Transferências Internacionais de Dados no GDPR: SCCs e Adequação (2026)

Toda vez que uma empresa direciona dados pessoais da UE para um servidor fora do Espaço Econômico Europeu, seja para um provedor de nuvem dos EUA, uma empresa de terceirização indiana ou uma subsidiária canadense, isso aciona uma obrigação jurídica vinculante nos termos do Capítulo V do GDPR. Sem um mecanismo de transferência válido em vigor antes de os dados serem movidos, essa transferência é ilícita, independentemente de quão seguramente os dados sejam tratados no destino. Se você é novo na estrutura do GDPR, comece por O Que É o GDPR? antes de continuar.
Por Que o GDPR Restringe as Transferências Internacionais de Dados
A proteção de dados pessoais do GDPR não termina na fronteira do EEE. O Artigo 44 estabelece o que os profissionais chamam de princípio anti-brecha: "Só é permitida uma transferência de dados pessoais que sejam objeto de tratamento, ou que se destinem a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional, se, sob reserva de outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem cumpridas pelo responsável pelo tratamento e pelo subcontratante, inclusive no que respeita a transferências posteriores de dados pessoais do país terceiro ou de uma organização internacional para outro país terceiro ou outra organização internacional." Sem essa regra, uma organização poderia escapar das obrigações do GDPR simplesmente encaminhando dados por um servidor fora da UE uma vez e depois transmitindo-os para qualquer lugar do mundo.
A segunda frase do Artigo 44 reforça esse ponto: "Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não seja comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento." A proteção acompanha os dados aonde quer que vão. A própria legislação nacional de privacidade do país de destino é irrelevante para a análise. O que importa é se o mecanismo específico do Capítulo V utilizado manterá um padrão de proteção essencialmente equivalente ao garantido na UE para os titulares de dados cujos dados estão sendo movidos.
As regras do Capítulo V se aplicam a todo controlador e a todo operador abrangido pelo GDPR, independentemente do porte, do setor ou do volume de transferência da organização. Uma startup que envia registros de clientes a um processador de pagamentos dos EUA está sujeita às mesmas obrigações que uma multinacional que encaminha dados de RH a subsidiárias asiáticas. A questão limiar é simplesmente: o destinatário está em um país ou território fora do EEE? Se sim, o Capítulo V se aplica.
Também vale esclarecer o que constitui uma "transferência". O EDPB confirmou, nas Diretrizes 05/2021, que o acesso remoto por um destinatário em um país terceiro, um administrador de sistemas que faz login de fora do EEE, ou um técnico de suporte que recupera um backup, conta como uma transferência, mesmo que nenhum arquivo seja fisicamente copiado através de uma fronteira. Os controladores devem mapear todos esses pontos de acesso ao avaliar sua exposição a transferências.
A Hierarquia de Decisão em Três Níveis
O Capítulo V do GDPR estabelece uma hierarquia estruturada de instrumentos de transferência. A hierarquia deve ser aplicada em ordem: o Nível 1 (decisões de adequação) é verificado primeiro; somente se não existir decisão de adequação é que o Nível 2 (salvaguardas apropriadas) se torna relevante; e somente se as opções do Nível 2 forem genuinamente indisponíveis ou inviáveis é que o Nível 3 (derrogações do Artigo 49) entra em jogo. As autoridades supervisoras rejeitaram consistentemente as tentativas de pular diretamente para as derrogações quando opções do Nível 2 estavam disponíveis.
A tabela a seguir resume os três níveis e os mecanismos individuais dentro de cada um.
| Mecanismo | Artigo | Quando Usar |
|---|---|---|
| Decisão de adequação | Art. 45 | O país de destino consta da lista de adequação atual da Comissão (sem necessidade de contrato) |
| Cláusulas Contratuais-Padrão | Art. 46(2)(c) | Qualquer transferência a um país não adequado; instrumento mais comum |
| Regras Corporativas Vinculantes (controlador) | Art. 47 | Transferências intragrupo dentro de uma multinacional, aprovadas pela DPA líder |
| Regras Corporativas Vinculantes (operador) | Art. 47 | Transferências intragrupo na cadeia de operadores, aprovadas pela DPA líder |
| Cláusulas contratuais ad hoc | Art. 46(3)(a) | Cláusulas sob medida aprovadas pela DPA para cenários incomuns de transferência |
| Código de conduta aprovado | Art. 46(2)(e) | Código setorial aprovado nos termos do Art. 40 pela DPA competente |
| Certificação aprovada | Art. 46(2)(f) | Mecanismo de certificação aprovado nos termos do Art. 42 |
| Instrumento juridicamente vinculativo (autoridades públicas) | Art. 46(2)(a) | Acordos de compartilhamento de dados entre governos |
| Consentimento explícito | Art. 49(1)(a) | Transferência ocasional e não repetitiva com consentimento específico e informado do titular dos dados |
| Necessidade contratual | Art. 49(1)(b) | Transferência objetivamente necessária para um contrato com o titular dos dados |
| Interesse público importante | Art. 49(1)(d) | Motivos de interesse público reconhecidos pelo direito da UE ou de um Estado-Membro |
| Reivindicações jurídicas | Art. 49(1)(e) | Estabelecimento, exercício ou defesa de reivindicações jurídicas |
| Interesses vitais | Art. 49(1)(f) | Proteger a vida quando o titular dos dados é incapaz de consentir |
Nível 1: Decisões de Adequação Nos Termos do Artigo 45
O Artigo 45(1) oferece a via de transferência mais simples possível: "Pode ser feita uma transferência de dados pessoais para um país terceiro ou uma organização internacional quando a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos no interior desse país terceiro, ou a organização internacional em causa, asseguram um nível de proteção adequado. Essas transferências não carecem de autorização específica."
Em termos práticos, uma transferência para uma jurisdição adequada não exige contrato sob medida, avaliação de risco nem notificação à autoridade supervisora. A transferência é tratada da mesma forma que uma transferência dentro da UE. Em meados de 2026, 17 jurisdições possuem status de adequação: Andorra, Argentina, Brasil (adequação concedida em 26 de janeiro de 2026), Canadá (apenas organizações comerciais), Coreia do Sul (dezembro de 2021), Guernsey, Ilha de Man, Ilhas Faroé, Israel, Japão, Jersey, Nova Zelândia, Organização Europeia de Patentes (julho de 2025), Reino Unido (adequação renovada em 19 de dezembro de 2025), Suíça, Estados Unidos (apenas organizações comerciais certificadas nos termos do Data Privacy Framework entre a UE e os EUA), Uruguai.
