Cláusulas Contratuais-Tipo (SCCs) Explicadas (2026)
As Cláusulas Contratuais-Tipo (Standard Contractual Clauses, SCCs) são termos contratuais pré-aprovados, adotados pela Comissão Europeia, que as organizações utilizam para transferir dados pessoais do Espaço Econômico Europeu (EEE) para países sem decisão de adequação da UE. São o mecanismo jurídico mais amplamente utilizado para transferências internacionais de dados sob o RGPD, empregado por dezenas de milhares de organizações em todo o mundo.
Informações verificadas pela última vez em 19/05/2026. Este artigo ainda não foi revisado por um advogado licenciado.
As atuais SCCs, adotadas em 4 de junho de 2021, substituíram versões anteriores que precediam o RGPD e não tratavam das preocupações levantadas pelo TJUE em sua decisão no caso Schrems II. As cláusulas de 2021 introduziram um sistema modular flexível, exigências embutidas de medidas suplementares e disposições que tratam diretamente do acesso governamental para fins de vigilância.
Este guia aborda os quatro módulos das SCCs, quando usar cada um, como realizar uma Avaliação de Impacto de Transferência, as novas SCCs pendentes para importadores sujeitos ao RGPD, como as SCCs se comparam às decisões de adequação e às Normas Corporativas Vinculativas, as ferramentas de transferência próprias do Reino Unido, os desenvolvimentos recentes de fiscalização e os erros comuns de implementação.
Escopo jurisdicional: Este artigo aborda as Cláusulas Contratuais-Tipo nos termos do Regulamento (UE) 2016/679 (RGPD) e do RGPD do Reino Unido, incluindo a Data (Use and Access) Act 2025 do Reino Unido. Ele cobre os quatro módulos das SCCs (Decisão de Execução de 2021), as orientações do CEPD sobre medidas suplementares e o IDTA e o Addendum do Reino Unido. Para a lista de países com decisão de adequação da UE, veja nosso guia sobre decisões de adequação da UE. Para o Data Privacy Framework UE-EUA especificamente, veja nosso guia sobre o DPF.
Resposta Rápida: O Que São as SCCs e Quando Você Precisa Delas?
As Cláusulas Contratuais-Tipo são termos contratuais pré-aprovados, nos termos do Artigo 46(2)(c) do RGPD, que criam obrigações vinculantes de proteção de dados entre um exportador de dados sediado na UE e um importador de dados fora da UE. As organizações precisam das SCCs sempre que transferirem dados pessoais do EEE para um país que não tenha decisão de adequação da UE e ao qual nenhum outro mecanismo de transferência do Artigo 46 se aplique. Cenários comuns incluem empresas da UE que utilizam provedores de serviços em nuvem sediados nos Estados Unidos, na Índia ou em outros países sem adequação, controladores da UE que contratam operadores na Ásia-Pacífico ou na América Latina, e operadores sediados na UE que direcionam dados a suboperadores fora do EEE. A obrigação de usar as SCCs (ou um mecanismo alternativo de transferência) é estrita: transferir dados pessoais para um país sem adequação, sem uma base legal válida nos termos do Capítulo V do RGPD, é uma potencial infração sujeita a multas de até 20 milhões de euros ou 4% do faturamento anual global.
Por Que as Antigas SCCs Foram Substituídas
A Comissão Europeia adotou originalmente dois conjuntos de Cláusulas Contratuais-Tipo para transferências de dados. O conjunto de 2001 (atualizado em 2004) cobria transferências de controlador para controlador. O conjunto de 2010 cobria transferências de controlador para operador. Ambos foram adotados nos termos da Diretiva de Proteção de Dados de 1995 (95/46/CE) e permaneceram em uso após a entrada em vigor do RGPD, em maio de 2018.
Diversos problemas tornaram a substituição necessária. As antigas SCCs haviam sido redigidas sob a Diretiva, não sob o RGPD, e não refletiam as exigências ampliadas do Regulamento em matéria de responsabilização (accountability), notificação de incidentes de dados e proteção de dados desde a concepção. Elas pressupunham apenas duas partes (um exportador de dados da UE e um importador de dados fora da UE) e não contemplavam cenários de transferência de operador para operador ou de operador para controlador, comuns em computação em nuvem e em relações com prestadores de serviço em múltiplas camadas.
A decisão do TJUE no caso Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Processo C-311/18, ECLI:EU:C:2020:559 (16 de julho de 2020) (comumente chamado de Schrems II), trouxe urgência ao tema. Embora o Tribunal tenha confirmado, em princípio, a validade das SCCs como mecanismo de transferência, exigiu que os exportadores de dados verificassem se o regime jurídico do país de destino compromete as proteções oferecidas pelas SCCs. Se as leis do país importador (como as leis de vigilância dos EUA) conflitarem com as obrigações das SCCs, o exportador deve implementar "medidas suplementares" para suprir a lacuna, ou suspender a transferência.
O Comitê Europeu para a Proteção de Dados (CEPD) publicou as Recomendações 01/2020 (finalizadas em junho de 2021), detalhando quais medidas suplementares as organizações deveriam considerar. As novas SCCs incorporam diversas dessas exigências diretamente ao texto contratual.
