O reconhecimento mútuo entre LGPD e GDPR
Por meio da Resolução nº 32, a ANPD oficializou o reconhecimento de que a legislação europeia de proteção de dados, o GDPR, oferece grau de proteção equivalente ao previsto na LGPD. A autoridade europeia já havia se manifestado sobre essa equivalência em 2025, porém faltava a contrapartida brasileira para confirmar a reciprocidade. Com a resolução, esse ciclo foi completado.
Na prática, para organizações que transferem dados pessoais para países membros da União Europeia, passa a ser aplicável diretamente o inciso I do artigo 33 da LGPD, que permite a transferência para países que proporcionem grau de proteção adequado ao previsto na lei brasileira. Isso significa que tratamentos de dados que antes precisavam ser ancorados no estabelecimento de cláusulas-padrão contratuais, algo de difícil implementação prática, agora podem acontecer com uma base legal mais simples e direta. Todavia, é importante registrar que o reconhecimento abrange os países membros da União Europeia. Reino Unido e Rússia não estão incluídos e seguem exigindo mecanismos contratuais específicos.
O problema que o reconhecimento não resolve
Apesar do avanço com a Europa, a realidade operacional da maioria das organizações brasileiras aponta para uma direção diferente. A maior parte das transferências internacionais de dados tem como destino países que ainda não possuem reconhecimento de adequação pela ANPD, e o principal deles são os Estados Unidos.
Os EUA concentram a maior quantidade de data centers do mundo e são sede das principais plataformas de computação em nuvem, serviços de armazenamento, ferramentas de produtividade digital e provedores de tecnologia utilizados por empresas brasileiras de todos os tamanhos. Isso significa que, na prática cotidiana, enviar dados para um servidor da AWS, Google Cloud, Microsoft Azure ou qualquer outra infraestrutura americana é uma transferência internacional de dados sujeita às regras da LGPD. Contudo, ao contrário da União Europeia, os EUA não possuem uma legislação federal unificada de proteção de dados pessoais comparável ao GDPR ou à LGPD.
O contexto político que afasta qualquer perspectiva de reconhecimento
Além das diferenças legislativas estruturais, há um contexto político que torna ainda mais improvável qualquer reconhecimento de adequação dos EUA no horizonte próximo. Em janeiro de 2025, foi assinada a Executive Order 14179, intitulada “Removendo Barreiras à Liderança Americana em Inteligência Artificial”, que busca consolidar a supremacia dos EUA no desenvolvimento de IA com a redução explícita de regulamentações que possam frear o avanço tecnológico das grandes empresas do setor.
Na prática, a ordem revogou políticas anteriores mais restritivas e estabeleceu uma postura clara de que o desenvolvimento tecnológico americano não será limitado por obrigações regulatórias como as que norteiam o Privacy by Design — princípio amplamente adotado na Europa e incorporado à LGPD, que exige que a proteção de dados seja considerada desde a concepção dos sistemas. Apesar disso, o movimento reflete também uma corrida tecnológica global, especialmente entre os EUA e a China, em que a velocidade de desenvolvimento é tratada como prioridade estratégica nacional. Para a ANPD, reconhecer esse ambiente como equivalente ao previsto na LGPD seria juridicamente indefensável. Portanto, a perspectiva de que os EUA venham a ser incluídos na lista de países com proteção adequada é, no cenário atual, bastante remota.
O único mecanismo seguro para transferências aos EUA
Dado esse contexto, o caminho juridicamente seguro para organizações que precisam transferir dados pessoais para os Estados Unidos é o estabelecimento de Cláusulas-Padrão Contratuais, seguindo o modelo indicado pela ANPD na Resolução CD/ANPD nº 19/2024. As cláusulas-padrão funcionam como um contrato específico firmado entre a organização brasileira e o receptor dos dados nos EUA, no qual ambas as partes assumem obrigações equivalentes às previstas na LGPD para o tratamento daqueles dados.
Porém, implementar cláusulas-padrão na prática exige mais do que assinar um documento. É necessário identificar com precisão quais dados estão sendo transferidos, para quais fornecedores ou plataformas, com qual finalidade e em quais volumes. Sem esse mapeamento prévio, a organização não sabe sequer com quem precisa firmar os contratos.
