCs de 2021 também exigem que as partes concluam uma Avaliação de Impacto de Transferência (TIA), na qual o importador de dados dos EUA avalia se a legislação dos EUA (incluindo autoridades de segurança nacional, como a Seção 702 da FISA e a Ordem Executiva 12333) entra em conflito com suas obrigações sob as SCCs. O importador deve notificar o exportador da UE caso não consiga cumprir as SCCs, e deve concordar com medidas suplementares (criptografia, pseudonimização, restrições contratuais de acesso) quando a legislação dos EUA criar uma lacuna. Os titulares de dados são terceiros beneficiários das SCCs e podem fazer valer as cláusulas contra qualquer uma das partes.
Regras Corporativas Vinculantes para Grupos Multinacionais
Um terceiro mecanismo de transferência, as Regras Corporativas Vinculantes (BCRs), está disponível para grupos corporativos multinacionais que transferem dados internamente entre fronteiras. As BCRs exigem aprovação de uma DPA líder e levam meses para serem obtidas. São práticas apenas para grandes multinacionais com transferências transfronteiriças substanciais e contínuas dentro do grupo. Para a maioria das empresas dos EUA, a autocertificação do DPF ou as SCCs de 2021 são a escolha operacional.
Fiscalização do GDPR Contra Empresas dos EUA: Exemplos Reais
As multas do Artigo 83 do GDPR se aplicam a empresas fora da UE nos mesmos termos que às entidades estabelecidas na UE. Diversas ações de fiscalização emblemáticas envolveram diretamente empresas sediadas ou originárias dos EUA.
Meta Platforms (DPC da Irlanda, maio de 2023): a Comissão de Proteção de Dados da Irlanda (DPC) impôs uma multa de 1,2 bilhão de euros à Meta Platforms Ireland por transferir dados de usuários da UE para os servidores da Meta nos EUA sob SCCs, sem medidas suplementares adequadas para tratar da lacuna na legislação de vigilância dos EUA identificada no Schrems II. Esta é a maior multa individual do GDPR registrada até meados de 2026 e envolveu uma empresa de origem estadunidense com estabelecimento na UE (o Artigo 3(1) se aplicou por meio da subsidiária irlandesa). A DPC também determinou que a Meta suspendesse as transferências de dados UE-EUA.
WhatsApp Irlanda (DPC da Irlanda, setembro de 2021): a DPC multou o WhatsApp em 225 milhões de euros por violações de transparência, especificamente por não fornecer aos usuários da UE informações suficientemente claras sobre como seus dados eram compartilhados entre o WhatsApp e outras empresas da Meta. Este caso foi conduzido sob o mecanismo de balcão único, com o estabelecimento da Meta na UE como controlador líder.
Amazon Europe (CNPD de Luxemburgo, julho de 2021): a Comissão Nacional de Proteção de Dados de Luxemburgo multou a Amazon em 746 milhões de euros por tratar dados de publicidade comportamental de usuários da UE sem base legal válida, especificamente pela segmentação publicitária construída em torno do histórico de navegação e compras dos usuários. A Amazon é uma empresa dos EUA que opera por meio de entidades na UE; a CNPD atuou como autoridade líder, dada a sede europeia da Amazon em Luxemburgo.
Google LLC (CNIL da França, janeiro de 2022): a CNIL multou a Google LLC (a entidade-mãe dos EUA) em 150 milhões de euros por instalar cookies de publicidade nos dispositivos dos usuários sem consentimento válido e por tornar o processo de recusa de cookies mais difícil do que o de aceitação. Essa multa teve como alvo a empresa-mãe dos EUA, não apenas sua subsidiária na UE.
Google Irlanda (DPC da Irlanda, múltiplas ocasiões): a DPC conduziu diversas investigações contra o Google Irlanda, abrangendo a retenção de dados de análise e práticas de publicidade direcionada.
