Transferência de dados transfronteiriça: SCCs, BCRs e decisões de adequação

As transferências internacionais de dados estão entre as áreas mais complexas tecnicamente e juridicamente incertas da conformidade global com a privacidade. Quando os dados pessoais atravessam fronteiras – dos servidores em nuvem da UE para os EUA, do Japão para o sistema global de RH de uma multinacional, do Brasil para um centro de processamento indiano – aplicam-se simultaneamente vários quadros jurídicos, cada um exigindo a implementação de mecanismos de transferência específicos antes da movimentação dos dados.

O acórdão Schrems II (TJUE, 16 de julho de 2020) alterou fundamentalmente o cenário das transferências internacionais ao invalidar o Privacy Shield e ao exigir que as organizações conduzissem Avaliações de Impacto de Transferência (TIAs) para transferências baseadas em Cláusulas Contratuais Padrão. Desde então, ocorreram três grandes desenvolvimentos: adequação do Quadro de Privacidade de Dados UE-EUA (julho de 2023), SCCs da UE atualizadas (junho de 2021) e uma proliferação de restrições de transferência a nível nacional de países como a China (PIPL), a Índia (Lei DPDP) e a Arábia Saudita (PDPL). Este guia fornece um roteiro abrangente para navegar no labirinto internacional de transferência de dados.

Principais conclusões

• O GDPR da UE restringe transferências de dados pessoais para países fora do EEE sem proteção adequada ou salvaguardas apropriadas
• As decisões de adequação são o mecanismo mais simples — não são necessárias salvaguardas adicionais se o país de destino tiver a adequação da UE
• As Cláusulas Contratuais Padrão (SCCs de 2021) são o mecanismo mais amplamente utilizado — quatro módulos que cobrem transferências de controlador para controlador, de controlador para processador, de processador para controlador e de processador para processador
• Avaliações de impacto de transferência (TIAs) são necessárias para transferências baseadas em SCC — avalie se a lei do país de destino permite uma proteção eficaz
• As regras corporativas vinculativas (BCRs) funcionam para transferências intragrupo, mas exigem a aprovação da DPA da UE — um processo de 2 a 3 anos
• O Quadro de Privacidade de Dados UE-EUA (julho de 2023) fornece um mecanismo baseado na adequação para transferências nos EUA — verifique o status da certificação DPF
• China PIPL, Arábia Saudita PDPL e Índia DPDP impõem restrições de transferência de saída exigindo seus próprios mecanismos
• Os requisitos de localização de dados territoriais (Rússia, China para CIIOs, dados sauditas de saúde/finanças) proíbem inteiramente certas transferências de saída

---

A base legal para restrições de transferência

Capítulo V do GDPR da UE

O Capítulo V do RGPD (artigos 44.º a 49.º) estabelece que os dados pessoais só podem ser transferidos para um país terceiro se:

1. A Comissão Europeia adotou uma decisão de adequação para esse país (artigo 45.º)
2. Existem salvaguardas adequadas (artigo 46.º) — SCC, BCR, códigos de conduta aprovados com compromissos vinculativos, mecanismos de certificação aprovados, instrumentos juridicamente vinculativos entre autoridades públicas
3. Aplica-se uma derrogação específica (artigo 49.º) — consentimento explícito, necessidade contratual, reclamações legais, interesses vitais, interesse público, registos públicos

O princípio: os dados pessoais da UE devem beneficiar do mesmo nível de proteção onde quer que fluam. O mecanismo de transferência é a ferramenta que teoricamente consegue isso.

Jurisprudência chave

Schrems I (TJUE, 2015): invalidou a estrutura Safe Harbor para transferências UE-EUA, concluindo que a lei de segurança nacional dos EUA impedia a aplicação eficaz dos princípios do GDPR.

Schrems II (TJUE, 2020): Privacy Shield invalidado (sucessor do Safe Harbour); constatou que as cláusulas modelo (SCC) permanecem válidas em princípio, mas os responsáveis ​​pelo tratamento/processadores devem verificar caso a caso se o país de destino oferece proteção eficaz. Isso criou o requisito TIA.

