Parte da nossa série Compliance & Regulation
Leia o guia completoRegulamentações de transferência de dados transfronteiriças: navegando em fluxos de dados internacionais
85% das empresas globais transferem dados pessoais através das fronteiras, mas apenas 34% têm mecanismos de transferência documentados em vigor. Depois do Schrems II invalidar o Escudo de Privacidade UE-EUA em 2020, as transferências transfronteiriças de dados tornaram-se uma das áreas mais complexas da legislação de protecção de dados. O Quadro de Privacidade de Dados UE-EUA restaurou parcialmente a segurança jurídica para as transferências nos EUA, mas o panorama mais amplo das restrições globais à transferência de dados continua a expandir-se.
Este guia mapeia o estado atual das regulamentações de transferência transfronteiriça de dados e fornece orientações práticas de implementação para empresas que operam internacionalmente.
Principais conclusões
- A UE reconhece que apenas 15 países fornecem proteção de dados "adequada" --- todas as outras transferências precisam de mecanismos adicionais
- As Cláusulas Contratuais Padrão (SCCs) são o mecanismo de transferência mais comum, mas agora exigem Avaliações de Impacto de Transferência complementares
- Os requisitos de localização de dados estão aumentando: China, Rússia, Índia e Arábia Saudita restringem a saída de certos dados do país
- O Quadro de Privacidade de Dados UE-EUA fornece um mecanismo de transferência para empresas dos EUA que autocertificam
Hierarquia do mecanismo de transferência
De acordo com o GDPR, os dados pessoais só podem sair do EEE usando um destes mecanismos (por ordem de simplicidade):
1. Decisões de adequação
A Comissão Europeia determinou que estes países oferecem proteção adequada:
| País/Território | Data da Decisão de Adequação | Estado |
|---|---|---|
| Andorra | 2010 | Ativo |
| Argentina | 2003 | Ativo |
| Canadá (PIPEDA) | 2001 | Ativo (apenas setor comercial) |
| Ilhas Faroé | 2010 | Ativo |
| Guernsey | 2003 | Ativo |
| Israel | 2011 | Ativo |
| Ilha de Man | 2004 | Ativo |
| Japão | 2019 | Ativo |
| Camisa | 2008 | Ativo |
| Nova Zelândia | 2012 | Ativo |
| República da Coreia | 2022 | Ativo |
| Suíça | 2000 | Ativo |
| Reino Unido | 2021 | Ativo (até junho de 2025, renovação prevista) |
| Uruguai | 2012 | Ativo |
| Estados Unidos | 2023 (DPF) | Ativo (apenas participantes DPF) |
Se os seus dados forem para um país adequado: Nenhum mecanismo de transferência adicional é necessário. Processe-o como uma transferência intra-EEE.
Se não estiver na lista: você precisa de um dos mecanismos abaixo.
2. Cláusulas Contratuais Padrão (CECs)
O mecanismo de transferência mais comumente usado. SCCs são modelos de contrato pré-aprovados que vinculam o importador de dados a proteções equivalentes ao GDPR.
Quatro módulos (use o relevante):
| Módulo | Festas | Cenário |
|---|---|---|
| Módulo 1 | Controlador para Controlador | Compartilhando dados de clientes com um parceiro estrangeiro |
| Módulo 2 | Controlador para Processador | Usando um provedor de nuvem estrangeiro ou fornecedor de SaaS |
| Módulo 3 | Processador para Processador | Seu processador usa um subprocessador externo |
| Módulo 4 | Processador para Controlador | Controlador estrangeiro instrui processador baseado na UE |
Etapas de implementação:
- Identifique todas as transferências de dados fora do EEE
- Selecione o módulo SCC apropriado para cada transferência
- Preencher os anexos (categorias de dados, medidas de segurança, subprocessadores)
- Realizar uma Avaliação de Impacto de Transferência (AIT) para cada país receptor
- Assine os SCCs com o importador de dados
- Implementar quaisquer medidas suplementares identificadas no TIA
3. Regras Corporativas Vinculativas (BCRs)
Para empresas multinacionais que transferem dados entre entidades do grupo. As BCR são aprovadas por uma autoridade supervisora principal e fornecem uma estrutura para transferências intragrupo em todo o mundo.