O erro mais comum: não saber onde os dados estão
A maioria das organizações brasileiras que utiliza serviços digitais americanos realiza transferências internacionais de dados sem perceber. Um arquivo enviado para um serviço de armazenamento em nuvem, uma planilha compartilhada em uma plataforma de produtividade, um e-mail com dados de clientes passando por servidores localizados nos EUA: tudo isso pode configurar uma transferência internacional que exige base legal adequada.
Contudo, a falta de visibilidade sobre esses fluxos é um problema estrutural na maioria das organizações, especialmente nas de médio e pequeno porte. Apesar disso, esse problema tem solução prática. O primeiro passo é justamente construir o inventário de fluxos de dados internacionais, identificando os fornecedores e plataformas utilizadas que possuem infraestrutura fora do Brasil, e avaliar quais bases legais de transferência estão sendo aplicadas ou precisam ser estabelecidas.
Due diligence de fornecedores como obrigação, não como opção
A LGPD estabelece que o controlador dos dados é responsável pelo tratamento realizado pelos operadores que contrata. Isso significa que, quando uma organização brasileira contrata um fornecedor americano para processar dados de seus clientes, colaboradores ou parceiros, ela continua sendo responsável pela adequação desse tratamento à lei brasileira. Nesse contexto, a due diligence de fornecedores deixa de ser uma boa prática opcional e passa a ser uma obrigação legal concreta.
Na prática, isso inclui verificar se o fornecedor firmou as cláusulas-padrão contratuais exigidas, se possui políticas de segurança compatíveis com as exigências da LGPD, se notifica incidentes de segurança dentro dos prazos previstos e se permite auditorias ou verificações de conformidade quando solicitado. Porém, para muitas organizações que trabalham com dezenas ou centenas de fornecedores, fazer esse controle manualmente é inviável. A ausência de processos estruturados para gestão de terceiros é uma das principais fontes de risco regulatório no ecossistema digital brasileiro atual.
O que as organizações precisam fazer agora
O cenário regulatório que se consolida em 2026 deixa poucos atalhos para quem trabalha com transferência internacional de dados. Algumas ações são prioritárias para qualquer organização que queira manter sua conformidade com a LGPD: mapear todos os fluxos de transferência internacional, identificando quais dados pessoais saem do Brasil, para quais países, por meio de quais plataformas ou fornecedores e com qual finalidade; avaliar a base legal de cada transferência, verificando se as cláusulas-padrão contratuais estão em vigor para os países sem reconhecimento de adequação; revisar e atualizar contratos com fornecedores americanos, garantindo que as cláusulas-padrão no modelo da ANPD estejam incorporadas; estruturar um processo contínuo de due diligence, com avaliação periódica dos fornecedores que tratam dados pessoais em nome da organização; e capacitar as equipes sobre transferência internacional, garantindo que gestores, equipes jurídicas e responsáveis pela privacidade entendam as obrigações específicas da LGPD nesse tema.
Conformidade em transferência internacional não é luxo
As sanções previstas na LGPD para o descumprimento das regras de transferência internacional de dados são as mesmas aplicáveis a qualquer outra infração: advertência, multa de até 2% do faturamento limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados tratados irregularmente. Mais do que a sanção administrativa, porém, há o risco reputacional. Organizações que transferem dados de seus clientes para o exterior sem as garantias adequadas estão assumindo um compromisso que não conseguem cumprir.
Todavia, o cenário não precisa ser paralisante. Com mapeamento adequado, contratos revisados e processos de due diligence estruturados, é perfeitamente possível operar de forma eficiente e em conformidade, mesmo num mundo onde a maioria dos data centers está localizada em países ainda sem reconhecimento de adequação.
LGPD e GDPR: Equivalência Reconhecida, mas Transferências para os EUA Seguem Exigindo Atenção
Perguntas frequentes sobre o reconhecimento mútuo entre LGPD e GDPR, por que os EUA não têm perspectiva de adequação, qual mecanismo usar para transferências internacionais e o que as organizações precisam fazer agora
Por meio da Resolução nº 32, a ANPD oficializou o reconhecimento de que o GDPR europeu oferece grau de proteção equivalente ao previsto na LGPD — completando um ciclo iniciado em 2025, quando a autoridade europeia já havia se manifestado sobre essa equivalência.
Na prática, para organizações que transferem dados pessoais para países membros da União Europeia, passa a ser aplicável diretamente o inciso I do artigo 33 da LGPD, que permite a transferência para países que proporcionem grau de proteção adequado. Isso significa que tratamentos que antes precisavam ser ancorados em cláusulas-padrão contratuais — de difícil implementação prática — agora podem acontecer com uma base legal mais simples e direta.