Os Quatro Módulos das SCCs
As SCCs de 2021 adotam uma abordagem modular. Em vez de conjuntos separados de cláusulas para diferentes cenários, um único regime contém quatro módulos que as partes selecionam de acordo com seus papéis e a direção do fluxo de dados.
Módulo 1: Controlador para Controlador (C2C)
O Módulo 1 se aplica quando um controlador de dados sediado na UE transfere dados pessoais a um controlador fora do EEE. Ambas as partes determinam de forma independente as finalidades e os meios do tratamento.
Cenários comuns incluem uma empresa europeia que compartilha dados de clientes com sua controladora nos EUA para fins comerciais próprios, ou duas empresas em um arranjo de marketing conjunto em que cada uma controla os dados de forma independente.
As principais obrigações do Módulo 1 incluem fornecer aos titulares dos dados uma cópia das SCCs mediante solicitação, aplicar as exigências de limitação de finalidade do exportador dos dados e permitir que os titulares façam valer as cláusulas na condição de terceiros beneficiários.
Módulo 2: Controlador para Operador (C2P)
O Módulo 2 cobre o cenário de transferência mais comum: um controlador da UE que contrata um operador (como um provedor de nuvem, um processador de folha de pagamento ou um serviço de análise) localizado fora do EEE. Este módulo se alinha às exigências do Artigo 28 do RGPD para contratos com operadores.
O importador de dados (operador) deve tratar os dados apenas conforme instruções documentadas do exportador. Deve implementar medidas técnicas e organizacionais de segurança apropriadas, auxiliar o controlador no atendimento de solicitações de direitos dos titulares, eliminar ou devolver todos os dados ao término da relação de prestação de serviço, e notificar o controlador, sem demora indevida, de qualquer incidente de segurança envolvendo dados pessoais.
A subcontratação de operadores só é permitida com autorização prévia, específica ou geral, por escrito, do controlador. O operador deve impor as mesmas obrigações de proteção de dados a qualquer suboperador, por meio de contrato.
Módulo 3: Operador para Operador (P2P)
O Módulo 3 trata de situações em que um operador sediado na UE contrata um suboperador fora do EEE. Esse cenário é extremamente comum em cadeias de infraestrutura em nuvem. Por exemplo, uma empresa da UE utiliza um provedor de nuvem alemão (operador), que, por sua vez, utiliza um provedor de infraestrutura sediado nos EUA (suboperador).
O fluxo de dados corre de um operador para outro, mas o controlador final permanece sendo a entidade da UE que originalmente contratou o primeiro operador. O Módulo 3 exige que o suboperador trate os dados apenas conforme as instruções do controlador original, comunicadas por meio do primeiro operador.
Módulo 4: Operador para Controlador (P2C)
O Módulo 4 cobre o fluxo inverso: quando um operador sediado na UE devolve ou transfere dados ao seu controlador localizado fora do EEE. Esse cenário surge, por exemplo, quando um prestador europeu de serviços de tratamento de dados devolve resultados a seu cliente fora do EEE, que é o controlador dos dados.
Esse módulo é usado com menos frequência que os demais, mas preenche uma lacuna genuína. Sob as antigas SCCs, não existiam cláusulas-padrão para essa direção de transferência, o que obrigava as organizações a recorrer a bases legais alternativas ou a arranjos contratuais ad hoc.
Como Utilizar as SCCs Modulares
As organizações que implementam as SCCs devem seguir um processo estruturado para garantir a conformidade.
Etapa 1: Determinar os Módulos Aplicáveis
Mapeie todas as transferências internacionais de dados e identifique o papel de cada parte. Selecione o(s) módulo(s) adequado(s) para cada transferência. Um único acordo de SCCs pode incorporar múltiplos módulos, caso as partes tenham papéis diferentes em diferentes atividades de tratamento.
Etapa 2: Preencher os Anexos
As SCCs incluem diversos anexos que devem ser preenchidos com detalhes específicos da transferência:
- Anexo I: Descreve as partes, a transferência de dados (categorias de titulares, tipos de dados pessoais, frequência da transferência, finalidade) e identifica a autoridade de supervisão competente
- Anexo II: Lista as medidas técnicas e organizacionais de segurança implementadas pelo importador dos dados
- Anexo III: Lista os suboperadores autorizados (para os Módulos 2 e 3, caso o controlador conceda autorização geral)
Etapa 3: Realizar a Avaliação de Impacto de Transferência
Conclua a TIA antes de iniciar as transferências. Documente a avaliação e a mantenha como parte de seus registros de responsabilização (accountability), nos termos do Artigo 5(2) do RGPD.
Etapa 4: Implementar Medidas Suplementares
Com base nas conclusões da TIA, adote e documente as medidas suplementares necessárias. Integre as medidas técnicas à sua arquitetura de tratamento de dados.
Etapa 5: Executar e Integrar
As SCCs podem ser incorporadas a um contrato comercial mais amplo ou firmadas como acordo autônomo. Terceiros podem aderir às SCCs a qualquer momento, com a concordância de todas as partes já existentes; esse recurso é chamado de "cláusula de adesão" (docking clause) e foi uma novidade da versão de 2021.
Etapa 6: Monitorar e Reavaliar
A obrigação de garantir proteção adequada é contínua. As organizações devem reavaliar suas TIAs sempre que as circunstâncias mudarem, como no caso de nova legislação no país de destino, alterações nos arranjos de subcontratação do importador dos dados, ou a revelação de novos programas governamentais de vigilância.