Quadro de privacidade de dados UE-EUA (Decisão da Comissão, julho de 2023): Adotado na sequência da Ordem Executiva 14086 dos EUA (outubro de 2022) sobre a reforma da inteligência de sinais. Fornece adequação para participantes DPF certificados. Desafiado por Max Schrems nos tribunais irlandeses — O processo Schrems III está em curso, mas o DPF permanece válido, a menos que o TJUE emita a suspensão.

---

Decisões de Adequação

O mecanismo de transferência mais simples: não são necessárias salvaguardas adicionais se a Comissão tiver adotado uma decisão de adequação para o país de destino.

Decisões atuais de adequação da UE (em março de 2026):

• Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coreia, Suíça, Reino Unido, Uruguai, Estados Unidos (Estrutura de Privacidade de Dados UE-EUA — apenas organizações certificadas ao abrigo do DPF)

Advertências importantes:

• EUA: Adequação apenas para organizações certificadas pelo DPF UE-EUA. As transferências para empresas não certificadas dos EUA exigem SCCs, BCRs ou outros mecanismos. Verifique o status da certificação DPF no site do DPF (dataprivacyframework.gov) antes de confiar na adequação.
• Canadá: A adequação abrange organizações comerciais sob PIPEDA — não abrange todas as entidades canadenses ou leis provinciais do setor privado
• Japão: Adequação sujeita a regras complementares para dados pessoais da UE
• Reino Unido: Decisão de adequação adotada em junho de 2021 com cláusula de caducidade de quatro anos; renovação prevista para 2025

Adequacy decisions are subject to review and can be suspended — the Schrems II case demonstrates the risk of adequacy-dependency. Manter a documentação SCC de contingência mesmo quando a adequação for aplicável atualmente.

---

Cláusulas Contratuais Padrão (SCCs da UE 2021)

As CCTs da UE de 2021 (Decisão 2021/914 da Comissão, 4 de junho de 2021) substituíram cláusulas modelo mais antigas e introduziram uma estrutura modular cobrindo todos os quatro cenários de transferência:

Quatro Módulos

Módulo 1 — Controlador para Controlador (C2C): Dois controladores de dados. Mais comum para: compartilhamento de dados entre empresas não afiliadas, envio de dados de clientes para fornecedores de CRM que os processarão para fins próprios, parcerias conjuntas de dados.

Módulo 2 — Controlador para Processador (C2P): O controlador de dados terceiriza o processamento para um processador terceirizado. Mais comum para: serviços em nuvem, SaaS, terceirização de TI, serviços analíticos, data centers.

Módulo 3 — Processador para Processador (P2P): Arranjos de subprocessadores. Usado quando um processador usa um subprocessador.

Módulo 4 — Processador para Controlador (P2C): O processador retorna dados ao controlador. Menos comum; usado em cenários de arquitetura específicos.

Componentes obrigatórios do SCC

As CECs 2021 incluem cláusulas obrigatórias que não podem ser modificadas:

• Cláusula 2: Efeito e invariabilidade - as partes concordam que as cláusulas não podem ser modificadas, exceto nas formas permitidas
• Cláusula 7: Cláusula de encaixe — permitindo a adesão de partes adicionais
• Cláusula 9: Abordagem de autorização do subprocessador (autorização geral ou específica por escrito)
• Cláusula 17: Lei aplicável (deve ser uma lei de um estado membro onde pelo menos uma parte esteja estabelecida; ou uma lei de um estado membro que permita direitos de terceiros beneficiários)
• Cláusula 18: Escolha do foro (tribunais competentes do estado membro que rege os SCCs)

Quais partes podem personalizar:

• Salvaguardas adicionais além do mínimo (encorajadas pelo EDPB)
• Conteúdo do anexo específico da empresa (descrição do processamento, categorias de dados, medidas técnicas)
• Abordagem de autorização de subprocessador (geral ou específica)
• Mecanismo de reparação para titulares de dados no país de destino

IDTAs do Reino Unido

Para transferências do Reino Unido (não da UE), use o Acordo Internacional de Transferência de Dados (IDTA) da OIC ou o Adendo do IDTA às SCCs da UE. Estas substituíram as SCC da UE para transferências do Reino Unido a partir de 21 de setembro de 2022 (com extensão até 21 de março de 2024 para contratos SCC da UE pré-existentes).

---

Avaliações de impacto de transferência (TIAs)

Na sequência do Schrems II, o CEPD publicou as Recomendações 01/2020 sobre transferências com um requisito obrigatório de TIA para transferências baseadas em SCC. A TIA é uma análise documentada que avalia se o quadro jurídico do país de destino impede a proteção eficaz dos dados transferidos.