As decisões de adequação não são concessões permanentes de equivalência. O Artigo 45(3) exige que a Comissão realize uma revisão periódica pelo menos a cada quatro anos, e concede à Comissão o poder de revogar, alterar ou suspender uma decisão se a proteção do país em questão cair abaixo do padrão exigido. O Artigo 45(4) exige que a Comissão monitore os desenvolvimentos em curso em países terceiros e organizações internacionais que possam afetar o funcionamento das decisões existentes. A decisão de adequação do Reino Unido, por exemplo, esteve sujeita a uma revisão de caducidade e foi renovada em dezembro de 2025, após o exame de desenvolvimentos legislativos pós-Brexit. A decisão de adequação do Japão já foi revisada e confirmada, embora a Comissão tenha observado regras suplementares negociadas com a Comissão de Proteção de Informações Pessoais do Japão.
A Comissão avalia a adequação examinando o Estado de Direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação relevante em vigor (tanto geral quanto setorial, incluindo segurança pública, direito penal e legislação de segurança internacional), a existência de autoridades supervisoras independentes com poderes de fiscalização adequados, e os compromissos internacionais assumidos pelo país. Nenhum país é declarado adequado apenas por ter promulgado uma lei de privacidade. A Comissão também deve avaliar a fiscalização na prática.
Para transferências que ficam parcialmente fora de uma decisão de adequação, por exemplo, transferências a órgãos governamentais canadenses, que não são abrangidas pela decisão de adequação do setor comercial do Canadá, ou transferências a organizações dos EUA que não são certificadas pelo DPF, o controlador deve usar um mecanismo do Artigo 46 para esses fluxos não abrangidos. As decisões de adequação frequentemente excluem autoridades públicas, órgãos de aplicação da lei ou setores específicos. É essencial ler com atenção o escopo da decisão relevante.
Para a lista completa e atual de países adequados, os textos das decisões e resumos de escopo, veja nossa página dedicada Decisões de Adequação da UE.
Nível 2: Salvaguardas Apropriadas Nos Termos do Artigo 46
Para a grande maioria dos destinos no mundo, incluindo China, Índia, Rússia e a maioria das organizações dos EUA que não são certificadas pelo DPF, não existe decisão de adequação. O Artigo 46(1) oferece a solução: "Na falta de uma decisão ao abrigo do artigo 45.°, n.° 3, o responsável pelo tratamento ou o subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se tiver apresentado garantias apropriadas e na condição de os titulares dos dados gozarem de direitos oponíveis e de vias de recurso efetivas."
O Artigo 46(2) lista as salvaguardas que não exigem autorização prévia caso a caso de uma autoridade supervisora, o que significa que o controlador ou operador pode implementá-las sem buscar aprovação regulatória prévia: instrumentos juridicamente vinculativos entre autoridades públicas, BCRs aprovadas nos termos do Artigo 47, SCCs adotadas pela Comissão, cláusulas-padrão adotadas por uma autoridade supervisora e aprovadas pela Comissão, códigos de conduta aprovados nos termos do Artigo 40, e certificações aprovadas nos termos do Artigo 42. As salvaguardas que exigem autorização prévia da DPA estão listadas no Artigo 46(3): cláusulas contratuais ad hoc e arranjos administrativos entre autoridades públicas.
As Cláusulas Contratuais-Padrão em Detalhe
As SCCs modernizadas da Comissão foram adotadas em 4 de junho de 2021, na Decisão de Execução (UE) 2021/914 da Comissão, publicada no Jornal Oficial da UE em L 199/31, em 7 de junho de 2021. Elas substituíram três conjuntos de SCCs adotados sob a antecessora Diretiva 95/46/CE (Decisões da Comissão 2001/497/CE e 2010/87/UE), que foram revogadas com efeito a partir de 27 de setembro de 2021. Um período de transição vigorou até 27 de dezembro de 2022, durante o qual os contratos que se baseavam nas SCCs antigas e foram celebrados antes de 27 de setembro de 2021 podiam permanecer válidos sem alteração. Após 27 de dezembro de 2022, qualquer nova dependência das SCCs antigas se tornou ilícita.
As SCCs de 2021 usam uma arquitetura modular: em vez de emitir conjuntos separados de SCCs para cada cenário de transferência, a Comissão publicou um único documento, do qual as partes selecionam o módulo aplicável. Os quatro módulos são:
- Módulo 1 (Controlador a Controlador): cobre situações em que um controlador no EEE exporta dados para um controlador fora do EEE. Cada parte é independentemente responsável por sua própria conformidade. Caso de uso típico: compartilhamento de dados de clientes entre dois parceiros de negócios.
- Módulo 2 (Controlador a Operador): o módulo mais amplamente usado. Cobre um controlador no EEE que contrata um operador fora do EEE (por exemplo, um provedor de infraestrutura em nuvem dos EUA ou um processador de folha de pagamento terceirizado). O operador deve agir apenas conforme as instruções documentadas do controlador.
- Módulo 3 (Operador a Operador): cobre um operador no EEE que contrata um suboperador fora do EEE, quando o operador atua sob instruções do controlador a montante. É exigida autorização do controlador original antes de estabelecer a relação de suboperação.
- Módulo 4 (Operador a Controlador): cobre um operador fora do EEE que devolve ou envia dados de volta ao seu controlador dentro do EEE. Esse cenário surge quando um operador fora do EEE coleta dados em nome de um controlador do EEE (por exemplo, uma empresa de pesquisa de mercado dos EUA que trata dados de respondentes da UE e envia os resultados de volta ao seu cliente na UE).
As SCCs de 2021 também introduziram um mecanismo de adesão (docking): novas partes podem aderir a uma relação de SCC existente ao contra-assinar as cláusulas, evitando a necessidade de reexecutar um conjunto completo de SCCs cada vez que o arranjo de tratamento se expande. Isso simplifica a conformidade para cadeias de fornecimento complexas.