Avaliações de Impacto de Transferência e Medidas Suplementares
As SCCs de 2021 exigem que as partes realizem uma Avaliação de Impacto de Transferência (TIA) antes de se apoiarem nas cláusulas para transferências de dados. Essa exigência está diretamente incorporada à Cláusula 14 das SCCs.
O Que Envolve uma TIA
Uma TIA avalia se as leis e práticas do país de destino oferecem um nível de proteção "essencialmente equivalente" ao garantido pelo direito da UE. A avaliação deve considerar:
- As circunstâncias específicas da transferência, incluindo a natureza dos dados, a finalidade, a extensão da cadeia de tratamento e as categorias de destinatários
- As leis do país de destino relevantes para a transferência, em especial as que regulam o acesso governamental a dados pessoais para fins de vigilância ou de aplicação da lei
- Quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes já implementadas para complementar as SCCs
As Recomendações 01/2020 do CEPD descrevem um processo de seis etapas para a realização de TIAs:
- Mapeie suas transferências de dados
- Identifique o mecanismo de transferência (as SCCs, neste caso)
- Avalie se o regime jurídico do país de destino compromete a eficácia do mecanismo de transferência
- Identifique e adote medidas suplementares, se necessário
- Tome as providências processuais exigidas pelas medidas suplementares
- Reavalie em intervalos apropriados
Medidas Suplementares
Quando uma TIA identifica riscos, as organizações devem implementar medidas suplementares para restabelecer o nível de proteção ao padrão de "equivalência essencial". Essas medidas se dividem em três categorias:
Medidas técnicas incluem a criptografia de ponta a ponta (na qual apenas o exportador dos dados detém a chave de decriptação), a pseudonimização (na qual a tabela de correspondência permanece no EEE) e o tratamento dividido ou multipartes, que impede o importador de acessar os dados em claro.
Medidas contratuais envolvem o reforço de obrigações além da base estabelecida pelas SCCs. Exemplos incluem exigir que o importador dos dados conteste solicitações de acesso governamental por todas as vias legais disponíveis, notifique o exportador sobre qualquer solicitação juridicamente vinculante de divulgação de dados (na medida em que a lei permitir), e forneça relatórios periódicos de transparência.
Medidas organizacionais incluem políticas internas de governança de dados, a minimização dos dados transferidos ao estritamente necessário, a adoção de controles de acesso rígidos do lado do importador, e a realização de auditorias regulares.
O CEPD tem enfatizado que medidas contratuais e organizacionais, isoladamente, não conseguem compensar deficiências no regime jurídico do país de destino, caso o governo possa compelir o acesso aos dados em claro. Medidas técnicas que impedem o acesso a dados legíveis são a salvaguarda mais eficaz em jurisdições de alto risco.
Atenção: As ações de fiscalização mostram que SCCs firmadas sem TIAs rigorosas geram risco substancial de conformidade. A autoridade irlandesa aplicou uma multa de 1,2 bilhão de euros contra a Meta em maio de 2023, após a Decisão Vinculante 1/2023 do CEPD, por transferir dados de usuários do Facebook para os EUA por meio de SCCs sem medidas suplementares suficientes para compensar a proteção inadequada oferecida pela legislação dos EUA. A autoridade holandesa impôs uma multa de 290 milhões de euros à Uber em 2024, por transferir dados de motoristas para os EUA sem um mecanismo de transferência válido. As autoridades de supervisão tratam TIAs inadequadas e a ausência de medidas suplementares como infrações substantivas, e não como deficiências processuais.
As SCCs Pendentes para Importadores Sujeitos ao RGPD
As SCCs de 2021 têm uma limitação significativa: aplicam-se apenas a transferências em que o tratamento realizado pelo importador dos dados NÃO está sujeito ao RGPD. Pelos próprios termos das cláusulas, elas regulam transferências de um exportador de dados da UE/EEE a um importador de dados "cujo tratamento dos dados não está sujeito [ao RGPD]".
Isso cria uma lacuna. Uma empresa sediada no Canadá, no Japão ou no Brasil pode ter atividades de tratamento que se enquadram no âmbito territorial do RGPD, nos termos do Artigo 3(2), por oferecer bens ou serviços a residentes da UE ou monitorar seu comportamento. Quando uma entidade da UE transfere dados pessoais a uma empresa dessas, ainda é necessário um mecanismo de transferência nos termos do Capítulo V do RGPD. A transferência transfronteiriça gera riscos mesmo quando o importador já está diretamente vinculado ao RGPD em suas atividades de tratamento. No entanto, as SCCs de 2021 são estruturalmente inadequadas para esse cenário, pois duplicariam parcialmente e, ao mesmo tempo, se desviariam de obrigações que o importador já detém diretamente sob o RGPD.
O CEPD solicitou à Comissão Europeia que desenvolvesse novas SCCs cobrindo exatamente esse cenário. A Comissão reconheceu a lacuna e anunciou o desenvolvimento de um novo conjunto de SCCs. Uma consulta pública estava prevista para o quarto trimestre de 2024, com uma minuta para adoção prevista para o segundo trimestre de 2025.
