GDPR para empresas brasileiras: quando o regulamento europeu alcança o seu negócio e o que fazer a mais que a LGPD

Resposta direta

O GDPR (Regulamento UE 2016/679) aplica-se a uma empresa brasileira mesmo sem estabelecimento na Europa quando ela, pelo art. 3º(2), oferta bens ou serviços a pessoas que estão na União Europeia ou monitora o comportamento delas no bloco. Nesses casos, além da LGPD, é preciso nomear representante na UE (art. 27), definir bases legais próprias e garantir transferências válidas, sob multas de até 20 milhões de euros ou 4% do faturamento global.

Principais conclusões

  • O critério de aplicação do GDPR a empresas brasileiras não é a nacionalidade do titular nem onde a empresa está, mas a conduta: ofertar bens/serviços a pessoas na UE ou monitorar o comportamento delas no território do bloco (art. 3º(2)).
  • Cumprir a LGPD não significa cumprir o GDPR. Há sobreposição conceitual (bases legais, direitos do titular, notificação de incidente), mas obrigações específicas do GDPR — como o representante na UE — não existem na lei brasileira.
  • Empresas BR sob o GDPR geralmente precisam nomear, por escrito, um representante estabelecido na UE (art. 27), salvo as exceções de tratamento ocasional e de baixo risco.
  • Transferir dados da UE para o Brasil exige base de transferência válida do Capítulo V do GDPR. O Brasil não possui decisão de adequação da Comissão Europeia, então o instrumento usual são as Cláusulas Contratuais-Tipo (SCCs) acompanhadas de avaliação de impacto da transferência.
  • As multas administrativas do GDPR chegam a 20 milhões de euros ou 4% do faturamento global anual do exercício anterior, o que for maior (art. 83(5)) — patamar muito superior ao teto de R$ 50 milhões por infração da LGPD.
  • A nomeação de DPO sob o GDPR (art. 37) tem gatilhos próprios — tratamento em larga escala de dados sensíveis ou monitoramento sistemático em larga escala — distintos da figura do encarregado na LGPD.

Quando o GDPR se aplica a uma empresa estabelecida no Brasil

O alcance territorial do GDPR está no art. 3º do Regulamento UE 2016/679. O art. 3º(1) cobre o tratamento feito por organizações com estabelecimento na União Europeia. O ponto que interessa à empresa brasileira é o art. 3º(2): o regulamento aplica-se a controladores ou operadores sem estabelecimento na UE quando o tratamento se relaciona à oferta de bens ou serviços a titulares que estão na União — ainda que gratuitos — ou ao monitoramento do comportamento desses titulares na medida em que ocorra dentro do bloco.

Repare que o fator decisivo não é a nacionalidade nem a residência formal do titular, e sim a localização da pessoa no momento do tratamento, combinada com a intenção da empresa de direcionar atividade àquele mercado. Um SaaS brasileiro que aceita clientes na Alemanha, um e-commerce que vende e entrega na Espanha, ou uma fintech que faz onboarding de usuários em Portugal entram, em regra, no escopo do GDPR.

A oferta de bens ou serviços exige intenção demonstrável de direcionar-se à UE. A Recital 23 do GDPR e as Diretrizes 3/2018 do EDPB apontam indícios concretos: site ou checkout em idioma europeu não falado no Brasil, preços em euros, domínio de país-membro (.de, .fr, .pt), menção a clientes europeus, possibilidade de entrega ou pagamento em moeda da UE. O simples fato de o site ser acessível da Europa não basta.

O monitoramento de comportamento (art. 3º(2)(b)) abrange rastreamento de pessoas na internet com perfilamento, analytics que acompanham navegação, cookies de publicidade comportamental, retargeting e fingerprinting aplicados a quem está fisicamente na UE. Para muitas empresas digitais brasileiras, é por essa porta — e não pela venda direta — que o GDPR passa a incidir.

O que muda em relação à LGPD: sobreposição e lacunas

A LGPD (Lei 13.709/2018) foi inspirada no GDPR, e isso cria uma sobreposição útil: ambas adotam a lógica de bases legais para o tratamento, asseguram direitos ao titular (acesso, correção, eliminação, portabilidade), exigem relatórios de impacto em situações de risco, impõem dever de segurança e preveem notificação de incidentes. Uma empresa madura em LGPD parte de uma base sólida — mas incompleta — para o GDPR.