As partes podem acrescentar salvaguardas adicionais ou termos específicos ao negócio às SCCs, desde que os acréscimos não contradigam as cláusulas obrigatórias nem reduzam o nível de proteção dos titulares de dados. Elas não podem excluir ou alterar as disposições obrigatórias.
Um acréscimo estrutural crítico nas SCCs de 2021 é a Cláusula 14: Leis e Práticas Locais que Afetam o Cumprimento das Cláusulas. A Cláusula 14(a) exige que as partes declarem não ter motivos para acreditar que as leis e práticas do país de destino impeçam o importador de cumprir suas obrigações sob as SCCs. A Cláusula 14(c) impõe uma obrigação de avaliação documentada, especificando que as partes devem avaliar se as leis do país de destino respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática. Essa cláusula, em essência, codifica a obrigação de Avaliação de Impacto de Transferência que o Schrems II impôs, tornando-a uma obrigação contratual expressa entre exportador e importador, em vez de meramente uma expectativa regulatória.
Para orientação passo a passo sobre a seleção de módulos, um modelo de avaliação da Cláusula 14 e comentários sobre as principais cláusulas das SCCs, veja nossa página dedicada Cláusulas Contratuais-Padrão.
As Regras Corporativas Vinculantes em Detalhe
As BCRs são códigos internos de proteção de dados, juridicamente vinculantes, que um grupo multinacional adota para regular as transferências intragrupo de dados pessoais do EEE para entidades do grupo fora do EEE. O Artigo 47(1) especifica que as BCRs devem ser juridicamente vinculantes e aplicar-se a, e ser cumpridas por, todos os membros do grupo, devem conferir expressamente direitos oponíveis aos titulares de dados no que respeita ao tratamento de seus dados pessoais, e devem satisfazer as exigências listadas no Artigo 47(2).
O Artigo 47(2) estabelece uma lista de conteúdo mínimo. As BCRs devem especificar a estrutura do grupo e os dados de contato dos membros; as transferências de dados, incluindo as categorias de dados, o tipo de tratamento e a finalidade; sua natureza juridicamente vinculante; a aplicação dos princípios gerais de proteção de dados (limitação de finalidade, minimização de dados, retenção limitada, e assim por diante); os direitos dos titulares de dados e como exercê-los; os arranjos de responsabilidade e como as reclamações são tratadas; e como uma autoridade supervisora pode auditar a conformidade.
O GDPR distingue as BCRs de controlador (que regem transferências intragrupo em que entidades do EEE são os controladores de dados) das BCRs de operador (que regem cadeias de operadores intragrupo). O EDPB publicou documentos de trabalho e recomendações dedicados para cada tipo. As BCRs de controlador são regidas principalmente pelas Recomendações 1/2022 do EDPB; as BCRs de operador têm sua própria estrutura.
O processo de aprovação de BCRs envolve: apresentar minutas de BCRs à autoridade supervisora líder competente (tipicamente a DPA do país onde está localizada a entidade do EEE com o principal estabelecimento); a DPA líder conclui uma revisão e elabora uma decisão nos termos do mecanismo de coerência do Artigo 63 do GDPR; o EDPB analisa a decisão e emite um parecer; e a DPA líder emite a aprovação final refletindo o feedback do EDPB. O processo tipicamente leva de 12 a 18 meses, mesmo para submissões bem preparadas. As autorizações de BCRs pré-GDPR, emitidas nos termos da Diretiva 95/46/CE, permanecem válidas, salvo se alteradas ou revogadas.
A limitação fundamental: as BCRs cobrem apenas transferências dentro do grupo. Elas não autorizam transferências a operadores ou controladores terceiros não relacionados. Uma organização com BCRs aprovadas para transferências intragrupo ainda precisa de SCCs ou de outro mecanismo do Artigo 46 para operadores externos.
Schrems II: A Decisão Que Mudou Tudo
O acórdão da CJUE de julho de 2020 no Processo C-311/18, Comissário de Proteção de Dados v. Facebook Ireland Limited e Maximillian Schrems, é a decisão mais impactante sobre transferência de dados na história do GDPR. Ela remodelou a conformidade em matéria de transferências internacionais de dados de duas formas fundamentais.
A primeira constatação: o Tribunal invalidou a Decisão 2016/1250 da Comissão, que havia estabelecido o Privacy Shield entre a UE e os EUA. O Tribunal concluiu que o arcabouço legal dos EUA, particularmente a Seção 702 da Lei de Vigilância de Inteligência Estrangeira e a Ordem Executiva 12333, não oferecia aos titulares de dados da UE uma proteção essencialmente equivalente à garantida na UE, porque os programas de vigilância dos EUA permitiam o acesso a dados pessoais de forma não estritamente necessária e proporcional ao que era exigido em uma sociedade democrática. O Tribunal também constatou que os titulares de dados da UE não dispunham de um recurso judicial efetivo contra o acesso das agências de inteligência dos EUA a seus dados, uma exigência prevista no Artigo 47 da Carta dos Direitos Fundamentais da UE. As transferências do Privacy Shield para os Estados Unidos tornaram-se ilícitas em 16 de julho de 2020, o dia em que a decisão foi proferida.
A segunda constatação, com efeito global mais amplo: o Tribunal manteve a validade das SCCs como mecanismo de transferência, mas impôs uma obrigação condicional. As SCCs criam direitos e obrigações contratuais entre exportador e importador, mas não podem vincular autoridades governamentais no país de destino. Antes de se basear nas SCCs, as partes devem avaliar se as leis do país de destino comprometem a eficácia prática das cláusulas. Se o importador não puder cumprir as obrigações das SCCs à luz da legislação local, o exportador de dados deve suspender ou encerrar a transferência. Se a autoridade supervisora relevante tomar conhecimento de tal situação, ela é obrigada, nos termos do Artigo 58(2)(f), a suspender ou proibir a transferência.
A decisão colocou um prêmio imediato no que se tornou conhecido como Avaliações de Impacto de Transferência. Os controladores que se baseavam em SCCs não podiam mais simplesmente executar o modelo e considerar a análise de conformidade concluída. Eles tinham que documentar uma avaliação jurídica e factual genuína da legislação do país de destino e, caso a avaliação identificasse lacunas, implementar medidas suplementares para tratá-las ou abster-se da transferência.
A Linha do Tempo Schrems: Safe Harbor, Privacy Shield, DPF
A relação de transferência de dados UE-EUA foi moldada por três estruturas sucessivas, cada uma adotada após a invalidação de sua antecessora.