Até maio de 2026, a página oficial de publicações de SCCs da Comissão não listava nenhuma decisão de execução formalmente adotada para essas SCCs do Artigo 3(2). As organizações que enfrentam esse cenário atualmente dispõem de opções limitadas: Normas Corporativas Vinculativas (dentro de grupos empresariais), cláusulas contratuais ad hoc aprovadas por uma autoridade de supervisão nos termos do Artigo 46(3)(a), ou o recurso às derrogações do Artigo 49, quando aplicáveis. A multa da autoridade holandesa contra a Uber evidenciou o risco real de fiscalização ao se prosseguir com transferências a importadores sujeitos ao RGPD sem um mecanismo reconhecido.
As organizações devem acompanhar a página de SCCs da Comissão para verificar a adoção formal dessas cláusulas.
Comparação entre SCCs, Decisões de Adequação e Normas Corporativas Vinculativas
O Capítulo V do RGPD prevê diversos mecanismos para transferências internacionais lícitas de dados. Os três mais comumente utilizados são as decisões de adequação (Artigo 45), as Cláusulas Contratuais-Tipo (Artigo 46(2)(c)) e as Normas Corporativas Vinculativas (Artigo 47).
| Mecanismo | Base Legal | Quem Pode Utilizar | Características Principais |
|---|---|---|---|
| Decisão de Adequação | Art. 45 do RGPD | Qualquer organização que transfira para um país adequado | Não são necessárias etapas adicionais. A Comissão determina que o país oferece proteção essencialmente equivalente. Exemplos: Reino Unido (válido até 2031), Canadá (PIPEDA), Japão, Suíça. Veja a lista completa. |
| Cláusulas Contratuais-Tipo | Art. 46(2)(c) do RGPD | Qualquer organização; mecanismo mais amplamente utilizado | Exige o preenchimento das SCCs, o preenchimento dos anexos, a realização de uma TIA e a implementação de medidas suplementares quando necessário. Funciona para qualquer país. |
| Normas Corporativas Vinculativas | Art. 47 do RGPD | Grupos empresariais multinacionais (apenas transferências intragrupo) | Exige aprovação da autoridade de proteção de dados. Alto custo inicial (tipicamente de 1 a 3 anos para obter aprovação). Uma vez aprovadas, cobrem todas as transferências intragrupo dentro do escopo aprovado, sem necessidade de SCCs caso a caso. |
Para a maioria das organizações, as SCCs são o mecanismo padrão para transferências a países sem adequação. As decisões de adequação são mais simples onde disponíveis, mas limitadas pela geografia. As BCRs são poderosas para grandes multinacionais com volumes substanciais de transferências intragrupo, mas pouco práticas para pequenas organizações ou transferências externas.
Relação entre as SCCs e o Data Privacy Framework UE-EUA
As SCCs e o Data Privacy Framework UE-EUA (DPF) atendem à mesma finalidade fundamental (viabilizar transferências lícitas de dados a partir da UE), mas operam por meio de mecanismos jurídicos diferentes.
O DPF oferece uma via de transferência baseada em adequação para dados enviados a organizações certificadas nos EUA. Quando uma empresa dos EUA mantém certificação ativa no DPF, as organizações da UE podem transferir dados a ela sem SCCs, da mesma forma que transfeririam a uma empresa em um país adequado. Veja nosso guia completo sobre decisões de adequação da UE para a lista completa de países.
As SCCs oferecem uma via de transferência baseada em contrato, que funciona para qualquer país, independentemente de seu status de adequação. São o principal mecanismo para transferências a países sem decisão de adequação, incluindo a maior parte da Ásia, da África, da América Latina e do Oriente Médio.
Muitas organizações utilizam os dois mecanismos simultaneamente. Uma empresa pode se apoiar no DPF para transferências a seus prestadores de serviço certificados nos EUA, ao mesmo tempo em que utiliza SCCs para transferências a operadores na Índia, nas Filipinas ou no Brasil. Algumas organizações mantêm SCCs com parceiros certificados no DPF nos EUA como reserva, dado o histórico de regimes transatlânticos invalidados.
Situação Jurídica do DPF em Maio de 2026
O DPF enfrentou questionamento judicial. Em 3 de setembro de 2025, o Tribunal Geral da UE rejeitou uma ação de anulação movida pelo eurodeputado francês Philippe Latombe, confirmando a validade do DPF com base nos fatos existentes no momento da determinação de adequação da Comissão, em 2023. O tribunal rejeitou os argumentos de Latombe de que o Data Protection Review Court dos EUA carece de independência e de que a vigilância em massa carece de revisão judicial ex post suficiente. Latombe interpôs recurso ao TJUE em 31 de outubro de 2025; o recurso está atualmente pendente.
Uma questão separada envolve medidas do Poder Executivo do governo dos EUA. O caso Trump v. Slaughter tinha decisão prevista para junho ou julho de 2026, com potenciais implicações para o regime de privacidade dos EUA que sustenta o DPF.
As organizações que se apoiam exclusivamente no DPF para transferências aos EUA devem acompanhar esses processos. A abordagem de SCCs somadas a medidas suplementares oferece uma alternativa que permaneceria válida mesmo que o DPF fosse invalidado, como ocorreu com o Privacy Shield em 2020.
