Procedimento de Transferência Internacional de Dados
Código: PROC-TID-001 Versão: 1.0 Vigência: 01 de dezembro de 2025
1. Objetivo
Estabelecer o processo para identificação, avaliação e implementação de transferências internacionais de dados pessoais, garantindo conformidade com o Art. 33 da LGPD e a Resolução CD/ANPD nº 19/2024.
2. Quando Há Transferência Internacional
2.1 Definição
Transferência internacional de dados ocorre quando dados pessoais são enviados para outro país ou podem ser acessados de outro país.
2.2 Situações Comuns
| Situação | Exemplo | Transferência? |
|---|---|---|
| Dados armazenados em nuvem estrangeira | AWS (EUA), Azure (Europa) | Sim |
| Suporte técnico de outro país | Equipe de suporte na Índia | Sim |
| SaaS com servidores no exterior | Salesforce, HubSpot | Sim |
| Envio de dados para matriz estrangeira | Relatórios para holding | Sim |
| Acesso remoto de colaborador no exterior | Funcionário em viagem | Avaliação |
| Backup em datacenter estrangeiro | Backup na AWS EUA | Sim |
2.3 Não Configura Transferência
- Dados em trânsito (apenas passando por servidores estrangeiros)
- Acesso eventual de sistema global sem armazenamento
- Dados anonimizados (não são mais dados pessoais)
3. Hipóteses Autorizadas (Art. 33)
3.1 Visão Geral das Hipóteses
| Hipótese | Artigo | Requisitos |
|---|---|---|
| País com nível adequado | Art. 33, I | Lista da ANPD |
| Garantias pelo controlador | Art. 33, II | SCCs, BCRs, certificações |
| Cooperação jurídica internacional | Art. 33, III | Acordos internacionais |
| Proteção da vida | Art. 33, IV | Urgência e necessidade |
| Autorização da ANPD | Art. 33, V | Processo específico |
| Compromisso em acordo internacional | Art. 33, VI | Tratados |
| Execução de política pública | Art. 33, VII | Administração pública |
| Consentimento específico | Art. 33, VIII | Destacado e informado |
| Cumprimento de obrigação legal | Art. 33, IX | Lei exige transferência |
| Execução de contrato | Art. 33, IX | Necessário para o contrato |
| Exercício de direitos em processo | Art. 33, IX | Processos judiciais |
3.2 Decisões de Adequação da ANPD
Países com nível adequado de proteção: [Consultar lista atualizada em www.gov.br/anpd]
Status atual (dezembro/2025):
- Argentina (Resolução CD/ANPD nº 13/2024)
- Uruguai (Resolução CD/ANPD nº 13/2024)
- Reino Unido (Resolução CD/ANPD nº 13/2024)
Transferência iScholar
A iScholar utiliza AWS (EUA) como provedor de nuvem. Como os EUA não possuem decisão de adequação da ANPD, utilizamos as SCCs (Standard Contractual Clauses) através do Data Processing Addendum (DPA) da AWS já assinado.
4. Mecanismos de Proteção
4.1 Cláusulas Contratuais Padrão (SCCs)
Descrição: Cláusulas aprovadas pela ANPD para contratos de transferência.
Quando usar:
- Transferência para países sem adequação
- Transferência para operadores estrangeiros
- Transferência entre empresas do grupo
Modelo ANPD: Disponível em: https://www.gov.br/anpd
Elementos obrigatórios:
- Descrição da transferência
- Obrigações do importador
- Direitos dos titulares
- Supervisão e auditoria
- Responsabilidades e indenização
4.2 Normas Corporativas Globais (BCRs)
Descrição: Políticas internas de grupos empresariais aprovadas pela ANPD.
Quando usar:
- Grupos multinacionais
- Transferências frequentes intragrupo
- Quando SCCs não são práticas
Requisitos:
- Vinculação de todas as entidades
- Mecanismos de enforcement
- Treinamento de funcionários
- Auditorias periódicas
4.3 Selos, Certificados e Códigos de Conduta
Descrição: Certificações reconhecidas pela ANPD.