Passos TIA (Recomendações EDPB 01/2020)

Etapa 1 — Conheça suas transferências: Mapeie todas as transferências, incluindo transferências posteriores através de processadores e subprocessadores.

Etapa 2 — Verifique as ferramentas de transferência utilizadas: Confirme qual mecanismo de transferência se aplica (módulo SCC, adequação, etc.).

Etapa 3 — Avaliar a legislação do país terceiro: Avaliar se a legislação do país de destino impede a eficácia das SCC. Fatores relevantes:

• O país permite o acesso do governo a dados pessoais além do necessário e proporcional?
• Existem soluções legais eficazes para os cidadãos da UE caso os direitos sejam violados?
• O país tem uma autoridade supervisora ​​independente?

Etapa 4 — Identificar e adotar medidas suplementares: Se a TIA identificar uma legislação problemática do país de destino, implemente medidas suplementares:

Medidas técnicas:

• Criptografia ponta a ponta (onde o importador não tem acesso à chave de descriptografia)
• Pseudonimização por parte da UE antes da transferência
• Processamento dividido/multipartidário onde nenhum importador tem acesso aos dados completos
• Arquitetura de conhecimento zero

Medidas contratuais:

• Obrigação de transparência (o importador notifica o exportador sobre qualquer pedido juridicamente vinculativo de divulgação de dados)
• O importador contesta solicitações de divulgação de dados sempre que legalmente possível
• Redução dos dados tratados ao mínimo necessário

Medidas organizacionais:

• Políticas internas que limitam o acesso do governo
• Equipe técnica apropriada para lidar com solicitações de aplicação da lei

Etapa 5 — Tomar medidas processuais formais: Preencher SCCs, atualizar registros, documentar TIA.

Etapa 6 — Reavaliar em intervalos apropriados: Os TIAs não são exercícios únicos — reavaliar quando: a legislação do país de destino muda, as SCC são alteradas, surgem novas orientações significativas do CEPD ou das APD nacionais.

Considerações Específicas do País da TIA

---

Regras Corporativas Vinculativas (BCRs)

As BCR são regras de proteção de dados intragrupo juridicamente vinculativas, aprovadas por uma autoridade de supervisão competente da UE. São o mecanismo de transferência mais robusto, mas também o mais complexo de implementar.

Cobertura de BCRs:

• BCRs do controlador: permite transferências intragrupo dentro de um grupo corporativo onde todos os membros do grupo atuam como controladores
• BCRs de processador: permitem que processadores (incluindo empresas de serviços intragrupo) recebam e processem dados de controladores da UE

Vantagens do BCR:

• Uma vez aprovado, nenhum mecanismo por transferência é necessário para fluxos intragrupo cobertos
• Demonstra o mais alto nível de compromisso de conformidade
• Algumas APD tratam os grupos detentores de BCR como mais confiáveis

Requisitos BCR (Artigo 47 do RGPD e diretrizes do EDPB):

• Obrigatório para todos os membros do grupo e executório pelos titulares dos dados como terceiros beneficiários
• Especifique claramente a estrutura do grupo e os membros do grupo
• Cobrir todas as transferências e conjuntos de transferências dentro do grupo
• Deve incluir: finalidades de processamento de dados, categorias de dados, destinatários, períodos de armazenamento, informações para membros do grupo não pertencentes à UE
• Especificar os direitos do titular dos dados, incluindo como exercê-los
• Incluir verificação de conformidade (auditorias, treinamento)
• Mecanismo de relatório para mudanças
• Mecanismo de cooperação com DPAs

Processo BCR: Solicite à autoridade supervisora ​​principal (a DPA onde está localizada a sede da empresa na UE). A APD principal conduz um procedimento de reconhecimento mútuo com outras APD da UE. Cronograma: normalmente de 2 a 3 anos desde a aplicação até a aprovação. A aplicação requer documentação extensa.

Detentores de BCR aprovados: Mais de 100 grupos multinacionais possuem BCRs aprovados pela Comissão Europeia, incluindo IBM, Marriott, BCG, Ernst & Young, Johnson & Johnson.

