LGPD e Proteção de Dados 26 de maio de 2026 11 min de leitura

Transferência Internacional de Dados: o que a Resolução ANPD 19/2024 exige de fintechs

A Resolução CD/ANPD 19/2024 tornou obrigatória a adoção de cláusulas-padrão contratuais nas transferências internacionais de dados pessoais, com prazo encerrado em agosto de 2025. O artigo analisa os mecanismos válidos, os cenários críticos para fintechs — incluindo cloud computing e parceiros de pagamento no exterior — e o impacto prático da decisão de adequação recíproca entre Brasil e União Europeia (Resolução ANPD 32/2026).

Por Renato Lellis Oliveira

Por que o tema chegou à mesa do jurídico agora

A maioria das fintechs brasileiras transfere dados pessoais para o exterior o tempo todo: infraestrutura em AWS ou Azure com servidores nos EUA, processadores de pagamento europeus, plataformas de KYC com back-end no Reino Unido, soluções de antifraude baseadas em nuvem americana. Durante anos, isso ocorreu sem um marco regulatório claro. Esse vácuo acabou.

A Resolução CD/ANPD 19/2024, publicada em 23 de agosto de 2024, regulamentou os artigos 33 a 36 da LGPD (Lei 13.709/2018) e estabeleceu os mecanismos válidos para transferência internacional de dados pessoais. O prazo de adaptação — 12 meses a partir da publicação — expirou em agosto de 2025 sem prorrogação. Quem ainda não adequou seus contratos está em situação de risco regulatório presente, não futuro.

O que a LGPD e a Resolução 19/2024 definem como transferência internacional

O ponto de partida é a definição. Transferência internacional ocorre quando um exportador transmite, compartilha ou concede acesso a dados pessoais para um importador localizado em país estrangeiro ou organismo internacional. A responsabilidade de verificar se a operação está amparada em base legal da LGPD e em mecanismo válido de transferência recai sobre o controlador.

Não configuram transferência internacional, nos termos do Regulamento: a coleta direta por agente localizado no exterior sem transmissão prévia do Brasil; o mero trânsito de dados sem comunicação ou uso compartilhado com agente no território nacional; e o retorno de dados ao país de origem após tratamento temporário no Brasil. Para fintechs, o ponto sensível está justamente no que não está excluído: o simples armazenamento de dados pessoais em servidores fora do Brasil, feito por provedores de nuvem internacionais como AWS, Azure ou Google Cloud, é interpretado como tratamento sob a LGPD e, portanto, potencialmente configura transferência internacional.

Quais mecanismos são válidos hoje

A Resolução 19/2024 estruturou os mecanismos em três categorias principais:

  • Decisão de adequação da ANPD: a ANPD reconhece que determinado país ou organismo internacional possui nível de proteção equivalente ao da LGPD. Quando vigente, a transferência ocorre de forma simplificada, sem exigência de salvaguardas contratuais adicionais. A única decisão de adequação formalizada até agora é a da União Europeia, via Resolução CD/ANPD 32/2026, publicada em 26 de janeiro de 2026. Transferências para os 27 Estados-membros da UE, além de Islândia, Liechtenstein e Noruega, podem ocorrer sem necessidade de SCCs, desde que documentadas. Para todos os demais países — incluindo os Estados Unidos —, é necessário adotar um dos mecanismos abaixo.
  • Cláusulas-padrão contratuais (SCCs) aprovadas pela ANPD: o mecanismo mais imediato e amplamente aplicável. O Anexo II da Resolução 19/2024 contém 24 cláusulas obrigatórias que devem ser incorporadas integralmente aos contratos — sem alterações — entre exportador e importador. As SCCs prevalecem sobre disposições conflitantes do instrumento principal e vinculam ambas as partes ao padrão da LGPD, independentemente do país onde o tratamento ocorra. O controlador deve ainda publicar em seu site informações sobre a transferência, incluindo o canal de exercício de direitos pelo titular.
  • Cláusulas contratuais específicas: aplicáveis quando circunstâncias excepcionais de fato ou de direito impedem o uso das SCCs padrão. Dependem de aprovação formal da ANPD — processo que pode levar meses.
  • Normas corporativas globais (BCRs): destinadas a grupos econômicos multinacionais. Devem ser vinculantes para todos os membros e igualmente dependem de aprovação prévia da ANPD.

