Transferência internacional de dados: o que empresas que usam SaaS, cloud e fornecedores globais precisam saber

Banner da TOGETHER sobre transferência internacional de dados, SaaS, cloud e fornecedores globais

Transferência internacional de dados: o que empresas que usam SaaS, cloud e fornecedores globais precisam saber

Muita empresa faz transferência internacional de dados sem perceber.

Ela não abriu filial fora do Brasil. Não vende para o exterior. Não tem operação global. Mesmo assim, usa Google Workspace, Microsoft 365, AWS, Azure, HubSpot, Salesforce, Mailchimp, RD Station, ferramentas de atendimento, analytics, plataformas de automação, softwares de RH, sistemas de pagamento, backups em nuvem ou soluções de inteligência artificial.

Em algum ponto dessa cadeia, dados pessoais podem ser armazenados, acessados, processados ou suportados fora do Brasil.

É aí que a transferência internacional de dados deixa de ser um tema distante e passa a fazer parte da rotina de empresas comuns. Pequenas, médias ou grandes.

A LGPD não proíbe esse tipo de operação. O que ela exige é que a empresa saiba o que está fazendo, use mecanismos adequados, informe os titulares quando necessário, avalie fornecedores e consiga demonstrar que os dados continuam protegidos mesmo quando atravessam fronteiras.

O que é transferência internacional de dados na LGPD

A transferência internacional acontece quando dados pessoais são transferidos para país estrangeiro ou organismo internacional do qual o Brasil seja membro.

Na prática, isso pode ocorrer de várias formas:

  • envio de dados para um fornecedor estrangeiro;
  • armazenamento de dados em servidores localizados fora do Brasil;
  • acesso remoto aos dados por equipe de suporte em outro país;
  • uso de suboperadores internacionais;
  • processamento de dados em ferramentas de cloud;
  • integração com plataformas globais de marketing, CRM, analytics ou IA.

O ponto importante é que a transferência não depende apenas de a empresa “mandar uma planilha para fora”. Ela pode acontecer dentro da arquitetura normal dos sistemas usados no dia a dia.

Se uma ferramenta contratada trata dados pessoais e parte desse tratamento ocorre fora do Brasil, o tema precisa ser analisado.

Por que SaaS e cloud colocam esse assunto no centro da operação

A maioria das empresas não constrói mais todos os sistemas internamente. O padrão atual é contratar ferramentas prontas.

Isso faz sentido. SaaS e cloud reduzem custo, aceleram a operação e permitem que empresas menores usem tecnologias que antes só grandes organizações acessavam.

Mas também criam dependência de fornecedores.

Um CRM pode concentrar dados de clientes e leads. Uma plataforma de e-mail marketing pode guardar histórico de campanhas, abertura, cliques e segmentações. Um sistema de atendimento pode armazenar conversas, reclamações, documentos e informações sensíveis. Uma ferramenta de RH pode tratar dados de colaboradores, candidatos, dependentes e folha. Uma solução de IA pode receber prompts com informações internas e dados pessoais.

Cada ferramenta adiciona uma pergunta: para onde esses dados vão?

Às vezes, o contrato é com uma empresa brasileira, mas a infraestrutura, o suporte ou os suboperadores estão fora do país. Em outros casos, a empresa contratada tem sede estrangeira, opera globalmente e distribui dados entre diferentes regiões.

Por isso, transferência internacional não é um detalhe jurídico isolado. É uma consequência direta da forma como empresas modernas operam.

O que a ANPD regulamentou sobre o tema

A ANPD publicou a Resolução CD/ANPD nº 19/2024, que aprovou o Regulamento de Transferência Internacional de Dados. A norma detalha mecanismos previstos na LGPD e traz mais segurança jurídica para empresas que precisam operar com fluxos internacionais de dados.

Entre os mecanismos tratados pela regulamentação estão:

  • decisões de adequação;
  • cláusulas-padrão contratuais;
  • cláusulas contratuais específicas;
  • normas corporativas globais;
  • outros instrumentos previstos na LGPD.