---

Restrições de transferência de países fora da UE

Muitos países fora da UE impõem agora as suas próprias restrições à transferência de dados de saída. Isso cria complexidade de conformidade bidirecional para organizações multinacionais.

###ChinaPIPL

Avaliação de segurança CAC necessária para: CIIOs; transferências anuais de mais de 100.000 dados de indivíduos. Contratos padrão (modelados nos SCC da UE, mas específicos da China) para transferências de menor volume. Mecanismo de certificação para transferências intragrupo. (Consulte o guia PIPL da China dedicado para obter detalhes completos.)

PDPL da Arábia Saudita

Aprovação ou adequação da SDAIA necessária para a maioria das transferências de saída. A localização específica do sector (saúde, finanças) pode proibir totalmente certas transferências. Mecanismo de cláusulas contratuais padrão em desenvolvimento pela SDAIA.

Lei DPDP da Índia

Abordagem de lista positiva — transferências permitidas para todos os países, exceto aqueles especificamente restritos por notificação do Governo Central. A localização específica do setor (RBI, saúde) continua a ser aplicada de forma independente.

Brasil LGPD

São necessárias decisões de adequação da ANPD ou salvaguardas contratuais. A ANPD está desenvolvendo modelos de cláusulas contratuais padrão. Consentimento explícito disponível como mecanismo alternativo.

Rússia

A Lei Federal nº 149-FZ e a Lei Federal nº 152-FZ exigem que os dados pessoais de cidadãos russos sejam inicialmente coletados e processados ​​na Rússia. Transferências transfronteiriças permitidas somente após localização russa. Na prática, as sanções e as restrições tecnológicas tornam as transferências de dados da Rússia extremamente complexas.

---

Lista de verificação de conformidade para transferências transfronteiriças

• [] Todas as transferências de dados transfronteiriças mapeadas (fluxos de controlador, processador, subprocessador)
• Mecanismo de transferência determinado para cada fluxo (adequação, SCCs, BCRs, derrogações)
• Destinos de adequação da UE verificados (certificação DPF verificada para destinatários dos EUA)
• EU SCCs selecionados: módulo correto para cada relação de transferência
• Anexos SCC concluídos: descrição de dados, medidas técnicas/organizacionais
• [] Avaliação de impacto de transferência realizada para transferências baseadas em SCC
• [] Medidas complementares implementadas onde a TIA identifica problemas
• UK IDTA ou Adendo usado para transferências do Reino Unido (não SCCs da UE)
• pedido de BCR apresentado se houver transferências intragrupo em grande escala
• [] Cadeias SCC de subprocessadores implementadas (Módulo 3 ou aprovação do controlador de subprocessadores)
• Restrições de transferência de saída para fora da UE avaliadas (PIPL, PDPL, DPDP, LGPD)
• [] Requisitos de localização de dados avaliados para setores regulamentados
• Cronograma de reavaliação do TIA estabelecido
• Registros de atividades de processamento atualizados para refletir mecanismos de transferência
• Requisitos de notificação da DPA avaliados para transferências sob derrogações

---

Perguntas frequentes

Podemos usar antigas SCCs da UE (pré-2021) para contratos existentes?

O prazo de transição para substituir as antigas SCC da UE pelas SCC de 2021 foi 27 de dezembro de 2022. As antigas SCC da UE já não são válidas. Se tiver contratos que ainda façam referência às antigas SCC (emitidas ao abrigo das Decisões 2001/497/CE, 2004/915/CE ou 2010/87/UE), esses contratos deverão ser atualizados para as SCC de 2021. Quaisquer novos contratos devem usar os SCCs de 2021. Continuar a depender de SCCs antigas expõe sua organização a ações de fiscalização.

Precisamos de um SCC para cada transferência de dados ou apenas de um acordo geral?

Os SCCs devem ser executados entre cada par de exportador e importador de dados. Se a sua empresa (sediada na UE) utiliza 10 fornecedores de nuvem diferentes, cada um recebendo dados pessoais, você precisará de 10 acordos SCC separados. Dentro de um único acordo SCC, você pode cobrir diversas categorias de dados, diversos titulares de dados e diversas finalidades — mas cada relacionamento bilateral precisa de seu próprio acordo assinado. Para grandes organizações com muitos fornecedores, é essencial manter um inventário SCC e um sistema de rastreamento de renovação.