Mecanismos de Transferência Internacional de Dados do Reino Unido
Após o Brexit, o Reino Unido estabeleceu seu próprio regime para transferências internacionais de dados, nos termos do RGPD do Reino Unido e da Data Protection Act 2018. As SCCs da UE não podem ser usadas para transferências regidas pelo direito do Reino Unido.
O International Data Transfer Agreement (IDTA)
O Information Commissioner's Office (ICO) do Reino Unido aprovou o International Data Transfer Agreement (IDTA) em março de 2022. O IDTA é um contrato autônomo, funcionalmente semelhante às SCCs da UE, mas redigido em conformidade com o direito do Reino Unido. Utiliza um único documento em formato de tabela detalhada, em vez de uma abordagem modular.
O UK Addendum
Como alternativa ao IDTA, as organizações podem utilizar o UK Addendum às SCCs da UE. Esse aditivo se anexa a um conjunto de SCCs da UE e as adapta para fins do direito do Reino Unido. Essa abordagem é popular entre organizações que já têm SCCs da UE em vigor, pois evita a necessidade de um contrato separado.
Avaliações de Risco de Transferência
O ICO exige que as organizações realizem uma Avaliação de Risco de Transferência (Transfer Risk Assessment, TRA) antes de se apoiarem no IDTA ou no UK Addendum. A TRA é, em linhas gerais, semelhante à TIA da UE, mas segue orientações específicas do ICO. O ICO publicou uma ferramenta detalhada de TRA para ajudar as organizações a concluir a avaliação.
A Data (Use and Access) Act 2025 e a Orientação Atualizada do ICO
A Data (Use and Access) Act (DUAA) do Reino Unido recebeu sanção real em 19 de junho de 2025. O Anexo 7 da DUAA alterou o padrão para transferências internacionais. A proteção exigida agora é descrita como "não substancialmente inferior" ao padrão do RGPD do Reino Unido e da DPA 2018, referido como o "teste de proteção de dados". Isso substituiu o padrão anterior de "não comprometida".
O ICO publicou orientação atualizada sobre transferências internacionais em 15 de janeiro de 2026, reestruturando seus guias existentes e incorporando a nova terminologia da DUAA. O ICO indicou que pretende atualizar o IDTA e o Addendum ao longo de 2026, para refletir as alterações da DUAA. As organizações devem continuar utilizando as versões atuais do IDTA e do Addendum até que essas atualizações sejam publicadas.
UK-US Data Bridge
Para transferências especificamente destinadas aos Estados Unidos, o Reino Unido estabeleceu o UK-US Data Bridge em outubro de 2023, oferecendo uma via baseada em adequação, paralela ao DPF UE-EUA. As decisões de adequação do Reino Unido para as transferências do EEE para o Reino Unido foram renovadas pela Comissão Europeia em 19 de dezembro de 2025, válidas até 27 de dezembro de 2031.
Nota sobre transferências do EEE para o Reino Unido: as organizações na UE que transferem dados pessoais a destinatários no Reino Unido não precisam de SCCs para essas transferências. A decisão de adequação da Comissão Europeia para o Reino Unido cobre as transferências do EEE para o Reino Unido. As SCCs são necessárias na direção inversa (transferências do Reino Unido para a UE) e para transferências do Reino Unido a países sem adequação, nos termos do direito do Reino Unido.
Erros Comuns nas SCCs
As organizações frequentemente encontram dificuldades práticas ao implementar as SCCs. Compreender esses desafios ajuda a evitar lacunas de conformidade.
Cadeias de Tratamento em Múltiplas Camadas
O tratamento de dados moderno frequentemente envolve múltiplas camadas de operadores e suboperadores em diversos países. Um único acordo de SCCs pode precisar incorporar múltiplos módulos, e SCCs separadas podem ser necessárias em diferentes pontos da cadeia. Mapear essas relações com precisão antes de selecionar os módulos é fundamental.
Manter as TIAs Atualizadas
O panorama jurídico nos países de destino muda constantemente. Nova legislação de vigilância, decisões judiciais ou práticas governamentais podem alterar o perfil de risco de uma transferência. As organizações devem ter um processo para monitorar desenvolvimentos jurídicos relevantes e atualizar suas TIAs de acordo. As Diretrizes 02/2024 do CEPD, de junho de 2025, sobre o Artigo 48 do RGPD, acrescentaram orientações sobre como as organizações devem responder quando autoridades governamentais de terceiros países exigem acesso a dados detidos pelo importador, um fator de risco relevante para a TIA que agora deve ser avaliado explicitamente.
Gestão de Suboperadores
Os Módulos 2 e 3 exigem uma gestão cuidadosa das relações com suboperadores. Ao utilizar autorização geral (em vez de autorização específica para cada suboperador), o operador deve informar o controlador sobre quaisquer mudanças pretendidas nos suboperadores, dando ao controlador a oportunidade de se opor.
Preocupações Quanto à Exequibilidade
As SCCs têm natureza contratual. Caso um importador de dados em um país com Estado de Direito frágil descumpra as cláusulas, a exequibilidade pode ser difícil na prática. As organizações devem considerar, em sua TIA, o sistema jurídico do importador e a exequibilidade prática das obrigações contratuais.