Prós: Depois de aprovado, abrange todas as entidades do grupo e todos os cenários de transferência Contras: processo de aprovação de 12 a 24 meses, custo significativo ($ 100 mil +), apenas para entidades do grupo
4. Estrutura de Privacidade de Dados UE-EUA (DPF)
As empresas dos EUA podem autocertificar-se no âmbito do DPF, proporcionando um mecanismo de transferência semelhante ao da adequação:
- A empresa é registrada no Departamento de Comércio dos EUA
- A empresa publica uma política de privacidade compatível com DPF
- A Empresa se compromete com os princípios do DPF (notificação, escolha, transferência subsequente, segurança, integridade de dados, acesso, recurso)
- Recertificação anual necessária
Limitação: Cobre apenas transferências para empresas certificadas DPF. Verifique a lista DPF antes de confiar neste mecanismo.
Avaliações de impacto de transferência (TIAs)
Quando necessário
Após o Schrems II, os AIT são necessários para todas as transferências baseadas em SCC para países não adequados. A TIA avalia se as leis do país receptor prejudicam as proteções das SCCs.
Estrutura TIA
| Elemento de Avaliação | Perguntas-chave |
|---|---|
| Características dos dados | Quais dados? Quão sensível? Volume? |
| Leis do país receptor | Leis de vigilância governamental? Acesso forçado? |
| Proteções legais | Judiciário independente? Autoridade de proteção de dados? |
| Experiência prática | O importador recebeu solicitações de acesso do governo? |
| Medidas complementares | As medidas técnicas podem anular os riscos jurídicos? |
Árvore de decisão de resultados da TIA
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Medidas Complementares
| Medir | Eficácia | Caso de uso |
|---|---|---|
| Criptografia (chaves mantidas pelo cliente) | Alto | Dados em repouso e em trânsito |
| Pseudonimização | Alto | Análise, relatórios |
| Processamento dividido | Médio | Campos sensíveis tratados apenas no EEE |
| Restrições contratuais | Baixo-médio | Compromissos adicionais do importador |
| Direitos de auditoria | Baixo | Verificação, não prevenção |
Requisitos de localização de dados
Países com leis de localização de dados
| País | Requisito | Escopo | Pena |
|---|---|---|---|
| China (PIPL + CSL) | Dados críticos e dados importantes devem ser armazenados na China; avaliação de segurança para transferências de saída | Amplo | Receita de até 5% |
| Rússia (Lei Federal 242-FZ) | O processamento inicial e o armazenamento de dados de cidadãos russos devem ocorrer na Rússia | Dados de cidadãos russos | Bloqueio de serviços |
| Índia (Lei DPDP) | Dados pessoais críticos devem ser processados na Índia (regras pendentes) | A definir | Até INR 250 milhões |
| Arábia Saudita (PDPL) | Os dados sensíveis podem exigir processamento local; restrições de transferência | Dados pessoais | Até SAR 5 milhões |
| Vietname (PDPD) | Dados importantes a serem armazenados internamente; TIA para transferências transfronteiriças | Dados de cidadãos vietnamitas | Sanções administrativas |
| Indonésia (Lei PDP) | Os dados do setor governamental podem exigir processamento local | Dados governamentais | Sanções administrativas |
| Turquia (KVKK) | A transferência requer consentimento ou base jurídica específica + aprovação do Conselho | Dados pessoais | EXPERIMENTE 1,8 milhões |
Impacto na arquitetura da nuvem
A localização de dados afeta as decisões de infraestrutura em nuvem:
| Cenário | Implicação da Arquitetura |
|---|---|
| Localização na China | Região de nuvem separada na China (AWS China, Alibaba Cloud) |
| Localização na Rússia | Servidores locais ou provedor de nuvem local |
| Processamento apenas na UE | Selecione regiões de nuvem da UE; garantir que não haja replicação de dados para regiões fora da UE |
| Multirregião com restrições | Arquitetura hub-and-spoke com bancos de dados regionais |
Implementação prática para cenários comuns
Cenário 1: Empresa da UE usando SaaS dos EUA
Mecanismo de transferência: verifique primeiro se o fornecedor é certificado pelo DPF. Se sim, o DPF fornece a base. Caso contrário, implemente SCCs (Módulo 2: Controlador para Processador).