Os demais mecanismos previstos no artigo 33 da LGPD — como selos, certificados e códigos de conduta — não foram regulamentados na Resolução 19/2024 e permanecem sem regulação operacional. Depender dessas hipóteses hoje representa risco elevado.

O caso específico da infraestrutura em cloud

A Resolução 19/2024 não aborda explicitamente o armazenamento em nuvem — esse é o ponto de maior lacuna interpretativa. O documento não responde diretamente se um bucket S3 na AWS us-east-1 configura, por si só, transferência internacional.

A interpretação juridicamente mais defensável, à luz da amplitude do conceito de “tratamento” na LGPD e do escopo territorial do Regulamento, é que o armazenamento de dados pessoais de titulares brasileiros em servidores fisicamente localizados no exterior configura transferência internacional, especialmente quando há acesso e processamento por agente localizado naquele país. Para fintechs que operam exclusivamente em regiões brasileiras dos provedores (como a região SA-East-1 da AWS, em São Paulo), o risco é substancialmente menor — mas a arquitetura precisa ser documentada e revisada periodicamente.

O ponto prático: não é o contrato comercial com o provedor de nuvem que resolve o problema, mas a incorporação das SCCs da ANPD ao instrumento de processamento de dados (DPA). Cláusulas genéricas de compliance com a LGPD não suprem essa exigência.

Framework de adequação para fintechs: quatro passos

  1. Mapeamento de fluxos internacionais: identificar todos os pontos de saída de dados pessoais para o exterior — provedores de cloud, subprocessadores de pagamento, plataformas de análise de crédito, ferramentas de marketing automation, sistemas de RH em SaaS. O mapeamento deve registrar, no mínimo: forma, duração e finalidade da transferência, país de destino e identidade do importador.
  2. Triagem por país de destino: para transferências rumo à UE (após a Resolução ANPD 32/2026), documentar a adequação como base legal. Para os EUA, Reino Unido, Singapura e demais países sem decisão de adequação, as SCCs da ANPD são o mecanismo padrão.
  3. Revisão e aditamento contratual: incorporar as 24 cláusulas do Anexo II da Resolução 19/2024 aos contratos com cada importador. Isso pode ser feito por aditivo ao contrato principal ou por DPA separado. As cláusulas devem constar na íntegra.
  4. Publicidade e governança: o controlador deve publicar em seu site informações sobre as transferências internacionais realizadas, incluindo países de destino, mecanismo utilizado e canal para exercício de direitos pelos titulares. Essa obrigação de transparência acrescenta, na prática, mais um item ao rol do artigo 18 da LGPD.

Erros frequentes que expõem fintechs ao risco

1. Confundir o contrato comercial com o instrumento de proteção de dados. Provedores como AWS, Azure e Google disponibilizam seus próprios Data Processing Agreements. Esses documentos podem até conter SCCs europeias (cláusulas da Comissão Europeia), mas isso não equivale às SCCs aprovadas pela ANPD. Até que a ANPD emita uma decisão formal de equivalência entre os dois modelos de cláusulas — o que ainda não ocorreu —, a substituição automática das SCCs da ANPD pelas SCCs europeias representa risco regulatório.

2. Ignorar subprocessadores. A fintech contrata um processador de pagamentos que, por sua vez, usa subprocessadores em múltiplas jurisdições. Nos termos das SCCs da ANPD, o importador deve garantir que a legislação do país de destino é compatível com as cláusulas e comunicar qualquer alteração relevante. A cadeia precisa ser mapeada e contratualizada. Cláusulas genéricas de “subcontratação” no acordo comercial não suprem essa exigência.

3. Não diferenciar coleta internacional de transferência internacional. Uma fintech que coleta dados de usuários brasileiros por meio de uma API hospedada nos EUA está numa situação distinta de uma fintech que transfere dados já coletados para processamento no exterior. A coleta direta por agente no exterior não configura transferência internacional, mas permanece sujeita à LGPD se os dados forem de titulares localizados no Brasil. A confusão entre os dois conceitos gera estruturações equivocadas de conformidade.

4. Tratar a adequação Brasil-UE como desobrigação geral. A Resolução ANPD 32/2026 elimina a necessidade de SCCs apenas para transferências entre Brasil e os países da UE (e EFTA). Ela não afeta transferências para os EUA, Reino Unido pós-Brexit, Índia, Singapura ou qualquer outro destino sem decisão de adequação específica. Fintechs com infraestrutura multi-cloud em várias regiões do mundo precisam de uma matriz de mecanismos por país, não de uma solução única.

