Transferência internacional de dados: o que o caso SHEIN ensina sobre fornecedores globais
Em maio de 2026, a autoridade irlandesa de proteção de dados abriu uma investigação sobre a SHEIN Ireland para avaliar transferências de dados pessoais de titulares da União Europeia e do Espaço Econômico Europeu para a China.
A investigação ainda está em andamento. Portanto, não se trata de afirmar que houve uma infração definitiva. O ponto importante, para empresas brasileiras, é outro: reguladores estão olhando com atenção para fluxos internacionais de dados, especialmente quando envolvem grandes plataformas, fornecedores globais e países sem decisão de adequação equivalente.
Esse tema também é relevante sob a LGPD. Empresas brasileiras usam diariamente sistemas de CRM, atendimento, cloud, analytics, mídia paga, automação de marketing, antifraude, gestão de RH, meios de pagamento e ferramentas de IA que podem envolver armazenamento, acesso, suporte ou subcontratação fora do Brasil.
Transferência internacional não é só onde o servidor está
Um erro comum é imaginar que a transferência internacional só acontece quando o banco de dados está fisicamente hospedado em outro país. Na prática, o fluxo pode existir em várias situações menos visíveis:
- equipe de suporte estrangeira acessa dados de clientes brasileiros;
- fornecedor de SaaS usa suboperadores em outros países;
- ferramenta de atendimento grava conversas em infraestrutura global;
- plataforma de marketing envia dados para redes de anúncio;
- sistema antifraude consulta bases internacionais;
- dados de colaboradores ficam em software de RH contratado fora do Brasil;
- ferramenta de IA processa documentos em ambiente estrangeiro;
- logs, backups ou métricas são replicados globalmente.
Ou seja: mesmo que a empresa esteja no Brasil e atenda clientes brasileiros, a operação pode envolver transferência internacional de dados pessoais.
O que a LGPD pede das empresas?
A LGPD permite transferências internacionais em hipóteses previstas na lei, mas exige cuidado, documentação e responsabilidade. Com a regulamentação da ANPD sobre transferência internacional, incluindo cláusulas-padrão contratuais, esse tema deixou de ser apenas uma cláusula genérica no contrato e passou a exigir uma análise mais concreta.
Na prática, a empresa precisa entender:
- quais dados pessoais são enviados ou acessados fora do Brasil;
- para quais países os dados vão;
- quem são os operadores e suboperadores envolvidos;
- qual é a finalidade da transferência;
- qual mecanismo jurídico sustenta esse fluxo;
- quais medidas de segurança existem;
- como o titular é informado;
- e como a empresa demonstra que avaliou o risco.
Mesmo quando há reconhecimento de adequação entre determinados países ou blocos, isso não elimina a necessidade de governança sobre fornecedores, contratos, transparência e segurança. A adequação pode facilitar determinados fluxos, mas não transforma qualquer compartilhamento internacional em automaticamente regular.
O que o caso SHEIN mostra para empresas brasileiras
A investigação europeia reforça uma mensagem prática: reguladores querem entender se a empresa consegue demonstrar o que acontece com os dados depois que eles saem da sua operação direta.
Não basta dizer que “o fornecedor é grande” ou que “a ferramenta é usada pelo mercado inteiro”. É preciso ter evidências mínimas de avaliação. Isso inclui revisar documentação contratual, política de privacidade, data processing agreements, lista de suboperadores, locais de processamento, medidas técnicas e canais de atendimento a titulares.
Para empresas menores, isso pode parecer distante. Mas a realidade é que negócios de todos os portes usam ferramentas internacionais. Uma clínica usa sistema de agendamento em nuvem. Uma escola usa edtech. Um e-commerce usa checkout, antifraude e remarketing. Uma empresa B2B usa CRM e automação de e-mail. Todas essas rotinas podem envolver dados pessoais circulando fora do Brasil.
Checklist prático para revisar transferências internacionais
Um bom ponto de partida é criar uma rotina simples de revisão:
- Mapear fornecedores que tratam dados pessoais
Liste sistemas, plataformas, prestadores e integrações que acessam dados de clientes, colaboradores, leads, alunos, pacientes ou usuários. - Identificar países e suboperadores
Verifique onde os dados são armazenados, processados ou acessados, incluindo suporte técnico e subprocessadores. - Revisar contratos e documentos de privacidade
Procure cláusulas sobre proteção de dados, transferência internacional, segurança, incidentes, auditoria, retenção e exclusão. - Avaliar riscos por categoria de dado
Dados de crianças, saúde, localização, financeiros, biometria e informações em grande volume exigem atenção reforçada. - Atualizar avisos de privacidade
O titular precisa entender, em linguagem clara, que seus dados podem ser compartilhados com fornecedores ou tratados fora do Brasil, quando aplicável. - Manter evidências
A empresa deve conseguir demonstrar que avaliou o fornecedor e tomou decisões razoáveis, proporcionais ao risco.
Governança contínua evita surpresa
Transferência internacional não é um tema para ser visto apenas na assinatura do contrato. Fornecedores mudam suboperadores, atualizam termos, lançam novas funcionalidades e alteram fluxos técnicos. Por isso, a revisão precisa fazer parte de uma rotina de privacidade.
É exatamente aqui que o DPO as a Service ganha valor: apoiar a empresa a manter um processo vivo, com priorização, revisão periódica, orientação aos times e documentação adequada.
Como a TOGETHER pode apoiar
A TOGETHER auxilia empresas a mapear fornecedores, revisar fluxos internacionais, organizar registros de tratamento, avaliar contratos e criar uma rotina prática para reduzir riscos. O objetivo não é travar o uso de boas ferramentas, mas garantir que a operação cresça com segurança, clareza e responsabilidade.