A ideia não é impedir o fluxo internacional de dados, mas garantir que ele ocorra com salvaguardas compatíveis com a proteção exigida no Brasil.

Um ponto importante foi a aprovação das cláusulas-padrão contratuais pela ANPD. Elas funcionam como um instrumento para estabelecer obrigações mínimas entre exportador e importador dos dados pessoais.

Para empresas que usam fornecedores internacionais, isso tem impacto direto nos contratos. Não basta aceitar termos genéricos sem entender qual mecanismo sustenta a transferência.

Na prática, a empresa deve verificar se o contrato ou o aditivo de tratamento de dados usa um mecanismo válido conforme a regulamentação da ANPD. Quando o fundamento forem as cláusulas-padrão contratuais, é importante confirmar se as cláusulas aprovadas pela ANPD foram incorporadas de forma adequada, e não apenas mencionadas de maneira genérica.

Em 2026, a ANPD também reconheceu a adequação da União Europeia para fins de transferência internacional de dados. Essa decisão facilita fluxos com a União Europeia, mas não resolve automaticamente todos os casos. A empresa ainda precisa olhar para o fornecedor específico, o papel dele na operação, os dados tratados, os suboperadores e o caminho real da informação.

O erro é achar que isso só vale para grandes empresas

Muitas empresas menores pensam: “isso não é para mim”.

Mas basta olhar para a operação.

A empresa usa uma ferramenta estrangeira para enviar newsletter? Usa uma plataforma de atendimento com dados de clientes? Armazena documentos em nuvem? Usa um sistema de gestão com suporte internacional? Envia dados para uma API de IA? Contrata hospedagem fora do Brasil?

Se a resposta for sim, pode haver transferência internacional.

O tamanho da empresa não elimina a obrigação de cuidado. O que muda é a complexidade da análise e o nível de formalização necessário.

Uma pequena empresa não precisa ter a mesma estrutura de uma multinacional, mas precisa saber quais fornecedores usa, que dados compartilha, com que finalidade e quais garantias existem.

Exemplos práticos de transferência internacional em empresas comuns

Algumas situações aparecem com frequência.

CRM e vendas

A equipe comercial usa um CRM global para registrar leads, contatos, propostas, interações e histórico de relacionamento. Esses dados podem ser armazenados ou acessados fora do Brasil.

Além da transferência internacional, há outros pontos: base legal para contato comercial, origem dos leads, prazo de retenção e compartilhamento com parceiros.

E-mail marketing e automação

Ferramentas de disparo e automação costumam tratar nome, e-mail, empresa, cargo, comportamento de abertura, cliques e segmentações. Em alguns casos, também cruzam dados com pixels, cookies e integrações.

Aqui, a empresa precisa olhar para consentimento, legítimo interesse, opt-out, política de privacidade e localização do tratamento.

Cloud e armazenamento

Serviços de nuvem podem envolver armazenamento em regiões estrangeiras, replicação, backup e acesso por times de suporte. Mesmo quando a empresa escolhe uma região específica, vale verificar como o fornecedor trata suporte, logs, suboperadores e recuperação de desastres.

Sistemas de RH

Plataformas de recrutamento, folha, benefícios e gestão de pessoas podem tratar dados de colaboradores, candidatos, dependentes, informações financeiras, documentos e dados sensíveis.

O risco aumenta porque esses dados costumam ser mais delicados e nem sempre recebem o mesmo cuidado que dados de clientes.

Atendimento e suporte

Ferramentas de help desk concentram conversas, anexos, prints, documentos e histórico de problemas. Dependendo do setor, podem receber dados financeiros, de saúde, identificação ou informações sobre crianças e adolescentes.

Inteligência artificial

Ferramentas de IA merecem atenção especial. Quando colaboradores inserem dados pessoais em prompts, anexam bases, resumem contratos, analisam tickets ou processam documentos com IA, pode haver compartilhamento com fornecedores globais.

