GDPR para empresas brasileiras: quando o regulamento europeu alcança o seu negócio e o que fazer a mais que a LGPD
Resposta direta
O GDPR (Regulamento UE 2016/679) aplica-se a uma empresa brasileira mesmo sem estabelecimento na Europa quando ela, pelo art. 3º(2), oferta bens ou serviços a pessoas que estão na União Europeia ou monitora o comportamento delas no bloco. Nesses casos, além da LGPD, é preciso nomear representante na UE (art. 27), definir bases legais próprias e garantir transferências válidas, sob multas de até 20 milhões de euros ou 4% do faturamento global.
Principais conclusões
- ›O critério de aplicação do GDPR a empresas brasileiras não é a nacionalidade do titular nem onde a empresa está, mas a conduta: ofertar bens/serviços a pessoas na UE ou monitorar o comportamento delas no território do bloco (art. 3º(2)).
- ›Cumprir a LGPD não significa cumprir o GDPR. Há sobreposição conceitual (bases legais, direitos do titular, notificação de incidente), mas obrigações específicas do GDPR — como o representante na UE — não existem na lei brasileira.
- ›Empresas BR sob o GDPR geralmente precisam nomear, por escrito, um representante estabelecido na UE (art. 27), salvo as exceções de tratamento ocasional e de baixo risco.
- ›Transferir dados da UE para o Brasil exige base de transferência válida do Capítulo V do GDPR. O Brasil não possui decisão de adequação da Comissão Europeia, então o instrumento usual são as Cláusulas Contratuais-Tipo (SCCs) acompanhadas de avaliação de impacto da transferência.
- ›As multas administrativas do GDPR chegam a 20 milhões de euros ou 4% do faturamento global anual do exercício anterior, o que for maior (art. 83(5)) — patamar muito superior ao teto de R$ 50 milhões por infração da LGPD.
- ›A nomeação de DPO sob o GDPR (art. 37) tem gatilhos próprios — tratamento em larga escala de dados sensíveis ou monitoramento sistemático em larga escala — distintos da figura do encarregado na LGPD.
Quando o GDPR se aplica a uma empresa estabelecida no Brasil
O alcance territorial do GDPR está no art. 3º do Regulamento UE 2016/679. O art. 3º(1) cobre o tratamento feito por organizações com estabelecimento na União Europeia. O ponto que interessa à empresa brasileira é o art. 3º(2): o regulamento aplica-se a controladores ou operadores sem estabelecimento na UE quando o tratamento se relaciona à oferta de bens ou serviços a titulares que estão na União — ainda que gratuitos — ou ao monitoramento do comportamento desses titulares na medida em que ocorra dentro do bloco.
Repare que o fator decisivo não é a nacionalidade nem a residência formal do titular, e sim a localização da pessoa no momento do tratamento, combinada com a intenção da empresa de direcionar atividade àquele mercado. Um SaaS brasileiro que aceita clientes na Alemanha, um e-commerce que vende e entrega na Espanha, ou uma fintech que faz onboarding de usuários em Portugal entram, em regra, no escopo do GDPR.
A oferta de bens ou serviços exige intenção demonstrável de direcionar-se à UE. A Recital 23 do GDPR e as Diretrizes 3/2018 do EDPB apontam indícios concretos: site ou checkout em idioma europeu não falado no Brasil, preços em euros, domínio de país-membro (.de, .fr, .pt), menção a clientes europeus, possibilidade de entrega ou pagamento em moeda da UE. O simples fato de o site ser acessível da Europa não basta.
O monitoramento de comportamento (art. 3º(2)(b)) abrange rastreamento de pessoas na internet com perfilamento, analytics que acompanham navegação, cookies de publicidade comportamental, retargeting e fingerprinting aplicados a quem está fisicamente na UE. Para muitas empresas digitais brasileiras, é por essa porta — e não pela venda direta — que o GDPR passa a incidir.
O que muda em relação à LGPD: sobreposição e lacunas
A LGPD (Lei 13.709/2018) foi inspirada no GDPR, e isso cria uma sobreposição útil: ambas adotam a lógica de bases legais para o tratamento, asseguram direitos ao titular (acesso, correção, eliminação, portabilidade), exigem relatórios de impacto em situações de risco, impõem dever de segurança e preveem notificação de incidentes. Uma empresa madura em LGPD parte de uma base sólida — mas incompleta — para o GDPR.