Essas ações de fiscalização demonstram diversos pontos que as empresas dos EUA precisam internalizar. Primeiro, as multas são avaliadas contra a empresa como um todo, incluindo as entidades-mãe dos EUA. Segundo, os mecanismos de fiscalização contra entidades fora da UE incluem direcionar a fiscalização por meio de representantes na UE e aplicar pressão comercial ao determinar que entidades da UE suspendam transferências a parceiros dos EUA não conformes. Terceiro, o mecanismo de balcão único significa que a escolha de localização do estabelecimento na UE de uma empresa dos EUA determina qual DPA lidera investigações transfronteiriças, e a DPC irlandesa e a CNPD de Luxemburgo se tornaram autoridades líderes particularmente ativas para grandes empresas de tecnologia.
A Lista Completa de Conformidade com o GDPR para Empresas dos EUA
Estabelecer que o GDPR se aplica é a porta de entrada, não a linha de chegada. Uma empresa dos EUA dentro do escopo do Artigo 3(2) deve satisfazer o conjunto completo de obrigações de controlador do GDPR:
Etapa 1: nomear um representante na UE nos termos do Artigo 27. Designação por escrito, presença em um Estado-Membro da UE, identidade divulgada no aviso de privacidade. Exceção: apenas se a exceção restrita do Art. 27(2) genuinamente se aplicar.
Etapa 2: realizar um exercício de mapeamento de dados. Identifique cada categoria de dados pessoais da UE tratados, a finalidade de cada atividade de tratamento, a base legal utilizada, o período de retenção e quaisquer operadores ou destinatários terceiros. Isso alimenta os registros de atividades de tratamento do Artigo 30.
Etapa 3: estabelecer bases legais para toda atividade de tratamento. Nos termos do Artigo 6(1), cada atividade de tratamento deve se basear em uma das seis bases legais: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública ou interesses legítimos (que exige um teste de ponderação). As atividades de marketing normalmente exigem consentimento. A base legal de execução de contrato se aplica quando o tratamento é necessário para executar um contrato com o titular dos dados. Os interesses legítimos exigem um teste documentado em três partes: o interesse é legítimo, o tratamento é necessário para ele, e os interesses e direitos do titular dos dados não prevalecem.
Etapa 4: atualizar o aviso de privacidade. O aviso de informação dos Artigos 13/14 deve divulgar: a identidade e os dados de contato do controlador e (se aplicável) do representante na UE; as finalidades e bases legais de cada atividade de tratamento; quaisquer transferências para países terceiros e o mecanismo utilizado; os períodos de retenção; e os direitos do titular dos dados (acesso, retificação, eliminação, restrição, portabilidade, oposição e o direito de apresentar reclamação a uma autoridade supervisora).
Etapa 5: criar um fluxo de trabalho para direitos dos titulares de dados (DSR). O GDPR concede aos residentes da UE o direito de acessar seus dados (Art. 15), corrigi-los (Art. 16), eliminá-los (Art. 17), restringir o tratamento (Art. 18), receber uma cópia portátil (Art. 20) e se opor ao tratamento (Art. 21). As solicitações devem geralmente ser respondidas dentro de um mês corrido, com uma possível extensão de dois meses para solicitações complexas. Não é permitida cobrança pela primeira solicitação de cada ano.
Etapa 6: realizar uma auditoria de cookies e consentimento. A maioria dos sites de empresas dos EUA implanta cookies de publicidade e análise que exigem consentimento válido nos termos do GDPR (dado livremente, específico, informado, inequívoco e tão fácil de retirar quanto de conceder) antes da ativação. O EDPB e várias DPAs já confirmaram que caixas pré-marcadas, consentimento agrupado e "muros de consentimento" (exigir consentimento para acessar o site) não satisfazem o consentimento do GDPR. Uma abordagem de gestão de consentimento em conformidade exige um aviso em camadas com opções de adesão granulares e um mecanismo para retirar o consentimento a qualquer momento.
Etapa 7: executar contratos de tratamento nos termos do Artigo 28. Todo fornecedor ou subcontratado que trate dados pessoais da UE em nome da empresa (armazenamento em nuvem, entrega de e-mail, CRM, análise de dados, ferramentas de suporte) exige um contrato de tratamento de dados por escrito, nos termos do Artigo 28(3), especificando o escopo do tratamento, as instruções, as obrigações de segurança, as regras de suboperador, os direitos de auditoria e as obrigações de devolução ou eliminação ao término do contrato.