A empresa precisa definir regras claras: o que pode ser enviado, o que não pode, quais ferramentas são aprovadas e quais configurações de privacidade estão habilitadas.

O que revisar nos contratos com fornecedores

A primeira pergunta é simples: o contrato fala alguma coisa sobre proteção de dados?

Se não fala, já existe um problema.

Para fornecedores que tratam dados pessoais, especialmente em contexto internacional, a empresa deve revisar pontos como:

  • papel do fornecedor: controlador, operador ou suboperador;
  • finalidade do tratamento;
  • categorias de dados pessoais envolvidas;
  • localização do tratamento e armazenamento;
  • uso de suboperadores;
  • medidas de segurança;
  • regras de confidencialidade;
  • apoio no atendimento a direitos dos titulares;
  • comunicação de incidentes;
  • exclusão ou devolução dos dados ao fim do contrato;
  • mecanismo usado para transferência internacional;
  • possibilidade de auditoria ou acesso a relatórios de conformidade.

Nem todo fornecedor aceitará negociar tudo, especialmente grandes plataformas globais. Mas isso não elimina a necessidade de avaliação. A empresa precisa saber quais termos aceitou e quais riscos permanecem.

A política de privacidade precisa refletir a realidade

Outro erro comum é manter uma política de privacidade genérica, que diz pouco ou quase nada sobre compartilhamento de dados.

Se a empresa usa fornecedores que tratam dados fora do Brasil, isso pode precisar aparecer de forma clara na política. O titular não precisa receber uma aula técnica sobre infraestrutura global, mas deve entender que dados podem ser compartilhados com prestadores de serviço e, quando aplicável, transferidos internacionalmente com medidas de proteção.

Transparência é um princípio da LGPD. Uma política bonita, mas desconectada da operação, não ajuda.

O ideal é que a política acompanhe o mapeamento real da empresa. Quais dados são coletados? Para quais finalidades? Com quem são compartilhados? Há transferência internacional? Quais direitos o titular pode exercer? Como falar com o Encarregado?

Transferência internacional começa no inventário de dados

Não dá para proteger o que a empresa não conhece.

Antes de discutir cláusulas e instrumentos jurídicos, a empresa precisa mapear seus fluxos de dados. Esse trabalho costuma aparecer no Registro das Operações de Tratamento, o ROPA.

Um bom mapeamento deve mostrar:

  • quais processos tratam dados pessoais;
  • quais categorias de dados são usadas;
  • quem são os titulares;
  • quais sistemas armazenam ou processam os dados;
  • quais fornecedores participam da operação;
  • se há transferência internacional;
  • quais bases legais justificam o tratamento;
  • quais medidas de segurança existem;
  • por quanto tempo os dados são mantidos.

Esse inventário não precisa nascer perfeito. Mas precisa começar.

Sem ele, a empresa fica dependendo de memória, planilhas soltas e suposições. Em privacidade, suposição costuma sair caro.

Cuidado com a cadeia de suboperadores

Um fornecedor pode contratar outros fornecedores. Esses terceiros podem tratar dados em nome dele. É a cadeia de suboperadores.

Em SaaS e cloud, isso é comum. Uma plataforma pode usar provedores de infraestrutura, ferramentas de monitoramento, suporte, envio de e-mails, processamento de pagamentos, segurança, analytics e outras integrações.

A empresa contratante precisa entender minimamente essa cadeia. Não significa auditar cada suboperador em profundidade, mas sim verificar se o fornecedor informa quem são, como controla mudanças e quais garantias oferece.

Quando há transferência internacional, os suboperadores podem alterar o risco do fluxo. Um contrato com empresa europeia, por exemplo, pode envolver subprocessamento fora da União Europeia. Por isso, a decisão de adequação da UE não deve ser lida como uma autorização genérica para qualquer fluxo relacionado a empresas europeias.

O fluxo real importa.