Safe Harbor (2000-2015): o arcabouço original de autocertificação dos EUA, nos termos da Decisão 2000/520/CE da Comissão, permitia que empresas dos EUA se autocertificassem em conformidade com os Princípios do Safe Harbor. Em outubro de 2015, a CJUE invalidou o Safe Harbor no Processo C-362/14 (Maximillian Schrems v. Comissário de Proteção de Dados, conhecido como Schrems I), constatando que a Comissão não tinha competência para limitar os poderes das autoridades supervisoras nacionais de investigar reclamações simplesmente ao declarar adequada a proteção de um país, e que o Safe Harbor não satisfazia a equivalência porque a legislação dos EUA permitia amplo acesso por autoridades públicas sem restrições de proporcionalidade.
Privacy Shield (2016-2020): o Privacy Shield foi adotado na Decisão 2016/1250 da Comissão, em 12 de julho de 2016, como substituto do Safe Harbor, incorporando compromissos adicionais e um mecanismo de Ombudsperson para reclamações de titulares de dados da UE. Ele foi invalidado pelo Schrems II em 16 de julho de 2020, pelos motivos descritos acima. As organizações que dependiam exclusivamente do Privacy Shield para transferências aos EUA perderam imediatamente sua base de transferência. Aquelas que tinham SCCs em paralelo foram obrigadas a concluir TIAs para avaliar se essas SCCs permaneciam viáveis.
Data Privacy Framework entre a UE e os EUA (2023-presente): em 10 de julho de 2023, a Comissão adotou a Decisão de Execução (UE) 2023/1795, constatando que os Estados Unidos são adequados para organizações certificadas pelo DPF. A base legal para a constatação de adequação é a Ordem Executiva 14086 dos EUA, de 7 de outubro de 2022, "Reforçando as Salvaguardas para as Atividades de Inteligência de Sinais dos Estados Unidos", que impôs restrições de proporcionalidade e necessidade à coleta de inteligência de sinais dos EUA e estabeleceu o Tribunal de Revisão de Proteção de Dados como um órgão independente para julgar reclamações de titulares de dados da UE. O DPRC é um novo mecanismo judicial com autoridade para determinar reparações, incluindo a eliminação de dados coletados indevidamente, vinculantes para as agências de inteligência dos EUA.
A decisão de adequação do DPF tem escopo delimitado. Ela cobre transferências apenas para organizações dos EUA que se autocertificaram nos Princípios do DPF (disponíveis no site do DPF mantido pelo Departamento de Comércio dos EUA) e que estão sob a jurisdição da Comissão Federal de Comércio ou do Departamento de Transporte. Aproximadamente 2.700 organizações dos EUA estavam certificadas em meados de 2026. Instituições financeiras dos EUA e outras entidades fora da jurisdição da FTC/DoT estão excluídas e devem usar SCCs.
A durabilidade jurídica do DPF é contestada. O Parlamento Europeu adotou uma resolução em 11 de abril de 2023 expressando preocupações sobre a adequação das salvaguardas dos EUA, e organizações de liberdades civis sinalizaram intenção de contestar a decisão perante a CJUE. As organizações que se baseiam no DPF como sua única base de transferência para os EUA devem manter arranjos de reserva com SCCs, para que uma eventual invalidação futura não crie uma emergência de conformidade.
Avaliações de Impacto de Transferência: O Que São e Como Conduzir Uma
Uma Avaliação de Impacto de Transferência é um exercício estruturado de devida diligência que um exportador de dados deve concluir antes de se basear em SCCs, BCRs ou outras salvaguardas do Artigo 46. A exigência de TIA surgiu do Schrems II e foi operacionalizada pelo EDPB nas Recomendações 01/2020 v2.0, adotadas em 18 de junho de 2021. As SCCs de 2021 incorporaram a TIA na Cláusula 14, tornando-a uma obrigação contratual entre exportador e importador.
As Recomendações do EDPB estabelecem um roteiro de seis etapas para o processo de TIA:
Etapa 1, conheça suas transferências. Mapeie todas as transferências de dados pessoais para países terceiros, incluindo transferências posteriores e acesso remoto por partes fora do EEE. Identifique as categorias de dados, o destinatário, o país e o mecanismo de transferência atualmente em uso. Esse inventário forma a base da avaliação.
Etapa 2, verifique o instrumento de transferência em que você se baseia. Confirme que o instrumento do Artigo 46 é um que pode, em princípio, ser usado para o país de destino. As SCCs não podem, por exemplo, ser usadas para transferências a autoridades públicas no país de destino, porque as SCCs vinculam apenas partes do setor privado.
Etapa 3, avalie se o instrumento de transferência é eficaz no país de destino. Este é o núcleo da TIA. O exportador e o importador devem avaliar se as leis e práticas do país de destino, em particular seus arcabouços de vigilância e aplicação da lei, impediriam o importador de cumprir a salvaguarda do Artigo 46 na prática. O EDPB recomenda examinar: (a) se o país de destino é membro de redes de vigilância multilaterais, como o Five Eyes; (b) se suas leis de vigilância permitem a coleta em massa do conteúdo de comunicações sem suspeita individualizada; (c) se os titulares de dados podem obter reparação judicial contra o acesso governamental; e (d) o histórico de atividade de vigilância no setor em questão.
Etapa 4, adote medidas suplementares se necessário. Quando a Etapa 3 revelar uma lacuna, o exportador deve adotar medidas suplementares suficientes para elevar o nível de proteção ao padrão da UE. O EDPB as agrupa em três categorias:
-
Medidas técnicas: criptografia de ponta a ponta em que o importador ou terceiros não conseguem acessar a chave em texto claro; pseudonimização (substituição de identificadores diretos por tokens, mantendo a chave apenas no EEE); tratamento dividido ou multiparte, de modo que nenhuma parte fora do EEE detenha o conjunto completo de dados; e arquiteturas de conhecimento zero para armazenamento em nuvem. O EDPB enfatiza que as medidas técnicas devem ser genuinamente eficazes: a criptografia só é uma medida suplementar válida quando o importador não tem acesso à chave em texto claro e a finalidade do tratamento pode ser alcançada com dados criptografados.