5. Não atualizar a política de privacidade e o ROPA. A incorporação das SCCs implica obrigações adicionais de transparência. A política de privacidade deve refletir os países de destino dos dados, os mecanismos adotados e o canal de atendimento ao titular. O Registro de Operações de Tratamento (ROPA) precisa incluir os fluxos internacionais identificados no mapeamento, com o enquadramento legal de cada um.

O cenário regulatório atual e o que monitorar

A decisão de adequação recíproca Brasil-UE, formalizada em 27 de janeiro de 2026, representa a mudança estrutural mais relevante para o mercado desde a publicação da própria LGPD. Para fintechs que processam pagamentos em euros, integram parceiros europeus de open banking ou buscam expansão para o mercado da UE, o impacto é direto: transferências de e para os 27 Estados-membros passam a dispensar SCCs, reduzindo custos e complexidade contratual.

A decisão será reavaliada em quatro anos e está condicionada à manutenção da conformidade. Ela não cobre transferências para fins de segurança pública, defesa nacional ou investigação criminal — escopo idêntico à limitação do GDPR. E não impede o uso de outros mecanismos previstos na LGPD, caso as partes prefiram essa via.

Para os demais países, o quadro permanece exigente. A ANPD sinalizou intensificação da fiscalização em 2025-2026, com fintechs expressamente identificadas como setor de escrutínio prioritário. A Deliberação CD-10/2025 introduziu multas diárias por descumprimento de medidas cautelares. O custo de não adequar os contratos deixou de ser apenas regulatório e passou a incluir risco de bloqueio operacional em processos de due diligence, contratos B2B com grandes clientes e rodadas de investimento com investidores europeus ou americanos que exigem compliance com LGPD como condição.

O Log.Law atua em proteção de dados e compliance regulatório para fintechs e startups. Para avaliar um cenário particular, o contato está disponível no site.

Perguntas frequentes

Nossa fintech usa AWS com servidores no Brasil (sa-east-1). Mesmo assim precisamos de SCCs?

Se todo o processamento ocorre na região brasileira da AWS (sa-east-1) e não há acesso remoto por equipes da AWS localizadas no exterior para operar esses dados, o risco de configuração de transferência internacional é substancialmente menor. Contudo, muitos serviços da AWS — como suporte técnico, serviços gerenciados e ferramentas de analytics — podem envolver acesso por equipes em outras jurisdições. A arquitetura precisa ser auditada e documentada. Onde houver acesso por agentes no exterior, a adoção das SCCs é a postura defensável.

Temos um DPA com a AWS que inclui SCCs europeias. Isso já atende à ANPD?

Ainda não, formalmente. A Resolução 19/2024 exige as SCCs aprovadas pela ANPD (Anexo II da Resolução). A equivalência com cláusulas de outras jurisdições — como as SCCs da Comissão Europeia — depende de decisão formal da ANPD que ainda não foi publicada. A postura mais conservadora é incorporar as SCCs da ANPD ao DPA existente por meio de aditivo. O custo de não fazê-lo é o risco de autuação por ausência do mecanismo exigido.

Após a adequação Brasil-UE, ainda precisamos de SCCs para transferências para parceiros europeus?

Para transferências diretas entre Brasil e os países da UE, Islândia, Liechtenstein e Noruega, a Resolução ANPD 32/2026 elimina a exigência de SCCs — a adequação é o mecanismo. Mas a cadeia de subprocessadores importa: se o importador europeu remetirá dados para um terceiro fora da UE (onward transfer), esse trecho adicional precisa de mecanismo próprio. A matriz de controles não desaparece; ela se torna mais simples apenas no trecho Brasil-UE.

A ANPD pode autuar nossa fintech mesmo sem ter publicado uma decisão de adequação para os EUA?

Sim. A ausência de uma decisão de adequação para determinado país não desobriga o controlador — significa apenas que esse mecanismo não está disponível para aquela transferência. A obrigação de adotar um dos mecanismos válidos do artigo 33 da LGPD existe independentemente de haver ou não decisão de adequação publicada. A fintech que transfere dados para parceiros americanos sem SCCs incorporadas aos contratos está em descumprimento da Resolução 19/2024, sujeita às sanções do artigo 52 da LGPD, incluindo advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração) e bloqueio do tratamento.

Próximo passo

Tem dúvidas sobre o seu caso específico?

Fale diretamente com Renato Lellis Oliveira, Sócio-fundador do Log.Law