Parte da nossa série Compliance & Regulation
Leia o guia completo85% das empresas globais transferem dados pessoais através das fronteiras, mas apenas 34% têm mecanismos de transferência documentados em vigor. Depois do Schrems II invalidar o Escudo de Privacidade UE-EUA em 2020, as transferências transfronteiriças de dados tornaram-se uma das áreas mais complexas da legislação de protecção de dados. O Quadro de Privacidade de Dados UE-EUA restaurou parcialmente a segurança jurídica para as transferências nos EUA, mas o panorama mais amplo das restrições globais à transferência de dados continua a expandir-se.
Este guia mapeia o estado atual das regulamentações de transferência transfronteiriça de dados e fornece orientações práticas de implementação para empresas que operam internacionalmente.
Principais conclusões
- A UE reconhece que apenas 15 países fornecem proteção de dados "adequada" --- todas as outras transferências precisam de mecanismos adicionais
- As Cláusulas Contratuais Padrão (SCCs) são o mecanismo de transferência mais comum, mas agora exigem Avaliações de Impacto de Transferência complementares
- Os requisitos de localização de dados estão aumentando: China, Rússia, Índia e Arábia Saudita restringem a saída de certos dados do país
- O Quadro de Privacidade de Dados UE-EUA fornece um mecanismo de transferência para empresas dos EUA que autocertificam
Hierarquia do mecanismo de transferência
De acordo com o GDPR, os dados pessoais só podem sair do EEE usando um destes mecanismos (por ordem de simplicidade):
1. Decisões de adequação
A Comissão Europeia determinou que estes países oferecem proteção adequada:
| País/Território | Data da Decisão de Adequação | Estado |
|---|---|---|
| Andorra | 2010 | Ativo |
| Argentina | 2003 | Ativo |
| Canadá (PIPEDA) | 2001 | Ativo (apenas setor comercial) |
| Ilhas Faroé | 2010 | Ativo |
| Guernsey | 2003 | Ativo |
| Israel | 2011 | Ativo |
| Ilha de Man | 2004 | Ativo |
| Japão | 2019 | Ativo |
| Camisa | 2008 | Ativo |
| Nova Zelândia | 2012 | Ativo |
| República da Coreia | 2022 | Ativo |
| Suíça | 2000 | Ativo |
| Reino Unido | 2021 | Ativo (até junho de 2025, renovação prevista) |
| Uruguai | 2012 | Ativo |
| Estados Unidos | 2023 (DPF) | Ativo (apenas participantes DPF) |
Se os seus dados forem para um país adequado: Nenhum mecanismo de transferência adicional é necessário. Processe-o como uma transferência intra-EEE.
Se não estiver na lista: você precisa de um dos mecanismos abaixo.
2. Cláusulas Contratuais Padrão (CECs)
O mecanismo de transferência mais comumente usado. SCCs são modelos de contrato pré-aprovados que vinculam o importador de dados a proteções equivalentes ao GDPR.
Quatro módulos (use o relevante):
| Módulo | Festas | Cenário |
|---|---|---|
| Módulo 1 | Controlador para Controlador | Compartilhando dados de clientes com um parceiro estrangeiro |
| Módulo 2 | Controlador para Processador | Usando um provedor de nuvem estrangeiro ou fornecedor de SaaS |
| Módulo 3 | Processador para Processador | Seu processador usa um subprocessador externo |
| Módulo 4 | Processador para Controlador | Controlador estrangeiro instrui processador baseado na UE |
Etapas de implementação:
- Identifique todas as transferências de dados fora do EEE
- Selecione o módulo SCC apropriado para cada transferência
- Preencher os anexos (categorias de dados, medidas de segurança, subprocessadores)
- Realizar uma Avaliação de Impacto de Transferência (AIT) para cada país receptor
- Assine os SCCs com o importador de dados
- Implementar quaisquer medidas suplementares identificadas no TIA
3. Regras Corporativas Vinculativas (BCRs)
Para empresas multinacionais que transferem dados entre entidades do grupo. As BCR são aprovadas por uma autoridade supervisora principal e fornecem uma estrutura para transferências intragrupo em todo o mundo.