As diferenças, contudo, são materiais e não podem ser ignoradas. O GDPR tem uma figura inexistente na LGPD: o representante na UE (art. 27). Trata bases legais com nuances próprias — o consentimento europeu exige granularidade e facilidade de retirada equivalentes ao ato de consentir, e o interesse legítimo demanda teste de ponderação documentado (LIA). Os prazos e o conteúdo da notificação de violação ao supervisor (art. 33, 72 horas) e aos titulares (art. 34) seguem regras específicas do bloco.

Há ainda o regime de transferências internacionais do Capítulo V, muito mais formalizado que o art. 33 da LGPD, e o cálculo de multas, que no GDPR pode atingir percentual do faturamento global — algo distinto do teto por infração da lei brasileira. A consequência prática é direta: o programa de privacidade precisa ser construído para atender ao mais exigente dos dois regimes em cada ponto, e não tratado como uma camada única.

Em síntese, a pergunta correta para o jurídico e o DPO não é 'já cumprimos a LGPD?', mas 'quais obrigações o GDPR acrescenta sobre o que já fazemos, e onde os dois regimes divergem no detalhe?'. É nesse delta que mora o risco regulatório de quem trata dados de pessoas na Europa a partir do Brasil.

Bases legais sob o GDPR para a empresa brasileira

O art. 6º do GDPR lista seis bases legais para dados comuns: consentimento, execução de contrato, obrigação legal, interesses vitais, missão de interesse público e interesse legítimo. A escolha da base deve ser feita e documentada antes do tratamento, e não pode ser trocada de forma oportunista depois — um ponto frequentemente fiscalizado pelas autoridades europeias.

O consentimento do GDPR (art. 7º) é mais rígido que a percepção corrente: deve ser livre, específico, informado, inequívoco e tão fácil de retirar quanto de conceder. Caixas pré-marcadas e consentimentos agrupados não são válidos. Para muitas operações de SaaS e e-commerce, a base mais adequada é a execução de contrato (art. 6º(1)(b)) ou o interesse legítimo (art. 6º(1)(f)), reservando-se o consentimento para marketing e cookies não essenciais.

Quando a empresa usa interesse legítimo, o GDPR exige um teste de ponderação (Legitimate Interests Assessment) que confronte o interesse do negócio com os direitos e expectativas razoáveis do titular, com registro escrito. Dados sensíveis — saúde, biometria, origem racial, opinião política, dados de menores — têm regime reforçado nos arts. 9º e 8º, com exigências adicionais de licitude.

Para a empresa brasileira, o cuidado adicional é mapear separadamente as bases sob a LGPD e sob o GDPR para o mesmo fluxo de dados, já que as listas e os requisitos não coincidem ponto a ponto. O registro das operações de tratamento (art. 30 do GDPR) torna esse mapeamento auditável e é, na prática, o documento que a autoridade pede primeiro.

Transferência internacional de dados da UE para o Brasil

Levar dados pessoais da União Europeia para o Brasil é uma transferência internacional regida pelo Capítulo V do GDPR (arts. 44 a 50). A regra geral é que a transferência só é lícita se houver mecanismo adequado que assegure aos dados, fora da UE, nível de proteção essencialmente equivalente ao europeu.

O mecanismo mais simples seria uma decisão de adequação da Comissão Europeia (art. 45), que dispensa salvaguardas adicionais. O Brasil não possui essa decisão de adequação. Portanto, empresas brasileiras dependem das salvaguardas do art. 46 — sendo as mais comuns as Cláusulas Contratuais-Tipo (SCCs) adotadas pela Decisão de Execução (UE) 2021/914 da Comissão, e, dentro de grupos econômicos, as Regras Vinculativas Aplicáveis às Empresas (BCRs).

Após o acórdão Schrems II (TJUE, processo C-311/18, 2020), as SCCs por si só não bastam. O exportador europeu deve realizar uma Avaliação de Impacto da Transferência (Transfer Impact Assessment), examinando se a legislação e a prática do país de destino — inclusive acesso governamental a dados — comprometem as garantias contratuais e, em caso afirmativo, adotar medidas suplementares (criptografia, pseudonimização, controles de acesso) conforme as Recomendações 01/2020 do EDPB.