Cenário 2: Empresa Global com RH Centralizado
Mecanismo de transferência: BCRs para transferências intragrupo ou SCCs entre cada par de entidades. Implementar AIT para transferências para países de alto risco.
Cenário 3: comércio eletrônico atendendo clientes da UE a partir da infraestrutura dos EUA
Mecanismo de transferência: SCCs entre sua entidade da UE (ou representante da UE) e sua infraestrutura nos EUA. Criptografe os dados dos clientes com chaves mantidas na UE.
Cenário 4: Odoo ERP para operações em vários países
Mecanismo de transferência: se hospedados na UE, as transferências ocorrem quando: (1) funcionários em países fora da UE acessam o sistema (o acesso remoto é uma transferência), (2) os dados são replicados para locais de backup fora da UE, (3) a equipe de suporte em países fora da UE acessa dados de clientes/funcionários. Implemente SCCs para cada ponto de acesso e use grupos de acesso Odoo para limitar a visibilidade dos dados por região geográfica.
Lista de verificação de conformidade
- Mapear todas as transferências transfronteiriças de dados (quais dados, onde, para quem, porquê)
- Verificar o status de adequação de cada país receptor
- Implementar mecanismo de transferência apropriado (SCCs, DPF, BCRs) para países não adequados
- [] Avaliações completas de impacto de transferência para transferências baseadas em SCC
- Implementar medidas complementares onde os AIT identificam riscos
- Atualizar políticas de privacidade para divulgar transferências internacionais
- [] Incluir disposições de transferência em DPAs de fornecedores
- Revisar os mecanismos de transferência anualmente ou quando as leis do país receptor mudarem
- [] Manter a documentação de todas as avaliações e decisões de transferência
Perguntas frequentes
É seguro confiar na Estrutura de Privacidade de Dados UE-EUA?
O DPF é atualmente válido e fornece uma base legal para transferências para empresas americanas certificadas. No entanto, enfrenta um desafio jurídico (La Quadrature du Net) semelhante aos que invalidaram o Safe Harbor e o Privacy Shield. Organizações prudentes utilizam o DPF, mas também possuem SCCs como mecanismo de transferência de backup. Se o DPF for invalidado, você poderá recorrer aos SCCs sem interromper os fluxos de dados.
O que acontece se transferirmos dados sem um mecanismo válido?
As transferências não autorizadas são uma violação direta do GDPR, sujeitas a multas de até 20 milhões de euros ou 4% do volume de negócios anual global. Além das multas, as autoridades de supervisão podem ordenar a suspensão das transferências de dados, o que pode perturbar as operações comerciais. A Meta foi multada em 1,2 mil milhões de euros em 2023 por transferências não autorizadas entre a UE e os EUA – a maior multa de sempre do GDPR.
As SCCs cobrem todos os tipos de transferência de dados?
Os SCCs cobrem a maioria dos cenários comerciais de transferência de dados através de quatro módulos. No entanto, as SCC não são adequadas para transferências por parte de autoridades públicas que atuem no exercício de poderes públicos. Nesses casos, podem aplicar-se acordos internacionais ou derrogações específicas ao abrigo do artigo 49.º.
Como os requisitos internacionais afetam nossa implantação do Odoo?