Prós: Depois de aprovado, abrange todas as entidades do grupo e todos os cenários de transferência Contras: processo de aprovação de 12 a 24 meses, custo significativo ($ 100 mil +), apenas para entidades do grupo
4. Estrutura de Privacidade de Dados UE-EUA (DPF)
As empresas dos EUA podem autocertificar-se no âmbito do DPF, proporcionando um mecanismo de transferência semelhante ao da adequação:
- A empresa é registrada no Departamento de Comércio dos EUA
- A empresa publica uma política de privacidade compatível com DPF
- A Empresa se compromete com os princípios do DPF (notificação, escolha, transferência subsequente, segurança, integridade de dados, acesso, recurso)
- Recertificação anual necessária
Limitação: Cobre apenas transferências para empresas certificadas DPF. Verifique a lista DPF antes de confiar neste mecanismo.
Avaliações de impacto de transferência (TIAs)
Quando necessário
Após o Schrems II, os AIT são necessários para todas as transferências baseadas em SCC para países não adequados. A TIA avalia se as leis do país receptor prejudicam as proteções das SCCs.
Estrutura TIA
| Elemento de Avaliação | Perguntas-chave |
|---|---|
| Características dos dados | Quais dados? Quão sensível? Volume? |
| Leis do país receptor | Leis de vigilância governamental? Acesso forçado? |
| Proteções legais | Judiciário independente? Autoridade de proteção de dados? |
| Experiência prática | O importador recebeu solicitações de acesso do governo? |
| Medidas complementares | As medidas técnicas podem anular os riscos jurídicos? |
Árvore de decisão de resultados da TIA
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Medidas Complementares
| Medir | Eficácia | Caso de uso |
|---|---|---|
| Criptografia (chaves mantidas pelo cliente) | Alto | Dados em repouso e em trânsito |
| Pseudonimização | Alto | Análise, relatórios |
| Processamento dividido | Médio | Campos sensíveis tratados apenas no EEE |
| Restrições contratuais | Baixo-médio | Compromissos adicionais do importador |
| Direitos de auditoria | Baixo | Verificação, não prevenção |
Requisitos de localização de dados
Países com leis de localização de dados
| País | Requisito | Escopo | Pena |
|---|---|---|---|
| China (PIPL + CSL) | Dados críticos e dados importantes devem ser armazenados na China; avaliação de segurança para transferências de saída | Amplo | Receita de até 5% |
| Rússia (Lei Federal 242-FZ) | O processamento inicial e o armazenamento de dados de cidadãos russos devem ocorrer na Rússia | Dados de cidadãos russos | Bloqueio de serviços |
| Índia (Lei DPDP) | Dados pessoais críticos devem ser processados na Índia (regras pendentes) | A definir | Até INR 250 milhões |
| Arábia Saudita (PDPL) | Os dados sensíveis podem exigir processamento local; restrições de transferência | Dados pessoais | Até SAR 5 milhões |
| Vietname (PDPD) | Dados importantes a serem armazenados internamente; TIA para transferências transfronteiriças | Dados de cidadãos vietnamitas | Sanções administrativas |
| Indonésia (Lei PDP) | Os dados do setor governamental podem exigir processamento local | Dados governamentais | Sanções administrativas |
| Turquia (KVKK) | A transferência requer consentimento ou base jurídica específica + aprovação do Conselho | Dados pessoais | EXPERIMENTE 1,8 milhões |
Impacto na arquitetura da nuvem
A localização de dados afeta as decisões de infraestrutura em nuvem:
| Cenário | Implicação da Arquitetura |
|---|---|
| Localização na China | Região de nuvem separada na China (AWS China, Alibaba Cloud) |
| Localização na Rússia | Servidores locais ou provedor de nuvem local |
| Processamento apenas na UE | Selecione regiões de nuvem da UE; garantir que não haja replicação de dados para regiões fora da UE |
| Multirregião com restrições | Arquitetura hub-and-spoke com bancos de dados regionais |
Implementação prática para cenários comuns
Cenário 1: Empresa da UE usando SaaS dos EUA
Mecanismo de transferência: verifique primeiro se o fornecedor é certificado pelo DPF. Se sim, o DPF fornece a base. Caso contrário, implemente SCCs (Módulo 2: Controlador para Processador).