Etapa 8: escolher um mecanismo de transferência de dados. Se a empresa recebe dados pessoais da UE de entidades ou indivíduos da UE, verifique se a empresa é certificada pelo DPF ou se as SCCs de 2021 estão em vigor para cada relação de transferência relevante.
Etapa 9: estabelecer um procedimento de notificação de violações. O Artigo 33 exige a notificação à autoridade supervisora competente dentro de 72 horas após tomar conhecimento de uma violação de dados pessoais, a menos que seja improvável que a violação resulte em risco para pessoas físicas. O prazo de 72 horas começa quando a equipe interna da empresa toma conhecimento da violação, não quando a investigação forense é concluída. Uma notificação preliminar pode ser enviada dentro de 72 horas, com mais detalhes a seguir.
Etapa 10: avaliar se é exigido um Encarregado de Proteção de Dados (DPO). O Artigo 37 do GDPR exige um DPO para: autoridades públicas; empresas cujas atividades centrais exigem monitoramento regular, sistemático e em larga escala de indivíduos; e empresas cujas atividades centrais envolvem tratamento em larga escala de dados de categoria especial (saúde, biométricos, genéticos, criminais). A maioria das empresas dos EUA envolvidas em SaaS padrão, comércio eletrônico ou serviços profissionais não atingirá o limiar de DPO, mas empresas que operam plataformas de ad-tech, tecnologia de saúde ou análise de RH em larga escala devem avaliar com cuidado.
Etapa 11: conduzir Avaliações de Impacto sobre a Proteção de Dados (AIPDs) quando exigidas. O Artigo 35 exige uma AIPD antes de iniciar qualquer tratamento suscetível de resultar em alto risco para pessoas físicas, incluindo definição de perfis em larga escala, monitoramento sistemático de áreas de acesso público e tratamento de dados de categoria especial em escala.
Etapa 12: manter registros de atividades de tratamento nos termos do Artigo 30. Os controladores devem manter um registro escrito de todas as atividades de tratamento, disponível às autoridades supervisoras mediante solicitação. A exceção do Artigo 30(5) para empresas com menos de 250 funcionários é restrita e não se aplica se o tratamento for contínuo, representar riscos aos titulares de dados ou envolver dados de categoria especial.
Aviso legal: este artigo apresenta informações jurídicas gerais sobre o escopo territorial do GDPR e sua aplicação a empresas sediadas nos EUA. Não constitui aconselhamento jurídico e não cria uma relação advogado-cliente. As determinações de conformidade com o GDPR são específicas a cada caso e dependem de como sua organização trata dados pessoais. Consulte um advogado ou profissional de proteção de dados licenciado em sua jurisdição para orientação sobre sua situação específica. Informações verificadas em junho de 2026.
Frequently Asked Questions
O GDPR se aplica a empresas dos EUA?
Sim, o GDPR se aplica a empresas dos EUA que atendam a qualquer um dos testes do Artigo 3(2): a empresa oferece bens ou serviços a pessoas na UE (mesmo que gratuitamente), ou monitora o comportamento de pessoas na UE, por exemplo, por meio de pixels de publicidade, definição de perfis por análise de dados ou rastreamento de localização. A presença física ou estabelecimento na UE não é exigido. A análise depende de a empresa direcionar intencionalmente usuários da UE ou monitorar tecnicamente seu comportamento enquanto estão na União.
Meu site dos EUA precisa cumprir o GDPR?
Depende de o seu site atender a qualquer um dos fatores de ativação do Artigo 3(2). Se o seu site aceita checkout em moeda da UE, oferece envio para a UE, veicula publicidade direcionada à UE, ou usa análise de dados ou pixels de publicidade que rastreiam visitantes individuais da UE ao longo do tempo, o GDPR provavelmente se aplica. O Considerando 23 deixa claro que a mera acessibilidade do site na UE não é suficiente: um site somente em inglês, exclusivo para os EUA, sem recursos voltados à UE, opções de pagamento da UE ou publicidade direcionada à UE, é improvável que ative o GDPR por si só, mesmo que residentes da UE ocasionalmente o visitem.