Status atual: [Em regulamentação pela ANPD]
4.4 Consentimento Específico
Quando usar:
- Apenas quando outras hipóteses não aplicáveis
- Transferências não recorrentes
- Titular ciente dos riscos
Requisitos do consentimento:
- Específico para a transferência
- Informar o país de destino
- Informar os riscos do país de destino
- Destacado e inequívoco
5. Processo de Avaliação
5.1 Fluxo de Avaliação
┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│IDENTIFICAÇÃO │───►│ AVALIAÇÃO │───►│ SELEÇÃO DO │───►│IMPLEMENTAÇÃO │
│ │ │ DO PAÍS │ │ MECANISMO │ │ │
└──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘
│
┌──────────────┐ ┌──────────────┐ │
│MONITORAMENTO │◄───│ DOCUMENTAÇÃO │◄──────────┘
│ │ │ │
└──────────────┘ └──────────────┘
5.2 Etapa 1: Identificação
Perguntas-chave:
- Quais dados serão transferidos?
- Para qual país/região?
- Qual a finalidade?
- Quem é o destinatário?
- É transferência única ou contínua?
Documentar:
- Categorias de dados
- Categorias de titulares
- Volume estimado
- Frequência
- Destinatário (nome, país, tipo)
5.3 Etapa 2: Avaliação do País de Destino
Verificar:
-
País com adequação ANPD?
- Sim → Transferência permitida
- Não → Prosseguir avaliação
-
Nível de proteção do país:
- Legislação de proteção de dados
- Autoridade de proteção de dados
- Histórico de respeito à privacidade
- Acesso governamental a dados
-
Riscos específicos:
- Vigilância em massa
- Ausência de recursos legais
- Instabilidade jurídica
5.4 Etapa 3: Seleção do Mecanismo
Árvore de decisão:
País tem adequação ANPD?
│
├── SIM ──► Documentar e prosseguir
│
└── NÃO ──► Há SCCs aplicáveis?
│
├── SIM ──► Implementar SCCs
│
└── NÃO ──► Grupo empresarial com BCRs?
│
├── SIM ──► Usar BCRs
│
└── NÃO ──► Consentimento específico viável?
│
├── SIM ──► Implementar consentimento
│
└── NÃO ──► Consultar ANPD
5.5 Etapa 4: Implementação
Para SCCs:
- Negociar com o destinatário
- Assinar as cláusulas
- Implementar medidas técnicas acordadas
- Registrar no inventário
Para Consentimento:
- Elaborar termo específico
- Informar riscos do país
- Obter consentimento destacado
- Registrar evidência
5.6 Etapa 5: Documentação
Documentar para cada transferência:
- Identificação completa
- Avaliação do país
- Mecanismo utilizado
- Cópias de contratos/consentimentos
- Medidas de segurança
5.7 Etapa 6: Monitoramento
Atividades contínuas:
- Verificar mudanças na legislação do país
- Acompanhar decisões da ANPD
- Auditar cumprimento das cláusulas
- Atualizar avaliações periodicamente
6. Implementação de SCCs
6.1 Modelo de SCCs ANPD
[Utilizar modelo oficial quando disponibilizado]
6.2 Elementos Essenciais
Partes:
- Exportador (quem envia os dados)
- Importador (quem recebe os dados)
Descrição da Transferência:
- Dados transferidos
- Categorias de titulares
- Finalidade
- Duração
Obrigações do Importador:
- Tratar conforme instruções
- Implementar segurança adequada
- Notificar incidentes
- Cooperar com auditorias
- Não transferir a terceiros sem autorização
Direitos dos Titulares:
- Terceiro beneficiário
- Direito de ação contra importador
- Indenização por danos
6.3 Processo de Implementação
- Identificar necessidade
- Selecionar modelo apropriado
- Negociar com importador
- Revisar juridicamente
- Assinar as cláusulas
- Implementar medidas técnicas
- Comunicar à ANPD (se necessário)
- Arquivar documentação
7. Documentação Obrigatória
7.1 Inventário de Transferências
| Campo | Descrição |
|---|---|
| ID | Identificador único |
| Destinatário | Nome da empresa/entidade |
| País | País de destino |
| Dados Transferidos | Categorias de dados |
| Titulares | Categorias de titulares |