-
Medidas contratuais: disposições que exigem que o importador notifique o exportador sobre qualquer solicitação de acesso governamental ou exigência juridicamente vinculante; disposições que exigem que o importador conteste solicitações de acesso que pareçam desproporcionais ou ilícitas; cláusulas de transparência; direitos de auditoria; e restrições a transferências posteriores. As medidas contratuais isoladamente raramente são suficientes quando a legislação de vigilância do país de destino prevalece sobre os compromissos contratuais, mas podem reforçar as medidas técnicas.
-
Medidas organizacionais: minimização de dados na exportação (transferir apenas o estritamente necessário); adoção de políticas internas que exijam escalonamento quando houver acesso governamental; treinamento de pessoal; e manutenção de registros de transferência para demonstrar conformidade contínua.
Se nenhuma combinação de medidas suplementares conseguir preencher a lacuna, tipicamente quando a legislação do país de destino prevê acesso governamental irrestrito aos dados de uma forma que as medidas técnicas não conseguem impedir, o EDPB conclui que a transferência não pode prosseguir com base no Artigo 46.
Etapa 5, etapas processuais e formais. Execute as cláusulas das SCCs (ou outro instrumento do Artigo 46), documente o resultado da TIA e assegure que quaisquer medidas suplementares estejam contratualmente incorporadas. Mantenha a documentação da TIA em arquivo como evidência de conformidade.
Etapa 6, reavalie em intervalos apropriados. Uma TIA não é um exercício único. O EDPB exige que os exportadores monitorem os desenvolvimentos legais no país de destino e reavaliem se a avaliação permanece válida. Mudanças significativas na legislação de vigilância do país de destino, novas decisões judiciais ou desenvolvimentos de fiscalização podem exigir a atualização da TIA e, potencialmente, a suspensão da transferência.
O Data Privacy Framework Entre a UE e os EUA na Prática
Para a conformidade do dia a dia, o DPF funciona da seguinte forma. Uma organização dos EUA que busca a certificação do DPF se autocertifica junto ao Departamento de Comércio dos EUA, comprometendo-se a aderir aos Princípios do DPF, que abrangem aviso, escolha, responsabilização por transferência posterior, segurança, integridade dos dados e limitação de finalidade, acesso, e recurso/fiscalização/responsabilidade. O Departamento de Comércio mantém uma lista pública de organizações certificadas. A certificação deve ser renovada anualmente.
Os titulares de dados da UE cujos dados sejam tratados por uma organização certificada pelo DPF têm múltiplas vias de reparação. Podem, primeiro, reclamar diretamente à organização certificada, que deve responder em até 45 dias. Se não satisfeitos, podem escalar para um mecanismo independente de reparação (tipicamente um órgão de resolução de disputas aprovado ou sua DPA nacional). Se a reclamação envolver possível acesso à segurança nacional, podem encaminhar o assunto à sua DPA nacional, que pode transmiti-lo ao DPRC. O DPRC foi estabelecido nos termos da legislação dos EUA como um novo mecanismo judicial situado dentro do poder executivo, com poderes vinculantes sobre as agências de inteligência dos EUA.
Para dados de RH transferidos da UE a entidades certificadas dos EUA nos termos dos Princípios de RH do DPF, aplica-se uma via distinta: os titulares de dados da UE podem apresentar reclamações por meio de sua DPA nacional, que atua como órgão de reparação.
As organizações certificadas sob o Privacy Shield receberam automaticamente cobertura transitória do DPF por um período limitado, mas foram obrigadas a concluir a autocertificação formal do DPF para manter a proteção de adequação contínua. Qualquer certificação do Privacy Shield não convertida em certificação do DPF caducou.
Nível 3: Derrogações do Artigo 49, Exceções Restritas, Não uma Via de Conformidade
O Artigo 49(1) oferece um nível final para situações em que nem uma decisão de adequação nem salvaguardas do Artigo 46 se aplicam ou são viáveis. Existem sete derrogações, cada uma com condições rigorosas.
Artigo 49(1)(a), Consentimento explícito. O titular dos dados deve consentir explicitamente com a transferência proposta, tendo sido informado dos possíveis riscos de transferências para países sem proteção adequada e sem uma salvaguarda apropriada. O consentimento deve ser específico para a própria transferência internacional; não pode estar embutido em um aviso geral de privacidade nem agrupado com o consentimento para o tratamento geral. O Considerando 111 do GDPR confirma que a derrogação está disponível "quando a transferência for ocasional e necessária no contexto de um contrato ou de uma ação judicial".
Artigo 49(1)(b), Necessidade contratual. A transferência é necessária para a execução de um contrato entre o titular dos dados e o controlador. "Necessário" é interpretado de forma objetiva e estrita: a transferência deve ser exigida para o contrato específico, não meramente conveniente ou comercialmente eficiente. Reservar um voo para um país sem adequação necessariamente exige a transmissão de dados do passageiro à companhia aérea. Encaminhar dados de conta de clientes por um data warehouse dos EUA para gerar análises de marketing não se qualifica como "necessário para o contrato".
Artigo 49(1)(c), Etapas pré-contratuais a pedido do titular dos dados. Semelhante à alínea (b), mas se aplica antes da celebração de um contrato. O titular dos dados deve ter solicitado a transferência como parte de medidas pré-contratuais.
Artigo 49(1)(d), Interesse público importante. A transferência deve ser necessária por razões importantes de interesse público reconhecidas pelo direito da UE ou de um Estado-Membro. Emergências internacionais de saúde, cooperação tributária intergovernamental e investigações de crimes financeiros já foram reconhecidas como interesses públicos qualificados. Essa derrogação se aplica principalmente a órgãos públicos e organizações sem fins lucrativos que atuam no interesse público.
Artigo 49(1)(e), Reivindicações jurídicas. A transferência é necessária para o estabelecimento, o exercício ou a defesa de reivindicações jurídicas. Isso cobre a transferência de provas a tribunais estrangeiros, a divulgação em litígios internacionais e investigações regulatórias. Como todas as derrogações do Artigo 49, ela cobre apenas a transferência específica exigida para o processo específico.
Artigo 49(1)(f), Interesses vitais. A transferência é necessária para proteger os interesses vitais do titular dos dados ou de outras pessoas, quando o titular dos dados está fisicamente ou juridicamente incapaz de dar consentimento. Emergências médicas envolvendo pacientes no exterior são o exemplo paradigmático.