Transferências a Importadores Sujeitos ao RGPD
As organizações que precisam transferir dados pessoais a importadores já diretamente sujeitos ao RGPD, nos termos do Artigo 3(2), enfrentam uma lacuna estrutural no regime atual de SCCs. As SCCs de 2021 não foram concebidas para esse cenário. Até que a Comissão adote formalmente novas cláusulas para essa situação, as organizações devem considerar BCRs (dentro de grupos empresariais), cláusulas ad hoc aprovadas por autoridade de supervisão nos termos do Artigo 46(3)(a), ou o recurso documentado às derrogações do Artigo 49, quando aplicáveis. Não se trata de um risco menor: a multa da autoridade holandesa contra a Uber envolveu exatamente esse tipo de transferência, sem um mecanismo reconhecido.
Desenvolvimentos Recentes (2024 a 2026)
Diversos desenvolvimentos significativos ocorreram desde que as SCCs de 2021 entraram em pleno vigor.
Fiscalização da Meta (maio de 2023): a autoridade irlandesa aplicou uma multa de 1,2 bilhão de euros contra a Meta, após a Decisão Vinculante 1/2023 do CEPD. O CEPD concluiu que as transferências da Meta, baseadas em SCCs, de dados de usuários do Facebook para os EUA, careciam de medidas suplementares suficientes para compensar a proteção inadequada oferecida pela legislação de vigilância dos EUA. A Meta foi determinada a adequar suas transferências.
Fiscalização da Uber (2024): a autoridade holandesa impôs uma multa de 290 milhões de euros à Uber, por transferir dados pessoais de motoristas para os EUA sem um mecanismo de transferência válido, durante um período em que nenhum mecanismo reconhecido estava em vigor.
Questionamento judicial do DPF (2025): o Tribunal Geral da UE rejeitou o questionamento de Latombe ao DPF em 3 de setembro de 2025. Latombe interpôs recurso ao TJUE em 31 de outubro de 2025. O recurso está pendente. O caso Trump v. Slaughter, com potenciais implicações para o regime de privacidade dos EUA que sustenta o DPF, tinha decisão prevista para meados de 2026.
Diretrizes do CEPD sobre o Artigo 48 (junho de 2025): o CEPD adotou a versão final das Diretrizes 02/2024 sobre o Artigo 48 do RGPD em 5 de junho de 2025. Essas diretrizes esclarecem que as organizações que recebem exigências de autoridades governamentais de terceiros países para transferir dados pessoais da UE devem avaliar cada solicitação individualmente, e não podem tratar tais exigências como uma obrigação de conformidade rotineira.
Data (Use and Access) Act 2025 do Reino Unido: a sanção real, em 19 de junho de 2025, alterou o padrão de transferência do Reino Unido para o "teste de proteção de dados" (não substancialmente inferior ao RGPD do Reino Unido). O ICO publicou orientação atualizada sobre transferências internacionais em 15 de janeiro de 2026. Atualizações do IDTA e do Addendum são esperadas ao longo de 2026.
Renovação da adequação do Reino Unido (dezembro de 2025): a Comissão Europeia renovou suas decisões de adequação para o Reino Unido em 19 de dezembro de 2025, válidas até 27 de dezembro de 2031.
SCCs do Artigo 3(2) (pendentes): as novas SCCs planejadas pela Comissão para importadores sujeitos ao RGPD ainda não haviam sido formalmente adotadas até maio de 2026. As organizações que enfrentam esse cenário devem acompanhar a página de SCCs da Comissão para atualizações.
Este conteúdo é uma informação jurídica de caráter geral, e não uma consultoria jurídica. As organizações que implementam SCCs ou outros mecanismos de transferência transfronteiriça devem consultar um advogado licenciado em sua jurisdição para orientação específica à sua situação. Este artigo reflete a legislação e as orientações verificadas até 19 de maio de 2026.
Frequently Asked Questions
O que são as Cláusulas Contratuais-Tipo (SCCs)?
As Cláusulas Contratuais-Tipo são termos contratuais pré-aprovados, adotados pela Comissão Europeia nos termos do Artigo 46(2)(c) do RGPD. Criam obrigações vinculantes de proteção de dados entre um exportador de dados no EEE e um importador de dados fora do EEE. A versão atual, adotada em junho de 2021 (Decisão de Execução 2021/914), substituiu cláusulas mais antigas, de 2001/2004 e de 2010. As SCCs são o mecanismo jurídico mais amplamente utilizado para transferências internacionais de dados a partir da UE.
Quais são os quatro módulos das SCCs e quando usar cada um?
O Módulo 1 (Controlador para Controlador) se aplica quando um controlador da UE transfere dados a um controlador fora do EEE. O Módulo 2 (Controlador para Operador) cobre controladores da UE que contratam operadores fora do EEE, como provedores de nuvem. O Módulo 3 (Operador para Operador) se aplica quando um operador sediado na UE contrata um suboperador fora do EEE. O Módulo 4 (Operador para Controlador) cobre operadores da UE que devolvem dados a controladores fora do EEE. Um único acordo de SCCs pode incorporar múltiplos módulos, para partes com papéis diferentes em diferentes atividades de tratamento.
O que é uma Avaliação de Impacto de Transferência (TIA)?