Para a empresa BR, isso se traduz em assinar as SCCs corretas no módulo adequado (controlador-controlador, controlador-operador etc.), apoiar a documentação da avaliação de impacto do parceiro europeu e demonstrar medidas técnicas concretas de proteção. É um trabalho conjunto de jurídico e segurança da informação, e não apenas uma cláusula contratual genérica.

Representante na UE (art. 27) e DPO (art. 37)

O art. 27 do GDPR exige que controladores e operadores sem estabelecimento na UE, mas sujeitos ao regulamento pelo art. 3º(2), nomeiem por escrito um representante estabelecido em um dos Estados-Membros onde estão os titulares cujos dados são tratados. Esse representante é o ponto de contato para as autoridades de controle e para os titulares, e pode ser responsabilizado em procedimentos de fiscalização — não é uma formalidade decorativa.

A obrigação tem exceções (art. 27(2)): dispensa-se o representante quando o tratamento é ocasional, não inclui em larga escala dados sensíveis ou de natureza penal, e é improvável que resulte em risco aos direitos dos titulares. Na prática, e-commerces, SaaS e fintechs com clientes europeus recorrentes raramente se enquadram na exceção e precisam nomear o representante.

O DPO (encarregado de proteção de dados, arts. 37 a 39) é obrigatório quando o tratamento é feito por autoridade pública, quando a atividade principal exige monitoramento regular e sistemático de titulares em larga escala, ou quando a atividade principal consiste em tratamento em larga escala de dados sensíveis. Os gatilhos do GDPR são mais objetivos que os da LGPD, e o DPO europeu deve ter autonomia, conhecimento especializado e canal direto com a alta administração.

Atenção a uma confusão comum: representante na UE e DPO são papéis distintos e, em regra, não devem ser exercidos pela mesma pessoa, porque há potencial conflito de funções. Uma empresa brasileira pode precisar dos dois ao mesmo tempo — um representante no território europeu e um encarregado responsável pelo programa de conformidade.

Multas e fiscalização: os números reais do GDPR

O GDPR estabelece dois patamares de multa administrativa no art. 83. O primeiro (art. 83(4)) alcança até 10 milhões de euros ou 2% do faturamento global anual total do exercício anterior, o que for maior, para infrações como falhas no registro de tratamento, na nomeação de representante ou nas obrigações de operador.

O segundo patamar (art. 83(5)) chega a até 20 milhões de euros ou 4% do faturamento mundial anual total do exercício financeiro anterior, o que for maior. Esse teto aplica-se às infrações mais graves: violação de princípios básicos, das condições de consentimento, dos direitos dos titulares e das regras de transferência internacional do Capítulo V. Para grandes grupos, o critério do percentual do faturamento pode superar em muito o valor fixo em euros.

Comparado à LGPD, cujo teto é de 2% do faturamento no Brasil limitado a R$ 50 milhões por infração (art. 52), o GDPR opera em outra escala e usa o faturamento global como base, não o faturamento no país. As autoridades europeias têm aplicado multas expressivas, e o art. 83(2) detalha critérios de dosimetria — gravidade, intenção, medidas mitigadoras, cooperação — que recompensam quem documenta conformidade.

Além da multa, as autoridades de controle podem determinar suspensão de tratamento, proibição de transferências e outras medidas corretivas (art. 58). Para a empresa brasileira, o impacto reputacional e contratual costuma ser tão relevante quanto o valor da multa, sobretudo quando o cliente europeu exige garantias de conformidade como condição comercial.

Como se adequar

  1. 1

    Determine se o GDPR se aplica

    Mapeie se a empresa oferta bens/serviços a pessoas na UE ou monitora comportamento de quem está no bloco (art. 3º(2)). Avalie indícios de direcionamento: idioma, moeda, domínio, entrega e analytics. Documente a conclusão.

  2. 2

    Inventarie os fluxos de dados europeus

    Construa o registro das operações de tratamento (art. 30), identificando quais dados de titulares na UE são coletados, com que finalidade, por quanto tempo e para onde são transferidos, separando os fluxos sujeitos ao GDPR.

  3. 3

    Defina e documente as bases legais do GDPR

    Para cada finalidade, escolha a base do art. 6º (e do art. 9º se houver dados sensíveis). Para interesse legítimo, registre o teste de ponderação (LIA). Ajuste os textos de consentimento ao padrão do art. 7º.