As diferenças, contudo, são materiais e não podem ser ignoradas. O GDPR tem uma figura inexistente na LGPD: o representante na UE (art. 27). Trata bases legais com nuances próprias — o consentimento europeu exige granularidade e facilidade de retirada equivalentes ao ato de consentir, e o interesse legítimo demanda teste de ponderação documentado (LIA). Os prazos e o conteúdo da notificação de violação ao supervisor (art. 33, 72 horas) e aos titulares (art. 34) seguem regras específicas do bloco.
Há ainda o regime de transferências internacionais do Capítulo V, muito mais formalizado que o art. 33 da LGPD, e o cálculo de multas, que no GDPR pode atingir percentual do faturamento global — algo distinto do teto por infração da lei brasileira. A consequência prática é direta: o programa de privacidade precisa ser construído para atender ao mais exigente dos dois regimes em cada ponto, e não tratado como uma camada única.
Em síntese, a pergunta correta para o jurídico e o DPO não é 'já cumprimos a LGPD?', mas 'quais obrigações o GDPR acrescenta sobre o que já fazemos, e onde os dois regimes divergem no detalhe?'. É nesse delta que mora o risco regulatório de quem trata dados de pessoas na Europa a partir do Brasil.
Bases legais sob o GDPR para a empresa brasileira
O art. 6º do GDPR lista seis bases legais para dados comuns: consentimento, execução de contrato, obrigação legal, interesses vitais, missão de interesse público e interesse legítimo. A escolha da base deve ser feita e documentada antes do tratamento, e não pode ser trocada de forma oportunista depois — um ponto frequentemente fiscalizado pelas autoridades europeias.
O consentimento do GDPR (art. 7º) é mais rígido que a percepção corrente: deve ser livre, específico, informado, inequívoco e tão fácil de retirar quanto de conceder. Caixas pré-marcadas e consentimentos agrupados não são válidos. Para muitas operações de SaaS e e-commerce, a base mais adequada é a execução de contrato (art. 6º(1)(b)) ou o interesse legítimo (art. 6º(1)(f)), reservando-se o consentimento para marketing e cookies não essenciais.
Quando a empresa usa interesse legítimo, o GDPR exige um teste de ponderação (Legitimate Interests Assessment) que confronte o interesse do negócio com os direitos e expectativas razoáveis do titular, com registro escrito. Dados sensíveis — saúde, biometria, origem racial, opinião política, dados de menores — têm regime reforçado nos arts. 9º e 8º, com exigências adicionais de licitude.
Para a empresa brasileira, o cuidado adicional é mapear separadamente as bases sob a LGPD e sob o GDPR para o mesmo fluxo de dados, já que as listas e os requisitos não coincidem ponto a ponto. O registro das operações de tratamento (art. 30 do GDPR) torna esse mapeamento auditável e é, na prática, o documento que a autoridade pede primeiro.
Transferência internacional de dados da UE para o Brasil
Levar dados pessoais da União Europeia para o Brasil é uma transferência internacional regida pelo Capítulo V do GDPR (arts. 44 a 50). A regra geral é que a transferência só é lícita se houver mecanismo adequado que assegure aos dados, fora da UE, nível de proteção essencialmente equivalente ao europeu.
O mecanismo mais simples seria uma decisão de adequação da Comissão Europeia (art. 45), que dispensa salvaguardas adicionais. O Brasil não possui essa decisão de adequação. Portanto, empresas brasileiras dependem das salvaguardas do art. 46 — sendo as mais comuns as Cláusulas Contratuais-Tipo (SCCs) adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, e, dentro de grupos econômicos, as Regras Vinculativas Aplicáveis às Empresas (BCRs).
Após o acórdão Schrems II (TJUE, processo C-311/18, 2020), as SCCs por si só não bastam. O exportador europeu deve realizar uma Avaliação de Impacto da Transferência (Transfer Impact Assessment), examinando se a legislação e a prática do país de destino — inclusive acesso governamental a dados — comprometem as garantias contratuais e, em caso afirmativo, adotar medidas suplementares (criptografia, pseudonimização, controles de acesso) conforme as Recomendações 01/2020 do EDPB.
Para a empresa BR, isso se traduz em assinar as SCCs corretas no módulo adequado (controlador-controlador, controlador-operador etc.), apoiar a documentação da avaliação de impacto do parceiro europeu e demonstrar medidas técnicas concretas de proteção. É um trabalho conjunto de jurídico e segurança da informação, e não apenas uma cláusula contratual genérica.