O que é o Quadro de Privacidade de Dados UE-EUA e como o utilizamos?

O Quadro de Privacidade de Dados UE-EUA (DPF) é um mecanismo de adequação adotado pela Comissão Europeia em 10 de julho de 2023, na sequência da Ordem Executiva 14086 dos EUA sobre o reforço das salvaguardas de privacidade para inteligência de sinais. Permite que dados pessoais fluam da UE para organizações certificadas dos EUA sem SCCs ou TIAs. Para usar o DPF: (1) O destinatário dos EUA deve autocertificar-se junto ao Departamento de Comércio dos EUA; (2) Verifique a certificação em dataprivacyframework.gov; (3) Se forem certificadas, as transferências UE→EUA para essa organização não requerem nenhum mecanismo adicional. O DPF está sendo contestado legalmente (Schrems III) — mantenha a documentação de backup do SCC como contingência.

Quais são as descobertas mais comuns do TIA que criam problemas?

As conclusões problemáticas mais comuns do TIA envolvem: (1) Amplo acesso à vigilância governamental — particularmente a Secção 702 da FISA dos EUA e autoridades equivalentes noutros países que permitem a recolha em massa sem supervisão judicial; (2) Leis de segurança nacional que substituem as proteções de privacidade — comuns em estados autoritários; (3) Falta de recursos jurídicos eficazes para os cidadãos da UE — quando os tribunais não são independentes ou os cidadãos da UE não têm legitimidade; (4) Obrigações de acesso a dados impostas aos processadores — por exemplo, as obrigações da China sob CSL/PIPL para CIIOs. Quando a TIA identifica problemas, são normalmente implementadas medidas técnicas (criptografia, pseudonimização) para abordar o risco específico — mas devem realmente impedir o acesso identificado, e não apenas alegar que o faz.

As derrogações ao abrigo do artigo 49.º funcionam para transferências de rotina?

Não. O CEPD tem afirmado consistentemente que as derrogações do artigo 49.º se aplicam apenas a transferências ocasionais e não repetitivas. O consentimento explícito (derrogação 49(1)(a)) é particularmente problemático para transferências de rotina: o consentimento deve ser específico (indicando o país de destino e explicando os riscos da transferência), dado gratuitamente (o que pode ser difícil em contextos de emprego ou de serviços essenciais) e obtido comprovadamente antes de cada transferência. Para fluxos de dados sistemáticos e contínuos — como serviços em nuvem, sistemas de RH ou sistemas de CRM — as derrogações não são adequadas. Utilize SCCs, BCRs ou mecanismos de adequação para transferências de rotina.

Como lidamos com transferências de dados de subprocessadores?

As transferências de subprocessadores devem ser cobertas por mecanismos de transferência apropriados. De acordo com o Módulo 2 das SCCs da UE (Controlador para Processador), o processador só deve contratar subprocessadores localizados em países adequados ou sob SCCs. O Módulo 3 (Processador para Processador) cobre o relacionamento do subprocessador. O controlador deve ser informado e aprovar subprocessadores (especificamente ou por categoria com notificação). Os subprocessadores devem estar vinculados às mesmas obrigações de proteção de dados que o processador — normalmente por meio de um acordo de subprocessamento que incorpore SCCs do Módulo 3. Muitas organizações mantêm uma lista de subprocessadores e informam os titulares dos dados por meio de avisos de privacidade.

---

Próximas etapas

A conformidade na transferência transfronteiriça de dados é uma atividade de gerenciamento contínua — e não um projeto único. À medida que as novas leis do país restringem as transferências de saída, as decisões de adequação ficam sob contestação legal e o cenário do seu fornecedor evolui, o inventário do seu mecanismo de transferência deve acompanhar o ritmo.

ECOSIRE ajuda as organizações a projetar estruturas de mecanismos de transferência, realizar avaliações de impacto de transferência e implementar salvaguardas técnicas para operações internacionais de dados. Nossa experiência abrange o GDPR da UE, o GDPR do Reino Unido, o PIPL, a LGPD e estruturas nacionais emergentes.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. Os requisitos de transferência transfronteiriça de dados são complexos, específicos da jurisdição e estão sujeitos a mudanças rápidas através de decisões judiciais e orientações regulamentares. Consulte um consultor jurídico qualificado para aconselhamento específico sobre os fluxos de transferência da sua organização.