O que é um representante na UE nos termos do Artigo 27 e minha empresa dos EUA precisa de um?
Um representante do Artigo 27 é uma pessoa física ou organização estabelecida em um Estado-Membro da UE que uma empresa não pertencente à UE designa como seu ponto de contato local para os titulares de dados e as autoridades supervisoras. Sua empresa dos EUA precisa de um se o Artigo 3(2) se aplicar ao seu tratamento e a exceção restrita do Artigo 27(2) não se aplicar: essa exceção cobre apenas o tratamento ocasional, que não envolve dados de categoria especial em larga escala e representa risco mínimo aos titulares de dados. A maioria das empresas dos EUA com uma base contínua de clientes na UE, lista de marketing ou programa de análise de dados deve nomear um representante. Não fazê-lo é uma violação de Nível 1 do Artigo 83(4), com multas de até 10 milhões de euros ou 2% do faturamento global anual.
A UE pode multar uma empresa dos EUA sem ativos na UE?
Sim. As multas do GDPR são avaliadas contra o empreendimento e podem ser executadas de diversas formas: por meio do representante do Artigo 27, por meio de ordens que determinam que parceiros baseados na UE suspendam transferências de dados à empresa dos EUA não conforme, e por meio de mecanismos de fiscalização jurídica transfronteiriça. As DPAs da UE já impuseram multas superiores a 1 bilhão de euros contra empresas sediadas nos EUA que operam por meio de subsidiárias na UE. Uma empresa dos EUA que opera inteiramente sem ativos na UE é mais difícil de cobrar, mas as consequências reputacionais e comerciais de uma ordem de fiscalização que bloqueia transferências de dados da UE são severas de qualquer forma.
Qual é a diferença entre o GDPR e o CCPA para uma empresa dos EUA?
O GDPR exige uma base legal para toda atividade de tratamento antes de seu início (um modelo de permissão prévia), enquanto o CCPA/CPRA usa um modelo de exclusão posterior para a venda ou compartilhamento de informações pessoais. O padrão de consentimento do GDPR exige uma indicação de concordância dada livremente, específica, informada e inequívoca; o modelo geral do CCPA permite o tratamento, a menos que o consumidor opte por não participar da venda ou do compartilhamento. O GDPR se aplica a qualquer empresa que visa ou monitora residentes da UE, independentemente da receita; o CCPA/CPRA se aplica a empresas com fins lucrativos da Califórnia que atendam a limiares específicos de receita ou volume de dados. Uma empresa com exposição tanto na UE quanto na Califórnia precisa de ambos os programas de conformidade, embora a estrutura de mapeamento de dados e gestão de fornecedores possa ser compartilhada.
O que é o Data Privacy Framework entre a UE e os EUA e como funciona a autocertificação?
O Data Privacy Framework (DPF) entre a UE e os EUA é um mecanismo de adequação adotado pela Comissão Europeia em 10 de julho de 2023 (Decisão 2023/1795). Ele permite que entidades da UE transfiram dados pessoais para organizações dos EUA autocertificadas, sem executar Cláusulas Contratuais-Padrão para cada transferência. Uma empresa dos EUA se autocertifica anualmente junto ao Departamento de Comércio dos EUA, comprometendo-se com os sete Princípios do DPF (Aviso, Escolha, Responsabilização por Transferência Posterior, Segurança, Integridade dos Dados e Limitação de Finalidade, Acesso, e Recurso, Fiscalização e Responsabilidade). A certificação é limitada a empresas sob a jurisdição da FTC ou do Departamento de Transporte. As organizações certificadas pelo DPF são listadas publicamente em dataprivacyframework.gov.
A certificação DPF significa que uma empresa dos EUA está totalmente em conformidade com o GDPR?
Não. A certificação DPF aborda apenas o mecanismo de transferência de dados: ela permite que dados pessoais da UE fluam licitamente para a empresa dos EUA certificada, sem a execução de SCCs para cada transferência. Ela não substitui a conformidade plena com o GDPR. Uma empresa dos EUA certificada pelo DPF ainda deve ter uma base legal para toda atividade de tratamento, fornecer um aviso de privacidade nos termos dos Artigos 13/14, responder a pedidos de exercício de direitos dos titulares de dados, manter registros de tratamento nos termos do Artigo 30, executar contratos de tratamento nos termos do Artigo 28 com fornecedores e satisfazer todas as demais obrigações do GDPR. O DPF é uma solução para a legislação de transferência, não um selo geral de conformidade com o GDPR.