Representante na UE (art. 27) e DPO (art. 37)
O art. 27 do GDPR exige que controladores e operadores sem estabelecimento na UE, mas sujeitos ao regulamento pelo art. 3º(2), nomeiem por escrito um representante estabelecido em um dos Estados-Membros onde estão os titulares cujos dados são tratados. Esse representante é o ponto de contato para as autoridades de controle e para os titulares, e pode ser responsabilizado em procedimentos de fiscalização — não é uma formalidade decorativa.
A obrigação tem exceções (art. 27(2)): dispensa-se o representante quando o tratamento é ocasional, não inclui em larga escala dados sensíveis ou de natureza penal, e é improvável que resulte em risco aos direitos dos titulares. Na prática, e-commerces, SaaS e fintechs com clientes europeus recorrentes raramente se enquadram na exceção e precisam nomear o representante.
O DPO (encarregado de proteção de dados, arts. 37 a 39) é obrigatório quando o tratamento é feito por autoridade pública, quando a atividade principal exige monitoramento regular e sistemático de titulares em larga escala, ou quando a atividade principal consiste em tratamento em larga escala de dados sensíveis. Os gatilhos do GDPR são mais objetivos que os da LGPD, e o DPO europeu deve ter autonomia, conhecimento especializado e canal direto com a alta administração.
Atenção a uma confusão comum: representante na UE e DPO são papéis distintos e, em regra, não devem ser exercidos pela mesma pessoa, porque há potencial conflito de funções. Uma empresa brasileira pode precisar dos dois ao mesmo tempo — um representante no território europeu e um encarregado responsável pelo programa de conformidade.
Multas e fiscalização: os números reais do GDPR
O GDPR estabelece dois patamares de multa administrativa no art. 83. O primeiro (art. 83(4)) alcança até 10 milhões de euros ou 2% do faturamento global anual total do exercício anterior, o que for maior, para infrações como falhas no registro de tratamento, na nomeação de representante ou nas obrigações de operador.
O segundo patamar (art. 83(5)) chega a até 20 milhões de euros ou 4% do faturamento mundial anual total do exercício financeiro anterior, o que for maior. Esse teto aplica-se às infrações mais graves: violação de princípios básicos, das condições de consentimento, dos direitos dos titulares e das regras de transferência internacional do Capítulo V. Para grandes grupos, o critério do percentual do faturamento pode superar em muito o valor fixo em euros.
Comparado à LGPD, cujo teto é de 2% do faturamento no Brasil limitado a R$ 50 milhões por infração (art. 52), o GDPR opera em outra escala e usa o faturamento global como base, não o faturamento no país. As autoridades europeias têm aplicado multas expressivas, e o art. 83(2) detalha critérios de dosimetria — gravidade, intenção, medidas mitigadoras, cooperação — que recompensam quem documenta conformidade.
Além da multa, as autoridades de controle podem determinar suspensão de tratamento, proibição de transferências e outras medidas corretivas (art. 58). Para a empresa brasileira, o impacto reputacional e contratual costuma ser tão relevante quanto o valor da multa, sobretudo quando o cliente europeu exige garantias de conformidade como condição comercial.
Como se adequar
- 1
Determine se o GDPR se aplica
Mapeie se a empresa oferta bens/serviços a pessoas na UE ou monitora comportamento de quem está no bloco (art. 3º(2)). Avalie indícios de direcionamento: idioma, moeda, domínio, entrega e analytics. Documente a conclusão.
- 2
Inventarie os fluxos de dados europeus
Construa o registro das operações de tratamento (art. 30), identificando quais dados de titulares na UE são coletados, com que finalidade, por quanto tempo e para onde são transferidos, separando os fluxos sujeitos ao GDPR.
- 3
Defina e documente as bases legais do GDPR
Para cada finalidade, escolha a base do art. 6º (e do art. 9º se houver dados sensíveis). Para interesse legítimo, registre o teste de ponderação (LIA). Ajuste os textos de consentimento ao padrão do art. 7º.
- 4
Estruture as transferências internacionais
Como o Brasil não tem decisão de adequação, adote as Cláusulas Contratuais-Tipo (SCCs) no módulo correto e apoie a Avaliação de Impacto da Transferência exigida após Schrems II, implementando medidas suplementares de segurança.