O avanço é real e significativo para organizações com operações ou parceiros na Europa. Contudo, há uma limitação geográfica importante: o reconhecimento abrange os países membros da União Europeia. Reino Unido e Rússia não estão incluídos nessa equivalência e seguem exigindo mecanismos contratuais específicos.
Os EUA concentram a maior quantidade de data centers do mundo e são sede das principais plataformas de nuvem, armazenamento e ferramentas de produtividade utilizadas por empresas brasileiras de todos os tamanhos. Apesar disso, ao contrário da União Europeia, os EUA não possuem uma legislação federal unificada de proteção de dados pessoais comparável ao GDPR ou à LGPD — as regulações existentes são setoriais, fragmentadas por estado e não oferecem as garantias sistêmicas que a ANPD exige para reconhecer um país como adequado.
Além das diferenças legislativas, há um contexto político que afasta ainda mais essa possibilidade. Em janeiro de 2025, foi assinada nos EUA a Executive Order 14179, que busca consolidar a supremacia americana no desenvolvimento de IA com a redução explícita de regulamentações que possam frear o avanço tecnológico. O documento revogou políticas mais restritivas e estabeleceu uma postura clara de que o desenvolvimento tecnológico americano não será limitado por obrigações como o Privacy by Design — princípio amplamente adotado na Europa e incorporado à LGPD.
Para a ANPD, reconhecer esse ambiente como equivalente ao previsto na LGPD seria juridicamente indefensável. A perspectiva de que os EUA venham a ser incluídos na lista de países com proteção adequada é, no cenário atual, bastante remota.
O caminho juridicamente seguro para organizações que precisam transferir dados pessoais para os Estados Unidos é o estabelecimento de Cláusulas-Padrão Contratuais, seguindo o modelo indicado pela ANPD na Resolução CD/ANPD nº 19/2024.
As cláusulas-padrão funcionam como um contrato específico firmado entre a organização brasileira e o receptor dos dados nos EUA, no qual ambas as partes assumem obrigações equivalentes às previstas na LGPD. Dessa forma, mesmo na ausência de legislação local adequada, a proteção é garantida contratualmente.
Porém, implementar cláusulas-padrão exige mais do que assinar um documento. É necessário identificar com precisão quais dados estão sendo transferidos, para quais fornecedores, com qual finalidade e em quais volumes. Sem esse mapeamento prévio, a organização não sabe sequer com quem precisa firmar os contratos.
A maioria das organizações brasileiras realiza transferências internacionais sem perceber: um arquivo enviado para um serviço de nuvem, uma planilha em plataforma americana, um e-mail com dados de clientes passando por servidores nos EUA — tudo isso pode configurar uma transferência que exige base legal adequada.
A LGPD estabelece que o controlador dos dados é responsável pelo tratamento realizado pelos operadores que contrata — o que transforma a due diligence de fornecedores de boa prática opcional em obrigação legal concreta. As ações prioritárias são:
- Mapear todos os fluxos de transferência internacional: identificar quais dados pessoais saem do Brasil, para quais países, por meio de quais plataformas e com qual finalidade
- Avaliar a base legal de cada transferência: para países da UE, o reconhecimento de adequação já está estabelecido; para os EUA e demais países sem reconhecimento, verificar se as cláusulas-padrão contratuais estão em vigor
- Revisar e atualizar contratos com fornecedores americanos: garantir que as cláusulas-padrão no modelo da ANPD estejam incorporadas nos contratos vigentes
- Estruturar um processo contínuo de due diligence: criar um fluxo periódico de avaliação dos fornecedores que tratam dados pessoais em nome da organização
- Capacitar as equipes sobre transferência internacional: garantir que gestores de contratos, equipes jurídicas e responsáveis pela privacidade entendam as obrigações específicas da LGPD nesse tema
As sanções para o descumprimento das regras de transferência internacional são as mesmas de qualquer outra infração à LGPD: advertência, multa de até 2% do faturamento limitada a R$ 50 milhões por infração e bloqueio ou eliminação dos dados tratados irregularmente. Com mapeamento adequado, contratos revisados e processos de due diligence estruturados, é perfeitamente possível operar de forma eficiente e em conformidade.