Artigo 49(1)(g), Registos públicos. A transferência é feita a partir de um registro que está aberto à consulta do público ou de qualquer pessoa que possa demonstrar interesse legítimo, sujeito às condições estabelecidas pela legislação que rege o registro.
A limitação mais crítica sobre todas as derrogações do Artigo 49 é que são excepcionais, não estruturais. O Considerando 111 do GDPR afirma explicitamente: "Essas derrogações deverão aplicar-se, em especial, às transferências de dados exigidas e necessárias por razões importantes de interesse público, por exemplo, em casos de intercâmbio internacional de dados entre autoridades da concorrência, administrações fiscais ou aduaneiras, entre autoridades de supervisão financeira, entre serviços competentes em matéria de segurança social ou relativos à saúde pública, por exemplo, no caso de localização de contactos de doenças contagiosas ou com o objetivo de reduzir e/ou erradicar a dopagem no desporto." A arquitetura dos considerandos e das orientações das autoridades supervisoras é clara: o Artigo 49 não oferece uma base legal para transferências sistemáticas, repetidas ou rotineiras em larga escala. Uma organização que se baseia no consentimento do Artigo 49 como sua base para a transferência contínua de dados de RH de funcionários a uma empresa-mãe dos EUA está aplicando indevidamente a disposição.
As Diretrizes 2/2018 do EDPB sobre as derrogações do Artigo 49 confirmam que a exigência de "ocasional" significa que a transferência deve ser genuinamente infrequente e não sistemática. Uma única transferência que faz parte de uma relação comercial contínua, mesmo que o evento de transferência individual ocorra apenas uma vez por mês, pode ser tratada como sistemática se a relação previr transferências repetidas.
Fiscalização: Multas e Proibições de Transferência
Encaminhar dados pessoais da UE para o exterior sem uma base válida do Capítulo V é tratado como uma violação do GDPR de nível máximo. O Artigo 83(5) lista expressamente as violações do Capítulo V entre as infrações sujeitas à multa administrativa máxima: até 20.000.000 de euros ou 4% do faturamento mundial anual total do exercício financeiro anterior, o que for maior. Este é o mesmo nível de penalidade aplicado a violações dos princípios fundamentais de tratamento nos Artigos 5 e 6 e a violações das exigências de consentimento nos termos do Artigo 7.
As multas não são o único instrumento. As autoridades supervisoras têm autoridade, nos termos do Artigo 58(2), para impor proibições temporárias ou permanentes de transferência, o poder de determinar que uma transferência específica ou categoria de transferências seja interrompida. Uma proibição de transferência pode paralisar operações de forma mais disruptiva do que qualquer multa, particularmente para organizações que dependem de infraestrutura de nuvem transfronteiriça. A Comissão de Proteção de Dados da Irlanda emitiu uma ordem de proibição de transferência contra a Meta Platforms em maio de 2023 (em processo, por fim, resolvido com uma multa de 1,2 bilhão de euros, além da proibição), com fundamento em que as transferências baseadas em SCCs da Meta para os Estados Unidos não cumpriam as exigências do Schrems II.
Outras ações de fiscalização notáveis envolvendo transferências internacionais incluem as decisões da CNIL (DPA francesa) de 2022, que constataram que o uso do Google Analytics constituía uma transferência ilícita para os EUA (porque os registros de servidor da Google LLC permitiam potencial acesso da NSA a endereços IP), e a análise paralela do DSB austríaco, que chegou à mesma conclusão. Essas decisões se aplicaram a ferramentas de análise amplamente usadas por sites europeus e levaram a Google a introduzir recursos aprimorados de anonimização de dados.
A combinação de multas máximas e autoridade para proibir transferências significa que TIAs incompletas, avaliações de SCCs desatualizadas, ou transferências a organizações dos EUA não certificadas e não abrangidas pelo DPF carregam risco operacional e jurídico genuíno. Incorporar um exercício documentado de mapeamento de transferências nas revisões anuais de conformidade com o GDPR, e atualizar a TIA sempre que a legislação do país de destino mudar materialmente, é o padrão mínimo recomendado pelas autoridades supervisoras.
Fluxo Prático de Decisão para Escolher um Mecanismo de Transferência
Aplicar a hierarquia do Capítulo V na prática segue uma árvore de decisão sequencial.
Etapa 1: identifique o destino. Confirme o país ou território para o qual os dados pessoais estão sendo transferidos. Lembre-se de que o acesso remoto a partir de um local fora do EEE conta como uma transferência.
Etapa 2: verifique se há uma decisão de adequação. Consulte a lista de adequação atual da Comissão. Se uma decisão de adequação cobrir a transferência (incluindo o escopo, é uma decisão completa ou específica de um setor?), nenhum mecanismo adicional é necessário. Consulte a página Decisões de Adequação da UE para a lista atual e resumos de escopo.
Etapa 3: para os EUA, verifique a certificação DPF. Se o destino for uma organização dos EUA, verifique se ela consta da lista atual de certificação do DPF mantida pelo Departamento de Comércio. Em caso afirmativo, a decisão de adequação cobre a transferência. Caso contrário, prossiga para a Etapa 4.
Etapa 4: selecione um mecanismo do Artigo 46. Para transferências a terceiros externos (não entidades do grupo), as SCCs de 2021 são o instrumento padrão. Selecione o módulo aplicável: Módulo 2 para o cenário típico controlador-a-operador (empresa do EEE usando um provedor de nuvem dos EUA), Módulo 1 para compartilhamento de dados controlador-a-controlador, Módulo 3 para relações operador-a-suboperador, ou Módulo 4 para um operador fora do EEE que devolve dados ao seu controlador no EEE. Para transferências intragrupo dentro de uma multinacional, as BCRs oferecem uma estrutura de longo prazo mais limpa, embora as SCCs possam ser usadas enquanto a aprovação das BCRs está pendente.
Etapa 5: complete uma Avaliação de Impacto de Transferência. Antes de executar as SCCs, complete o roteiro de seis etapas do EDPB: inventarie a transferência, confirme que o módulo da SCC é aplicável, avalie a legislação de vigilância do país de destino, identifique quaisquer medidas suplementares necessárias (técnicas, contratuais, organizacionais), documente a conclusão e programe a reavaliação. A avaliação deve ser documentada por escrito e retida como evidência de conformidade. Veja a página Cláusulas Contratuais-Padrão para uma estrutura detalhada de TIA.
