O Regulamento Geral de Proteção de Dados (GDPR) é lei europeia — mas seu alcance é explicitamente extraterritorial. Se sua empresa brasileira oferece bens ou serviços a pessoas na União Europeia, ou monitora o comportamento delas, o GDPR se aplica. A sede da sua empresa não importa.
A regra de alcance extraterritorial
O art. 3(2) do GDPR determina que ele se aplica ao tratamento de dados pessoais de titulares na UE por um controlador ou operador não estabelecido na UE, quando o tratamento se relaciona a:
(a) Oferta de bens ou serviços a titulares na UE — com ou sem pagamento; ou
(b) Monitoramento do comportamento dos titulares, na medida em que esse comportamento ocorra dentro da UE.
Como saber se você está "oferecendo" para a UE
O considerando 23 do GDPR orienta: indicadores de que uma empresa está direcionando sua oferta a pessoas na UE incluem preços em euros, versões do site em idiomas europeus (além do inglês), referências a clientes europeus, envio para endereços europeus ou publicidade direcionada especificamente a mercados da UE.
Ter apenas um site em inglês acessível da Europa, sem nenhum direcionamento deliberado a usuários europeus, geralmente não é suficiente para acionar o GDPR. Mas veicular anúncios no Meta ou Google segmentados para demografias da UE provavelmente é.
LGPD e GDPR: aplicação simultânea
Se você processa dados de pessoas no Brasil, a LGPD se aplica. Se processa dados de residentes na UE, o GDPR pode se aplicar simultaneamente. Os dois frameworks são amplamente compatíveis — ambos exigem base legal para tratamento, direitos dos titulares, medidas de segurança e notificação de incidentes — mas diferem em detalhes.
Onde os dois colidem, na prática prevalece o requisito mais restritivo para o contexto em questão. Um titular na UE pode exercer direitos pelo GDPR mesmo contra uma empresa brasileira sujeita ao regulamento.
Transferências de dados da UE para o Brasil
O Brasil não possui uma decisão de adequação da Comissão Europeia, o que significa que a UE não reconhece formalmente o framework brasileiro de proteção de dados como equivalente. Isso importa para transferências de dados de dentro da UE para empresas brasileiras.
O mecanismo mais comum: Cláusulas Contratuais Padrão (SCCs) — cláusulas aprovadas pela Comissão Europeia que criam obrigações vinculantes de proteção de dados entre o exportador (empresa na UE) e o importador (empresa brasileira). Se você recebe dados pessoais de parceiros ou clientes europeus, seus contratos provavelmente precisam de SCCs.
Multas e enforcement
O GDPR prevê duas faixas de multa:
- Até €10 milhões ou 2% do faturamento global anual (o que for maior) para violações procedimentais — registro de atividades, medidas de segurança, obrigações de operadores.
- Até €20 milhões ou 4% do faturamento global anual (o que for maior) para violações de princípios fundamentais, base legal, direitos dos titulares e transferências internacionais indevidas.
As autoridades de proteção de dados da UE podem investigar empresas fora da UE quando seus residentes são afetados. O enforcement contra empresas não-europeas tem aumentado à medida que o GDPR amadurece.
Passos práticos para empresas brasileiras com exposição à UE
- Mapeie seus fluxos de dados europeus: Quais dados pessoais de residentes na UE você coleta, processa ou armazena?
- Estabeleça base legal: Para cada atividade de tratamento envolvendo dados europeus, identifique uma base legal do GDPR (consentimento, interesse legítimo, execução de contrato, etc.).
- Revise seus contratos: Certifique-se de que SCCs ou outros mecanismos de transferência estão em vigor para dados recebidos da UE.
- Considere um representante na UE: O art. 27 do GDPR pode exigir a designação de um representante estabelecido na UE para atender consultas de titulares e autoridades supervisoras.
- Alinhe sua política de privacidade: Sua política de privacidade deve contemplar os direitos do GDPR para usuários europeus — incluindo acesso, apagamento, portabilidade e oposição.
FAQ
Pode sim. O art. 3(2) do GDPR determina que a lei europeia se aplica a qualquer organização fora da UE que ofereça bens ou serviços a titulares de dados na UE, ou que monitore o comportamento dessas pessoas — independentemente de ter estabelecimento físico na Europa.
Os indicadores incluem: aceitar pagamento em euros, ter versão do site em idioma europeu (além do inglês), exibir preços em moeda europeia, mencionar explicitamente usuários europeus ou veicular anúncios segmentados para pessoas na UE. Uma loja virtual que faz apenas envios para o Brasil provavelmente não está no escopo.
Sim. Se você processa dados de pessoas no Brasil, a LGPD se aplica. Se processa dados de pessoas na UE, o GDPR pode se aplicar simultaneamente. Nos pontos em que os dois colidem, prevalece o requisito mais restritivo para o dado contexto.
Para as infrações mais graves (como violação de princípios fundamentais ou transferências internacionais indevidas), o GDPR prevê multa de até €20 milhões ou 4% do faturamento global anual, o que for maior. Para infrações menos graves, o limite é €10 milhões ou 2% do faturamento.
Depende do volume e tipo de dados processados. O GDPR exige DPO em casos específicos — como processamento em larga escala de dados sensíveis ou monitoramento sistemático de indivíduos. Para a maioria das PMEs brasileiras com poucos clientes europeus, pode não ser obrigatório — verifique com especialista.
SCCs (Standard Contractual Clauses) são cláusulas contratuais padronizadas pela Comissão Europeia que permitem a transferência de dados pessoais de dentro da UE para países sem decisão de adequação — como é o caso do Brasil. Se você recebe dados de clientes europeus, provavelmente precisará de SCCs nos seus contratos.