Perguntas úteis antes de contratar um fornecedor

Antes de contratar uma nova ferramenta, vale fazer algumas perguntas simples:

  • quais dados pessoais serão inseridos na plataforma?
  • esses dados são sensíveis ou envolvem crianças e adolescentes?
  • onde os dados serão armazenados?
  • haverá acesso por equipes fora do Brasil?
  • o fornecedor usa suboperadores?
  • existe acordo de tratamento de dados ou cláusula específica de proteção de dados?
  • qual mecanismo sustenta a transferência internacional?
  • o fornecedor informa medidas de segurança?
  • há prazo de comunicação em caso de incidente?
  • é possível excluir ou exportar dados ao fim do contrato?
  • a ferramenta usa dados do cliente para treinar modelos de IA?

Essas perguntas não precisam travar compras e inovação. Elas servem para evitar contratação às cegas.

O papel do DPO nesse processo

O Encarregado/DPO pode ajudar a empresa a criar uma rotina de avaliação de fornecedores.

Isso não significa que toda contratação precise virar um processo pesado. A ideia é ter critérios proporcionais ao risco. Uma ferramenta que trata apenas dados corporativos de contato tem um perfil. Uma plataforma que processa dados de saúde, biometria, menores de idade ou grandes volumes de dados tem outro.

O DPO ajuda a classificar esses riscos, orientar contratos, revisar políticas e registrar decisões.

Quando essa rotina existe, a empresa deixa de tratar privacidade como um susto no fim da contratação. O tema entra antes, quando ainda dá para negociar, configurar ou escolher uma alternativa melhor.

O que sua empresa pode fazer agora

Um caminho prático é começar por cinco movimentos.

Primeiro, listar os fornecedores que tratam dados pessoais. Não só os grandes sistemas. Inclua ferramentas de marketing, atendimento, RH, analytics, hospedagem, automação, IA, pagamentos e integrações.

Segundo, identificar quais deles envolvem armazenamento, suporte, acesso ou processamento fora do Brasil.

Terceiro, revisar contratos e termos de tratamento de dados, verificando se há cláusulas sobre transferência internacional, segurança, suboperadores e incidentes.

Quarto, atualizar o inventário de dados e a política de privacidade para refletir a operação real.

Quinto, criar uma rotina para que novas contratações passem por uma análise mínima de privacidade antes de serem aprovadas.

Esse processo não precisa ser burocrático. Precisa ser consistente.

Como a TOGETHER pode apoiar

A TOGETHER ajuda empresas a entender seus fluxos de dados, revisar fornecedores e transformar exigências da LGPD em processos práticos.

No tema de transferência internacional de dados, isso pode envolver:

  • mapeamento de sistemas e fornecedores;
  • identificação de fluxos internacionais;
  • revisão de contratos e documentos de privacidade;
  • apoio na avaliação de riscos;
  • estruturação de critérios para contratação de SaaS e cloud;
  • atualização de políticas de privacidade;
  • suporte do DPO em decisões recorrentes.

A transferência internacional de dados não precisa impedir o uso de boas ferramentas. Mas precisa ser tratada com clareza.

Empresas que usam SaaS, cloud e fornecedores globais precisam, cada vez mais, demonstrar que conhecem seus fluxos de dados e governam esses riscos. A pergunta agora é outra: sua empresa consegue demonstrar isso?

Fale com a TOGETHER para revisar seus fornecedores, mapear transferências internacionais e adequar sua operação à LGPD de forma prática.

Compartilhe:

Linkedin

Quer saber mais?

Se inscreva em nossa newsletter e receba atualizações sobre privacidade.

Últimos posts

Privacidade

Contato

  • Av. Eng Luiz Carlos Berrini, n. 1681, Salas 111 e 112, Cidade Monções, São Paulo - SP - 04.571-011
  • (11) 98952-6265 / (11) 5178-3235

© 2026 TOGETHER | Todos os direitos reservados

Se interessou por nossas soluções?
Agende uma demonstração gratuita!

Agende uma demo