  4. 4

    Estruture as transferências internacionais

    Como o Brasil não tem decisão de adequação, adote as Cláusulas Contratuais-Tipo (SCCs) no módulo correto e apoie a Avaliação de Impacto da Transferência exigida após Schrems II, implementando medidas suplementares de segurança.

  5. 5

    Nomeie o representante na UE

    Salvo enquadramento na exceção do art. 27(2), nomeie por escrito um representante estabelecido em Estado-Membro onde há titulares, com mandato claro para atuar perante autoridades e titulares e divulgação do contato na política de privacidade.

  6. 6

    Avalie a obrigatoriedade de DPO

    Verifique os gatilhos do art. 37 (monitoramento sistemático em larga escala ou tratamento em larga escala de dados sensíveis). Se obrigatório, designe DPO com autonomia, expertise e acesso à alta direção, distinto do representante na UE.

  7. 7

    Implemente resposta a incidentes no padrão europeu

    Estabeleça processo para notificar a autoridade de controle em até 72 horas (art. 33) e os titulares quando houver alto risco (art. 34), com modelos, cadeia de decisão e registro de todos os incidentes, mesmo os não notificáveis.

Perguntas frequentes

Minha empresa não tem escritório na Europa. O GDPR ainda se aplica?

Pode se aplicar. O art. 3º(2) do GDPR alcança empresas sem estabelecimento na UE quando elas ofertam bens ou serviços a pessoas que estão no bloco ou monitoram o comportamento dessas pessoas no território europeu. A ausência de escritório não afasta o regulamento.

Vender para um cliente europeu eventual já me coloca sob o GDPR?

Não basta acessibilidade do site nem uma venda isolada acidental. É preciso intenção de direcionar atividade à UE, evidenciada por indícios como idioma, moeda em euros, domínio de país-membro ou entrega no bloco. Vendas recorrentes e direcionadas, sim, tendem a atrair o GDPR.

Se eu já cumpro a LGPD, preciso fazer algo a mais?

Sim. Há sobreposição entre LGPD e GDPR, mas o GDPR acrescenta obrigações como o representante na UE (art. 27), regras próprias de transferência internacional, requisitos específicos de consentimento e multas calculadas sobre o faturamento global. O programa precisa atender ao mais exigente dos dois em cada ponto.

Posso transferir dados da UE para o Brasil livremente?

Não. O Brasil não possui decisão de adequação da Comissão Europeia, então a transferência depende de salvaguardas do art. 46, normalmente as Cláusulas Contratuais-Tipo, acompanhadas de uma avaliação de impacto da transferência e de medidas técnicas suplementares, conforme exigido após o acórdão Schrems II.

Quem pode ser o representante na UE exigido pelo art. 27?

Uma pessoa física ou jurídica estabelecida em um Estado-Membro onde estão os titulares cujos dados a empresa trata, nomeada por escrito e com mandato para ser contatada por autoridades e titulares. Em regra, não deve acumular a função com o DPO, por conflito de papéis.

Qual o valor máximo das multas do GDPR?

As infrações mais graves podem gerar multa de até 20 milhões de euros ou 4% do faturamento mundial anual total do exercício anterior, o que for maior (art. 83(5)). Infrações de outra natureza chegam a 10 milhões de euros ou 2% do faturamento global (art. 83(4)).

Sou obrigado a ter DPO sob o GDPR?

Depende. O art. 37 torna o DPO obrigatório quando a atividade principal envolve monitoramento regular e sistemático de titulares em larga escala ou tratamento em larga escala de dados sensíveis, além do caso de autoridades públicas. Fora dessas hipóteses, a designação é recomendável, mas não compulsória.

Como a Decripte pode ajudar minha empresa a cumprir o GDPR?

A Decripte atua em Segurança Normativa: estruturamos o programa de privacidade para atender LGPD e GDPR de forma integrada, com DPO as a Service, mapeamento de dados, definição de bases legais, instrumentos de transferência internacional, apoio à nomeação de representante na UE e medidas técnicas de segurança da informação que sustentam a conformidade.

Fontes

A Decripte implementa a conformidade — sem você montar um time interno.

Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.