Cenário 2: Empresa Global com RH Centralizado
Mecanismo de transferência: BCRs para transferências intragrupo ou SCCs entre cada par de entidades. Implementar AIT para transferências para países de alto risco.
Cenário 3: comércio eletrônico atendendo clientes da UE a partir da infraestrutura dos EUA
Mecanismo de transferência: SCCs entre sua entidade da UE (ou representante da UE) e sua infraestrutura nos EUA. Criptografe os dados dos clientes com chaves mantidas na UE.
Cenário 4: Odoo ERP para operações em vários países
Mecanismo de transferência: se hospedados na UE, as transferências ocorrem quando: (1) funcionários em países fora da UE acessam o sistema (o acesso remoto é uma transferência), (2) os dados são replicados para locais de backup fora da UE, (3) a equipe de suporte em países fora da UE acessa dados de clientes/funcionários. Implemente SCCs para cada ponto de acesso e use grupos de acesso Odoo para limitar a visibilidade dos dados por região geográfica.
Lista de verificação de conformidade
- Mapear todas as transferências transfronteiriças de dados (quais dados, onde, para quem, porquê)
- Verificar o status de adequação de cada país receptor
- Implementar mecanismo de transferência apropriado (SCCs, DPF, BCRs) para países não adequados
- [] Avaliações completas de impacto de transferência para transferências baseadas em SCC
- Implementar medidas complementares onde os AIT identificam riscos
- Atualizar políticas de privacidade para divulgar transferências internacionais
- [] Incluir disposições de transferência em DPAs de fornecedores
- Revisar os mecanismos de transferência anualmente ou quando as leis do país receptor mudarem
- [] Manter a documentação de todas as avaliações e decisões de transferência
Perguntas frequentes
É seguro confiar na Estrutura de Privacidade de Dados UE-EUA?
O DPF é atualmente válido e fornece uma base legal para transferências para empresas americanas certificadas. No entanto, enfrenta um desafio jurídico (La Quadrature du Net) semelhante aos que invalidaram o Safe Harbor e o Privacy Shield. Organizações prudentes utilizam o DPF, mas também possuem SCCs como mecanismo de transferência de backup. Se o DPF for invalidado, você poderá recorrer aos SCCs sem interromper os fluxos de dados.
O que acontece se transferirmos dados sem um mecanismo válido?
As transferências não autorizadas são uma violação direta do GDPR, sujeitas a multas de até 20 milhões de euros ou 4% do volume de negócios anual global. Além das multas, as autoridades de supervisão podem ordenar a suspensão das transferências de dados, o que pode perturbar as operações comerciais. A Meta foi multada em 1,2 mil milhões de euros em 2023 por transferências não autorizadas entre a UE e os EUA – a maior multa de sempre do GDPR.
As SCCs cobrem todos os tipos de transferência de dados?
Os SCCs cobrem a maioria dos cenários comerciais de transferência de dados através de quatro módulos. No entanto, as SCC não são adequadas para transferências por parte de autoridades públicas que atuem no exercício de poderes públicos. Nesses casos, podem aplicar-se acordos internacionais ou derrogações específicas ao abrigo do artigo 49.º.
Como os requisitos internacionais afetam nossa implantação do Odoo?