Qual autoridade supervisora da UE tem jurisdição sobre uma empresa dos EUA?
Uma empresa fora da UE sem estabelecimento na UE está sujeita à jurisdição de qualquer autoridade supervisora de Estado-Membro da UE onde estejam localizados seus titulares de dados. Se uma empresa dos EUA designar um representante do Artigo 27, por exemplo, na Irlanda, a Comissão de Proteção de Dados da Irlanda tem jurisdição primária para questões que surjam por meio do representante. Sem um representante, qualquer DPA em um Estado-Membro onde residam os titulares de dados afetados pode abrir uma investigação. Isso difere do mecanismo de balcão único disponível para controladores estabelecidos na UE, no qual uma única autoridade líder coordena a fiscalização transfronteiriça.
As empresas B2B dos EUA precisam cumprir o GDPR para contatos comerciais da UE?
Sim, se tratarem dados pessoais de indivíduos em empresas da UE. O GDPR protege pessoas físicas, não pessoas jurídicas. Contatos comerciais individuais (nomes, endereços de e-mail profissionais, números de discagem direta de funcionários de empresas da UE) são dados pessoais nos termos do GDPR, porque identificam uma pessoa física. Uma plataforma de SaaS, ferramenta de automação de marketing ou equipe de vendas outbound dos EUA que trate dados de contato de funcionários da UE para prospecção, divulgação ou fins de CRM pode ser abrangida pelo teste de direcionamento (se empresas da UE forem deliberadamente visadas) ou pelo teste de monitoramento (se os dados de contato forem usados para definição de perfis ou rastreamento comportamental). A isenção para dados de contato comercial encontrada em algumas leis nacionais de proteção de dados não existe no GDPR.
Quais são as maiores multas do GDPR contra empresas dos EUA?
A maior registrada até meados de 2026 é a multa de 1,2 bilhão de euros contra a Meta Platforms pela DPC irlandesa em maio de 2023, por transferir dados de usuários da UE para servidores nos EUA sem salvaguardas adequadas. A CNPD de Luxemburgo multou a Amazon em 746 milhões de euros em julho de 2021 por tratar dados de publicidade de usuários da UE sem base legal válida. A DPC irlandesa multou o WhatsApp em 225 milhões de euros em setembro de 2021 por violações de transparência. A CNIL da França multou a Google LLC em 150 milhões de euros em janeiro de 2022 por práticas de consentimento de cookies que tornavam a recusa mais difícil do que a aceitação. Essas ações envolveram empresas sediadas nos EUA que operam por meio de subsidiárias na UE.
Sources and References
- Artigos 3, 27, 83 e Considerandos 23-24 do GDPR (Regulamento (UE) 2016/679)(eur-lex.europa.eu)
- Diretrizes 3/2018 do EDPB sobre Escopo Territorial (Artigo 3 do GDPR), Versão 2.0, adotada em 12 de novembro de 2019(edpb.europa.eu)
- Decisão de Execução (UE) 2023/1795 da Comissão: Decisão de Adequação do Data Privacy Framework UE-EUA, 10 de julho de 2023(eur-lex.europa.eu)
- Decisão de Execução (UE) 2021/914 da Comissão: Cláusulas Contratuais-Padrão para Transferências Internacionais, 4 de junho de 2021(eur-lex.europa.eu)
- Programa do Data Privacy Framework UE-EUA: Sete Princípios(dataprivacyframework.gov)
- Transferências de Dados UE-EUA: Visão Geral dos Mecanismos Disponíveis(commission.europa.eu)
- CJUE: Comissário de Proteção de Dados v. Facebook Ireland (Schrems II), Processo C-311/18, 16 de julho de 2020(curia.europa.eu)
- CJUE: Google Spain v AEPD e Mario Costeja Gonzalez, Processo C-131/12, 13 de maio de 2014(curia.europa.eu)