Uma Avaliação de Impacto de Transferência avalia se as leis e práticas do país de destino oferecem proteção essencialmente equivalente aos padrões da UE. A Cláusula 14 das SCCs de 2021 exige que as partes concluam uma TIA antes de transferir dados. A avaliação examina as leis de vigilância do país de destino, os regimes de acesso governamental e os recursos jurídicos disponíveis. Caso a TIA identifique riscos, as organizações devem implementar medidas suplementares (técnicas, contratuais ou organizacionais) para suprir a lacuna de proteção.
As antigas SCCs ainda são válidas?
Não. A Comissão Europeia fixou um prazo obrigatório de transição até 27 de dezembro de 2022, até o qual todas as organizações deveriam substituir as antigas SCCs (as cláusulas de controlador para controlador de 2001/2004 e as cláusulas de controlador para operador de 2010) pela versão de 2021. Qualquer transferência de dados que ainda se apoiasse nas antigas SCCs após essa data carece de base legal válida sob o RGPD.
As SCCs podem ser usadas para transferências aos Estados Unidos?
Sim. As SCCs continuam sendo um mecanismo válido para transferências aos EUA, independentemente de o destinatário estar ou não certificado no Data Privacy Framework UE-EUA (DPF). Para transferências a organizações certificadas no DPF, as SCCs podem servir como reserva. Para transferências a organizações dos EUA não certificadas, as SCCs geralmente são o principal mecanismo de transferência. Uma Avaliação de Impacto de Transferência deve avaliar as leis de vigilância dos EUA, em especial a Seção 702 da FISA e a Executive Order 12333, e medidas suplementares apropriadas devem ser implementadas.
Qual é o equivalente do Reino Unido às SCCs da UE?
O Reino Unido tem duas opções: o International Data Transfer Agreement (IDTA), um contrato autônomo aprovado pelo ICO em março de 2022, e o UK Addendum às SCCs da UE, que adapta as SCCs da UE existentes para o direito do Reino Unido. As SCCs da UE, isoladamente, não podem ser usadas para transferências regidas pelo RGPD do Reino Unido. As organizações também devem concluir uma Avaliação de Risco de Transferência, seguindo a orientação do ICO. A Data (Use and Access) Act 2025 do Reino Unido (sanção real em 19 de junho de 2025) alterou o padrão de transferência do Reino Unido; o ICO publicou orientação atualizada em 15 de janeiro de 2026 e planeja atualizar o IDTA e o Addendum ao longo de 2026.
Quais medidas suplementares as organizações podem implementar junto com as SCCs?
As medidas suplementares se dividem em três categorias. As medidas técnicas incluem a criptografia de ponta a ponta (na qual apenas o exportador detém a chave de decriptação), a pseudonimização e o tratamento dividido. As medidas contratuais exigem que os importadores contestem solicitações de acesso governamental e forneçam relatórios de transparência. As medidas organizacionais incluem controles de acesso, minimização de dados e auditorias regulares. O CEPD tem enfatizado que as medidas técnicas que impedem o acesso a dados legíveis são a salvaguarda mais eficaz em jurisdições de alto risco. Medidas contratuais e organizacionais, isoladamente, não conseguem compensar um regime jurídico do país de destino que permita o acesso governamental compelido aos dados.
Com que frequência as Avaliações de Impacto de Transferência devem ser atualizadas?
As SCCs exigem conformidade contínua, e não uma avaliação única. As organizações devem reavaliar suas TIAs sempre que as circunstâncias mudarem de forma relevante, como no caso de nova legislação de vigilância no país de destino, alterações nos arranjos de subcontratação, novas práticas governamentais ou decisões judiciais relevantes. O CEPD recomenda estabelecer um processo regular de monitoramento dos desenvolvimentos jurídicos em todos os países de destino. As Diretrizes 02/2024 do CEPD, de 2025, sobre o Artigo 48 do RGPD, acrescentaram um fator de risco adicional a ser avaliado: as obrigações legais do importador quando autoridades governamentais de terceiros países exigem acesso aos dados pessoais.
O que são as novas SCCs para importadores sujeitos ao RGPD, e quando estarão disponíveis?
A Comissão Europeia está desenvolvendo um novo conjunto de SCCs especificamente para transferências a controladores e operadores fora do EEE cujo tratamento já está diretamente sujeito ao RGPD, nos termos do Artigo 3(2), por exemplo, por visarem residentes da UE. As SCCs de 2021 não são adequadas para esse cenário, pois pressupõem que o importador não está sujeito ao RGPD. A Comissão planejava uma consulta pública para o quarto trimestre de 2024 e uma minuta para adoção no segundo trimestre de 2025. Até maio de 2026, nenhuma decisão de execução formal havia sido publicada no Jornal Oficial. As organizações devem acompanhar a página de SCCs da Comissão para o anúncio de adoção formal.
Como as SCCs se comparam às Normas Corporativas Vinculativas (BCRs)?
As SCCs são cláusulas contratuais usadas para relações de transferência individuais; podem ser utilizadas por qualquer organização e não exigem aprovação prévia de uma autoridade de supervisão. As Normas Corporativas Vinculativas são políticas intragrupo aprovadas por uma autoridade de supervisão líder, nos termos do Artigo 47 do RGPD. As BCRs cobrem todas as transferências intragrupo dentro do escopo aprovado, sem necessidade de acordos de SCCs caso a caso, o que as torna eficientes para grandes multinacionais, mas obter a aprovação normalmente leva de um a três anos e exige recursos jurídicos substanciais. As BCRs não podem ser usadas para transferências a terceiros externos; as SCCs continuam sendo necessárias para esses casos. Os dois mecanismos são complementares.