Se a sua instância Odoo estiver hospedada na UE e acessada por funcionários ou parceiros fora da UE, cada ponto de acesso remoto constitui uma transferência de dados. Implemente grupos de acesso Odoo para garantir que usuários de fora da UE possam ver apenas os dados de que precisam. Use conexões VPN para acesso remoto criptografado. Se hospedar o Odoo fora da UE, implemente SCCs com o provedor de hospedagem e garanta a criptografia do banco de dados. Os serviços de infraestrutura Odoo do ECOSIRE incluem configurações de implantação com reconhecimento de conformidade.
O que vem a seguir
A conformidade das transferências transfronteiriças é uma peça do quebra-cabeça da governança de dados. Combine-o com fundamentos de governança de dados, gerenciamento de contratos de fornecedores para DPAs com fornecedores internacionais e privacidade de dados de funcionários para transferências de dados de força de trabalho.
Entre em contato com a ECOSIRE para consultoria de conformidade transfronteiriça e mapeamento de fluxo de dados internacional.
Publicado pela ECOSIRE – ajudando as empresas a transferir dados além-fronteiras com confiança e conformidade.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Expanda o seu negócio com ECOSIRE
Soluções empresariais em ERP, comércio eletrônico, IA, análise e automação.
Artigos Relacionados
Shopify Markets 2026: preços internacionais, impostos, configuração de moeda
Configure o Shopify Markets para expansão global: preços por país, impostos automáticos, múltiplas moedas, geolocalização, estratégia de domínio e compensações do Markets Pro.
Gateways de pagamento do Shopify por país 2026: EUA, UE, Índia, MENA, LATAM
Guia completo para gateways de pagamento do Shopify por país: Shopify Payments, Stripe, Razorpay, Mercado Pago, Tap, PayMob, taxas, elegibilidade, prazos de pagamento.
Migração Zoho para Odoo: guia passo a passo de transferência de dados
Guia completo de migração do Zoho para Odoo, cobrindo CRM, livros, inventário e mapeamento de módulos de RH, exportação de API, transformação de dados e estratégias de teste.
Mais de Compliance & Regulation
BMF Programmablaufplan Lohnsteuer 2026: Implementando o cálculo oficial do imposto sobre salários na Alemanha (XML, API, Odoo)
Guia do desenvolvedor para o BMF Programmablaufplan Lohnsteuer 2026: o que é o PAP, o formato de pseudocódigo XML, serviço de teste oficial e mapeamento para folha de pagamento Odoo.
ERP para marcas de roupas e moda: matriz tamanho-cor, planejamento sazonal e conformidade (guia 2026)
Como as marcas de moda e roupas escolhem um ERP em 2026: variantes de matriz tamanho-cor, planejamento sazonal, conformidade com GoBD e DATEV, comparação de fornecedores e custos.
ERPNext RH e folha de pagamento em 2026: configuração, estruturas salariais e conformidade multipaíses
Configuração passo a passo do ERPNext HR e folha de pagamento para 2026: instalação do aplicativo HRMS, estruturas salariais, lançamentos de folha de pagamento, placas de imposto de renda, conformidade multipaíses.
Conformidade GoHighLevel A2P 10DLC em 2026: registro, taxas e correção de SMS bloqueados
Guia completo do GoHighLevel A2P 10DLC para 2026: etapas de registro de marca e campanha, taxas da operadora, motivos comuns de rejeição e como corrigir SMS filtrados.
Validação GxP para sistemas ERP: o que sua RFP de validação 2026 deve exigir (CSV, IQ/OQ/PQ, trilhas de auditoria)
O que uma RFP de validação de ERP GxP deve exigir em 2026: escopo CSV e CSA, 21 CFR Parte 11, Anexo 11 da UE, resultados IQ/OQ/PQ, trilhas de auditoria e risco GAMP 5.
Modelo de segurança OpenClaw, residência de dados, SOC 2 e ISO 27001
Arquitetura de segurança OpenClaw: isolamento de locatário, criptografia, gerenciamento de segredos, registros de auditoria, residência de dados, SOC 2, ISO 27001, GDPR, aptidão HIPAA.