- 5
Nomeie o representante na UE
Salvo enquadramento na exceção do art. 27(2), nomeie por escrito um representante estabelecido em Estado-Membro onde há titulares, com mandato claro para atuar perante autoridades e titulares e divulgação do contato na política de privacidade.
- 6
Avalie a obrigatoriedade de DPO
Verifique os gatilhos do art. 37 (monitoramento sistemático em larga escala ou tratamento em larga escala de dados sensíveis). Se obrigatório, designe DPO com autonomia, expertise e acesso à alta direção, distinto do representante na UE.
- 7
Implemente resposta a incidentes no padrão europeu
Estabeleça processo para notificar a autoridade de controle em até 72 horas (art. 33) e os titulares quando houver alto risco (art. 34), com modelos, cadeia de decisão e registro de todos os incidentes, mesmo os não notificáveis.
Perguntas frequentes
Minha empresa não tem escritório na Europa. O GDPR ainda se aplica?
Pode se aplicar. O art. 3º(2) do GDPR alcança empresas sem estabelecimento na UE quando elas ofertam bens ou serviços a pessoas que estão no bloco ou monitoram o comportamento dessas pessoas no território europeu. A ausência de escritório não afasta o regulamento.
Vender para um cliente europeu eventual já me coloca sob o GDPR?
Não basta acessibilidade do site nem uma venda isolada acidental. É preciso intenção de direcionar atividade à UE, evidenciada por indícios como idioma, moeda em euros, domínio de país-membro ou entrega no bloco. Vendas recorrentes e direcionadas, sim, tendem a atrair o GDPR.
Se eu já cumpro a LGPD, preciso fazer algo a mais?
Sim. Há sobreposição entre LGPD e GDPR, mas o GDPR acrescenta obrigações como o representante na UE (art. 27), regras próprias de transferência internacional, requisitos específicos de consentimento e multas calculadas sobre o faturamento global. O programa precisa atender ao mais exigente dos dois em cada ponto.
Posso transferir dados da UE para o Brasil livremente?
Não. O Brasil não possui decisão de adequação da Comissão Europeia, então a transferência depende de salvaguardas do art. 46, normalmente as Cláusulas Contratuais-Tipo, acompanhadas de uma avaliação de impacto da transferência e de medidas técnicas suplementares, conforme exigido após o acórdão Schrems II.
Quem pode ser o representante na UE exigido pelo art. 27?
Uma pessoa física ou jurídica estabelecida em um Estado-Membro onde estão os titulares cujos dados a empresa trata, nomeada por escrito e com mandato para ser contatada por autoridades e titulares. Em regra, não deve acumular a função com o DPO, por conflito de papéis.
Qual o valor máximo das multas do GDPR?
As infrações mais graves podem gerar multa de até 20 milhões de euros ou 4% do faturamento mundial anual total do exercício anterior, o que for maior (art. 83(5)). Infrações de outra natureza chegam a 10 milhões de euros ou 2% do faturamento global (art. 83(4)).
Sou obrigado a ter DPO sob o GDPR?
Depende. O art. 37 torna o DPO obrigatório quando a atividade principal envolve monitoramento regular e sistemático de titulares em larga escala ou tratamento em larga escala de dados sensíveis, além do caso de autoridades públicas. Fora dessas hipóteses, a designação é recomendável, mas não compulsória.
Como a Decripte pode ajudar minha empresa a cumprir o GDPR?
A Decripte atua em Segurança Normativa: estruturamos o programa de privacidade para atender LGPD e GDPR de forma integrada, com DPO as a Service, mapeamento de dados, definição de bases legais, instrumentos de transferência internacional, apoio à nomeação de representante na UE e medidas técnicas de segurança da informação que sustentam a conformidade.
Fontes
- Regulamento (UE) 2016/679 (GDPR) — texto consolidado, EUR-Lex
- EDPB — Diretrizes 3/2018 sobre o âmbito territorial do GDPR (art. 3º)
- Decisão de Execução (UE) 2021/914 — Cláusulas Contratuais-Tipo (SCCs)
- EDPB — Recomendações 01/2020 sobre medidas suplementares (pós Schrems II)
- TJUE — Acórdão Schrems II, processo C-311/18 (2020)
A Decripte implementa a conformidade — sem você montar um time interno.
Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.