Preciso de SCCs para transferir dados do EEE para o Reino Unido?
Não. A decisão de adequação da Comissão Europeia para o Reino Unido cobre as transferências do EEE para o Reino Unido, o que significa que nenhuma SCC ou outro mecanismo do Artigo 46 é exigido para essas transferências. A decisão de adequação foi renovada em 19 de dezembro de 2025 e é válida até 27 de dezembro de 2031. No entanto, as organizações sediadas no Reino Unido que transferem dados para fora do Reino Unido, a países sem adequação, ainda precisam do IDTA ou do UK Addendum do Reino Unido (os equivalentes britânicos das SCCs da UE) para essas transferências de saída.
Sources and References
- As atuais SCCs da UE foram adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021.(eur-lex.europa.eu).gov
- O TJUE decidiu, no caso Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Processo C-311/18, ECLI:EU:C:2020:559, de 16 de julho de 2020 (Schrems II), confirmando as SCCs como mecanismo de transferência válido em princípio, mas exigindo que os exportadores verifiquem se o regime jurídico do país importador(eur-lex.europa.eu).gov
- As Recomendações 01/2020 do CEPD sobre medidas suplementares (finalizadas em junho de 2021) descrevem um processo de seis etapas para as TIAs.(edpb.europa.eu).gov
- A multa de 1,2 bilhão de euros contra a Meta/Facebook foi aplicada pela autoridade irlandesa, após a Decisão Vinculante 1/2023 do CEPD (13 de abril de 2023). A autoridade concluiu que as transferências da Meta, baseadas em SCCs, de dados de usuários do Facebook para os EUA, careciam de medidas suplementares suficientes para compensar as leis de vigilância dos EUA.(edpb.europa.eu).gov
- A autoridade holandesa (Autoriteit Persoonsgegevens) impôs uma multa de 290 milhões de euros à Uber por transferências de dados pessoais de motoristas para os EUA sem um mecanismo de transferência válido. Esta é a terceira multa aplicada pela autoridade holandesa à Uber.(edpb.europa.eu).gov
- O Tribunal Geral da UE rejeitou o questionamento de anulação de Latombe ao Data Privacy Framework UE-EUA em 3 de setembro de 2025. Latombe interpôs recurso ao TJUE em 31 de outubro de 2025. O recurso está pendente.(noyb.eu)
- A Data (Use and Access) Act do Reino Unido recebeu sanção real em 19 de junho de 2025. O Anexo 7 da Lei alterou o padrão para transferências internacionais de 'não comprometida' para 'não substancialmente inferior' à proteção do RGPD do Reino Unido (o 'teste de proteção de dados'). O ICO publicou orientação atualizada sobre transferências internacio(ico.org.uk).gov
- O ICO planeja atualizar o IDTA e o Addendum ao longo de 2026, para refletir as alterações da DUAA. As organizações devem continuar utilizando as versões atuais do IDTA e do Addendum até lá.(ico.org.uk).gov
- A Comissão Europeia está em processo de desenvolvimento de novas SCCs para transferências a controladores e operadores fora do EEE cujo tratamento está diretamente sujeito ao RGPD nos termos do Artigo 3(2). Uma consulta pública estava prevista para o quarto trimestre de 2024, com uma minuta esperada para o segundo trimestre de 2025. Até maio de 2026, a Comiss(commission.europa.eu).gov
- O CEPD adotou a versão final das Diretrizes 02/2024 sobre o Artigo 48 do RGPD (transferências de dados a autoridades de terceiros países) em 5 de junho de 2025. As diretrizes esclarecem que decisões ou julgamentos de autoridades de terceiros países não podem ser automaticamente reconhecidos ou executados na UE, e que as organizações devem avaliar cad(edpb.europa.eu).gov
- As atuais SCCs de 2021 são limitadas a transferências em que o tratamento do importador de dados NÃO está sujeito ao RGPD. São inadequadas para o cenário em que tanto o exportador quanto o importador estão sujeitos ao RGPD, pois as cláusulas duplicariam parcialmente e, ao mesmo tempo, se desviariam de obrigações que já(commission.europa.eu).gov
- O CEPD instou a Comissão Europeia a preparar novas SCCs cobrindo o cenário em que tanto o exportador quanto o importador de dados estão sujeitos ao RGPD, enfatizando que essas SCCs não deveriam replicar as obrigações do RGPD, mas deveriam se concentrar em elementos especificamente relacionados aos riscos do importad(edpb.europa.eu).gov
- ICO do Reino Unido - Avaliações de Risco de Transferência(ico.org.uk).gov
- Data Protection Act 2018 do Reino Unido(legislation.gov.uk).gov
- Comissão Europeia - SCCs para Transferências Internacionais(commission.europa.eu).gov
- CEPD: Decisão Vinculante 1/2023 sobre a Meta Platforms Ireland (transferências do Facebook para os EUA)(edpb.europa.eu)