Etapa 6: revise um Contrato de Tratamento de Dados do GDPR se a transferência envolver um operador. Quando são usadas SCCs do Módulo 2, elas incorporam as exigências de DPA do Artigo 28. Se as partes tiverem um DPA separado, as SCCs do Módulo 2 e o DPA devem ser consistentes; em caso de conflito, as SCCs prevalecem.
Etapa 7: considere o Artigo 49 apenas como um genuíno último recurso. Somente após confirmar que as opções dos Níveis 1 e 2 são genuinamente indisponíveis, e que a transferência é realmente ocasional e não repetitiva, uma derrogação do Artigo 49 deve ser considerada. Documente a derrogação específica utilizada e a base factual para a conclusão de que ela se aplica.
Relação Entre o Capítulo V e Outras Exigências do GDPR
O Capítulo V opera sobreposto ao restante do GDPR, não em substituição a ele. Uma transferência internacional validamente autorizada nos termos do Capítulo V ainda deve satisfazer todas as demais exigências do GDPR: a transferência deve ter uma base legal nos termos do Artigo 6 (consentimento, contrato, interesses legítimos, etc.); se envolver dados de categoria especial, uma condição do Artigo 9 também deve ser satisfeita; e o controlador deve ter fornecido ao titular dos dados informações sobre a transferência nos termos dos Artigos 13 ou 14, incluindo a identidade do destinatário no país terceiro e o mecanismo de transferência usado.
A interação entre o Capítulo V e o Artigo 28 (obrigações do operador) merece atenção. Quando uma organização transfere dados a um operador fora do EEE, ela precisa tanto de um Contrato de Tratamento de Dados nos termos do Artigo 28 quanto de um mecanismo de transferência do Capítulo V. O Módulo 2 das SCCs de 2021 satisfaz ambas as exigências simultaneamente: ele incorpora o conteúdo obrigatório do Artigo 28 dentro de suas cláusulas. As organizações que usam SCCs do Módulo 2 não precisam de um DPA separado, embora muitas adicionem um por clareza organizacional.
Para uma explicação detalhada do que um Contrato de Tratamento de Dados do GDPR deve conter e como estruturar um, veja nossa página Contrato de Tratamento de Dados do GDPR.
O arcabouço jurídico mais amplo de privacidade de dados da UE, incluindo os papéis do EDPB, das autoridades supervisoras nacionais e do mecanismo de balcão único, é abordado no hub de Leis de Privacidade de Dados da UE.
Aviso legal: esta página fornece informações jurídicas gerais, não aconselhamento jurídico. As exigências de conformidade com o GDPR são específicas a cada caso e sensíveis à jurisdição. Consulte assessoria jurídica qualificada para orientação adaptada aos arranjos de transferência específicos, países de destino e atividades de tratamento da sua organização.
Frequently Asked Questions
Posso transferir dados pessoais para fora da UE nos termos do GDPR?
Sim, mas somente se um mecanismo de transferência válido do Capítulo V estiver em vigor antes de os dados saírem do EEE. Os três níveis são: (1) transferência para um país com decisão de adequação da UE (sem necessidade de contrato); (2) uso de salvaguardas apropriadas, como Cláusulas Contratuais-Padrão ou Regras Corporativas Vinculantes, combinadas com uma Avaliação de Impacto de Transferência; ou (3) dependência de uma derrogação restrita do Artigo 49 para transferências ocasionais e não repetitivas. Transferências contínuas e sistemáticas devem usar o Nível 1 ou o Nível 2; as derrogações do Artigo 49 não estão disponíveis como mecanismo rotineiro.
O que são Cláusulas Contratuais-Padrão nos termos do GDPR?
As Cláusulas Contratuais-Padrão são modelos contratuais pré-aprovados, emitidos pela Comissão Europeia nos termos do Artigo 46(2)(c) do GDPR, que criam obrigações vinculantes de proteção de dados entre um exportador de dados do EEE e um importador fora do EEE. As SCCs modernizadas de 2021 (Decisão de Execução (UE) 2021/914 da Comissão) têm quatro módulos que cobrem todo cenário de transferência: controlador-a-controlador, controlador-a-operador, operador-a-operador, e operador-a-controlador. Elas também incluem a Cláusula 14, que exige que as partes completem uma Avaliação de Impacto de Transferência confirmando que a legislação do país de destino não impedirá a conformidade. As antigas SCCs foram eliminadas gradualmente em 27 de dezembro de 2022.
O que foi o Schrems II e por que ele importa?
O Schrems II é o acórdão da CJUE no Processo C-311/18 (Comissário de Proteção de Dados v. Facebook Ireland e Maximillian Schrems), proferido em 16 de julho de 2020. O Tribunal invalidou a decisão de adequação do Privacy Shield entre a UE e os EUA, constatando que a legislação de vigilância dos EUA não fornecia aos titulares de dados da UE uma proteção essencialmente equivalente nem reparação judicial efetiva. De forma mais ampla, a decisão confirmou que as SCCs são válidas, mas condicionais: antes de se basear nas SCCs, o exportador de dados deve verificar que as leis do país de destino não impedirão a conformidade na prática. Se impedirem, são necessárias medidas suplementares, ou a transferência não pode prosseguir. O Schrems II tornou as Avaliações de Impacto de Transferência uma etapa obrigatória para toda transferência baseada em SCCs.
Os EUA são adequados nos termos do GDPR?
Parcialmente. Em 10 de julho de 2023, a Comissão Europeia adotou uma decisão de adequação para o Data Privacy Framework entre a UE e os EUA, cobrindo transferências a organizações dos EUA que se autocertificaram nos Princípios do DPF e estão sob a jurisdição da FTC ou do Departamento de Transporte. Aproximadamente 2.700 organizações dos EUA estão certificadas em meados de 2026. Organizações dos EUA que não são certificadas pelo DPF, e aquelas fora da jurisdição da FTC/DoT, devem se basear em SCCs ou em outro mecanismo do Artigo 46. O DPF já foi contestado por organizações de liberdades civis e pode enfrentar futuro escrutínio da CJUE; manter arranjos de reserva com SCCs é prudente.