Se a sua instância Odoo estiver hospedada na UE e acessada por funcionários ou parceiros fora da UE, cada ponto de acesso remoto constitui uma transferência de dados. Implemente grupos de acesso Odoo para garantir que usuários de fora da UE possam ver apenas os dados de que precisam. Use conexões VPN para acesso remoto criptografado. Se hospedar o Odoo fora da UE, implemente SCCs com o provedor de hospedagem e garanta a criptografia do banco de dados. Os serviços de infraestrutura Odoo do ECOSIRE incluem configurações de implantação com reconhecimento de conformidade.
O que vem a seguir
A conformidade das transferências transfronteiriças é uma peça do quebra-cabeça da governança de dados. Combine-o com fundamentos de governança de dados, gerenciamento de contratos de fornecedores para DPAs com fornecedores internacionais e privacidade de dados de funcionários para transferências de dados de força de trabalho.
Entre em contato com a ECOSIRE para consultoria de conformidade transfronteiriça e mapeamento de fluxo de dados internacional.
Publicado pela ECOSIRE – ajudando as empresas a transferir dados além-fronteiras com confiança e conformidade.
Escrito por
ECOSIRE Research and Development Team
Construindo produtos digitais de nível empresarial na ECOSIRE. Compartilhando insights sobre integrações Odoo, automação de e-commerce e soluções de negócios com IA.
Artigos Relacionados
Guia de implementação de consentimento de cookies: gerenciamento de consentimento em conformidade legal
Implemente o consentimento de cookies que esteja em conformidade com GDPR, ePrivacy, CCPA e regulamentações globais. Abrange banners de consentimento, categorização de cookies e integração CMP.
Logística de comércio eletrônico transfronteiriço: estratégias de remessa, alfândega e atendimento
Guia de logística de comércio eletrônico transfronteiriço. Abrange remessas internacionais, desembaraço aduaneiro, cálculo de taxas, redes de atendimento, devoluções e conformidade.
Requisitos regulatórios de segurança cibernética por região: um mapa de conformidade para empresas globais
Navegue pelas regulamentações de segurança cibernética nos EUA, UE, Reino Unido, APAC e Oriente Médio. Abrange regras NIS2, DORA, SEC, requisitos de infraestrutura crítica e cronogramas de conformidade.
Mais de Compliance & Regulation
Lista de verificação de preparação para auditoria: como seu ERP torna as auditorias 60% mais rápidas
Lista de verificação completa de preparação de auditoria usando sistemas ERP. Reduza o tempo de auditoria em 60% com documentação, controles e coleta automatizada de evidências adequados.
Guia de implementação de consentimento de cookies: gerenciamento de consentimento em conformidade legal
Implemente o consentimento de cookies que esteja em conformidade com GDPR, ePrivacy, CCPA e regulamentações globais. Abrange banners de consentimento, categorização de cookies e integração CMP.
Requisitos regulatórios de segurança cibernética por região: um mapa de conformidade para empresas globais
Navegue pelas regulamentações de segurança cibernética nos EUA, UE, Reino Unido, APAC e Oriente Médio. Abrange regras NIS2, DORA, SEC, requisitos de infraestrutura crítica e cronogramas de conformidade.
Governança e conformidade de dados: o guia completo para empresas de tecnologia
Guia completo de governança de dados que abrange estruturas de conformidade, classificação de dados, políticas de retenção, regulamentos de privacidade e roteiros de implementação para empresas de tecnologia.
Políticas de retenção de dados e automação: mantenha o que você precisa, exclua o que você precisa
Crie políticas de retenção de dados com requisitos legais, cronogramas de retenção, aplicação automatizada e verificação de conformidade para GDPR, SOX e HIPAA.
Gestão de privacidade de dados de funcionários: equilibrando necessidades de RH com direitos de privacidade
Gerencie a privacidade dos dados dos funcionários com os requisitos do GDPR, bases de processamento de dados de RH, políticas de monitoramento, transferências internacionais e práticas recomendadas de retenção.