| Finalidade | Propósito da transferência |
| Base Legal | Art. 33 aplicável |
| Mecanismo | SCCs, BCRs, consentimento |
| Data de Início | Quando iniciou |
| Contrato | Referência ao documento |
| Status | Ativo/Inativo |
| Próxima Revisão | Data |
7.2 Documentos a Manter
- Contratos com SCCs assinados
- Termos de consentimento (quando aplicável)
- Avaliações de país
- Evidências de medidas de segurança
- Comunicações com ANPD (se houver)
7.3 Retenção
- Documentos ativos: Enquanto a transferência ocorrer
- Documentos encerrados: 5 anos após término
8. Comunicação à ANPD
8.1 Quando Comunicar
| Situação | Comunicação |
|---|---|
| Transferência com SCCs padrão | Não obrigatória |
| Transferência com BCRs | Conforme aprovação |
| Autorização específica necessária | Obrigatória |
| Incidente envolvendo transferência | Obrigatória |
8.2 Como Comunicar
- Canal: Portal da ANPD
- Prazo: Conforme regulamentação específica
- Conteúdo: Conforme formulário oficial
9. Monitoramento
9.1 Atividades de Monitoramento
| Atividade | Frequência | Responsável |
|---|---|---|
| Verificar lista de países adequados | Trimestral | DPO |
| Auditar cumprimento de SCCs | Anual | DPO + TI |
| Revisar avaliações de país | Anual | DPO |
| Atualizar inventário | Contínuo | DPO |
| Verificar mudanças legislativas | Trimestral | Jurídico |
9.2 Indicadores
| Indicador | Meta |
|---|---|
| % de transferências documentadas | 100% |
| % com mecanismo adequado | 100% |
| Transferências sem base legal | 0 |
10. Responsabilidades
| Função | Responsabilidades |
|---|---|
| DPO | Avaliar transferências, aprovar, monitorar |
| Jurídico | Negociar contratos, revisar SCCs |
| TI | Identificar transferências, implementar segurança |
| Compras | Incluir requisitos em contratos |
| Áreas de Negócio | Informar necessidades de transferência |
11. Casos Especiais
11.1 Cloud Computing
Avaliação específica:
- Localização dos datacenters
- Possibilidade de acesso de outros países
- Subprocessadores utilizados
- Cláusulas contratuais do provider
Providers comuns:
| Provider | Localização Principal | Recomendação |
|---|---|---|
| AWS | EUA (múltiplas regiões) | SCCs + região Brasil quando possível |
| Azure | EUA (múltiplas regiões) | SCCs + região Brasil quando possível |
| GCP | EUA (múltiplas regiões) | SCCs + região Brasil quando possível |
11.2 Suporte Técnico Offshore
Quando suporte é prestado de outro país:
- Avaliar se há acesso a dados pessoais
- Implementar SCCs com o prestador
- Limitar acesso ao mínimo necessário
- Logs de acesso
11.3 Grupos Multinacionais
Para transferências intragrupo:
- BCRs são mais eficientes
- SCCs intercompany também são válidos
- Documentar todas as entidades envolvidas
12. Ferramentas
| Ferramenta | Uso |
|---|---|
| https://lgpd.ischolar.app | Inventário de transferências e documentação |
| Google Drive / ClickUp | Gestão de contratos e DPAs |
| Planilha de fornecedores | Monitoramento de compliance |
13. Inventário Atual de Transferências Internacionais
| Destinatário | País | Dados | Mecanismo | Status |
|---|---|---|---|---|
| Amazon Web Services (AWS) | EUA | Todos os dados da plataforma | SCCs via AWS DPA | Ativo - DPA assinado |
Aprovação
| Função | Nome | Data |
|---|---|---|
| DPO / Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | 15/12/2025 |
Histórico
| Versão | Data | Alteração |
|---|---|---|
| 1.0 | 15/12/2025 | Versão inicial |
Anexos
- Anexo A: Inventário de Transferências Internacionais
- Anexo B: Modelo de SCCs
- Anexo C: Checklist de Avaliação de País
- Anexo D: Template de Avaliação de Transferência
- Anexo E: Lista de Países com Adequação (atualizar periodicamente)