O que é uma Avaliação de Impacto de Transferência e quando ela é exigida?
Uma Avaliação de Impacto de Transferência é uma análise jurídica estruturada que os exportadores de dados devem completar antes de se basear em SCCs, BCRs ou outras salvaguardas do Artigo 46. Ela avalia se o arcabouço jurídico do país de destino, particularmente suas leis de vigilância e aplicação da lei, impediria o importador de honrar as obrigações do mecanismo de transferência na prática. A exigência de TIA foi estabelecida pela CJUE no Schrems II e operacionalizada pelo EDPB nas Recomendações 01/2020 v2.0. As SCCs de 2021 incorporam a TIA na Cláusula 14 como uma obrigação contratual. As TIAs devem ser documentadas, retidas como evidência de conformidade, e atualizadas sempre que ocorrerem desenvolvimentos legais relevantes no país de destino.
O que são Regras Corporativas Vinculantes e como diferem das SCCs?
As Regras Corporativas Vinculantes são políticas de proteção de dados internamente adotadas e juridicamente vinculantes, que um grupo multinacional usa para regular transferências intragrupo de dados pessoais para fora do EEE. Elas devem ser aprovadas por uma autoridade supervisora líder da UE nos termos do Artigo 47, após uma revisão de coerência do EDPB, que tipicamente leva de 12 a 18 meses. As BCRs cobrem apenas transferências dentro do mesmo grupo corporativo; as SCCs são necessárias para transferências a terceiros não relacionados. As BCRs oferecem uma estrutura de governança mais limpa para fluxos intragrupo contínuos e evitam a necessidade de reexecutar conjuntos de SCCs cada vez que uma nova entidade do grupo é adicionada. Ambas exigem uma Avaliação de Impacto de Transferência.
Posso usar o consentimento explícito como minha base rotineira para transferências internacionais de dados?
Não. As autoridades supervisoras do GDPR e o EDPB interpretam consistentemente as derrogações do Artigo 49, incluindo o consentimento explícito, como exceções restritas para transferências ocasionais e não repetitivas, não como alternativas às salvaguardas do Artigo 46. Transferências rotineiras ou sistemáticas exigem uma decisão de adequação do Nível 1 ou uma salvaguarda apropriada do Nível 2. Mesmo quando o consentimento é validamente usado para uma transferência específica, ele deve ser específico para a transferência internacional e seus riscos: não pode ser agrupado em termos de serviço gerais, e os titulares de dados devem poder retirá-lo sem prejuízo.
Quais medidas suplementares podem tornar lícita uma transferência baseada em SCCs após o Schrems II?
As Recomendações 01/2020 v2.0 do EDPB identificam três categorias. As medidas técnicas incluem a criptografia de ponta a ponta em que o importador não detém uma chave em texto claro, a pseudonimização com a chave mantida no EEE, e arquiteturas de tratamento dividido. As medidas contratuais incluem cláusulas de notificação obrigatória quando há acesso governamental, exigências de contestação e direitos de auditoria. As medidas organizacionais incluem a minimização de dados na exportação e políticas internas de escalonamento. O EDPB enfatiza que as medidas técnicas devem ser genuinamente eficazes; a criptografia só é válida se a finalidade do tratamento puder ser alcançada sem que o importador acesse o texto claro. Quando nenhuma combinação de medidas conseguir eliminar a lacuna, a transferência não deve prosseguir.
Qual é a penalidade máxima para uma transferência internacional de dados ilícita?
As violações do Capítulo V do GDPR se enquadram no Artigo 83(5), o nível de multa mais alto: até 20.000.000 de euros ou 4% do faturamento mundial anual total do exercício financeiro anterior, o que for maior. As autoridades supervisoras também têm autoridade, nos termos do Artigo 58(2), para impor proibições temporárias ou permanentes de transferência, que podem suspender totalmente os fluxos transfronteiriços de dados e podem ser mais disruptivas operacionalmente do que qualquer penalidade financeira. A multa de 1,2 bilhão de euros aplicada à Meta Platforms pela DPC irlandesa em maio de 2023, combinada com uma proibição de transferência, ilustra o risco combinado de fiscalização.
As regras de transferência do Capítulo V se aplicam tanto a operadores quanto a controladores?
Sim. O Artigo 44 estabelece que as condições do Capítulo V devem ser cumpridas tanto pelo controlador quanto pelo operador, inclusive no que se refere a transferências posteriores. Um operador estabelecido no EEE que subcontrata a um suboperador fora do EEE deve garantir que um mecanismo do Capítulo V cubra a transferência posterior. O Módulo 3 das SCCs de 2021 (operador a operador) foi desenhado para esse cenário e exige autorização prévia do controlador original antes de estabelecer o arranjo de suboperação.
Sources and References
- Regulamento (UE) 2016/679 (GDPR), Artigos 44-50 e Considerandos 101-115(eur-lex.europa.eu)
- Decisão de Execução (UE) 2021/914 da Comissão sobre Cláusulas Contratuais-Padrão(eur-lex.europa.eu)
- Decisão de Execução (UE) 2023/1795 da Comissão, decisão de adequação do Data Privacy Framework UE-EUA(eur-lex.europa.eu)
- Processo C-311/18 da CJUE (Schrems II) - Comissário de Proteção de Dados v Facebook Ireland e Maximillian Schrems(curia.europa.eu)
- Processo C-362/14 da CJUE (Schrems I) - Maximillian Schrems v Comissário de Proteção de Dados(curia.europa.eu)
- Recomendações 01/2020 v2.0 do EDPB sobre Medidas para Complementar Instrumentos de Transferência(edpb.europa.eu)
- Diretrizes 2/2018 do EDPB sobre Derrogações do Artigo 49 nos termos do Regulamento 2016/679(edpb.europa.eu)
- Recomendações 1/2022 do EDPB sobre o Pedido de Aprovação e sobre os Elementos e Princípios das Regras Corporativas Vinculantes de Controlador(edpb.europa.eu)
- Decisões de Adequação da Comissão Europeia - lista atual(commission.europa.eu)
- Comissão Europeia - Regras Corporativas Vinculantes(commission.europa.eu)
- Comissão Europeia - Histórico das Transferências de Dados UE-EUA (Safe Harbor, Privacy Shield, DPF)(commission.europa.eu)