Transferência internacional de dados pessoais sob a LGPD não é proibida. É condicionada. O Art. 33 da Lei define nove hipóteses que autorizam o envio de dados pessoais para fora do Brasil. Na prática, a maioria das empresas D2C não documenta em qual hipótese suas transferências se enquadram. E a maioria dos compradores PE não pergunta.
O Cenário Operacional
Um stack de MarTech típico de empresa D2C brasileira inclui entre 8 e 15 ferramentas SaaS. A maioria delas processa dados em infraestrutura localizada nos Estados Unidos. Salesforce, HubSpot, Klaviyo, Mailchimp, Google Analytics, Meta Ads, Segment, Amplitude, Braze, Iterable. Cada uma dessas ferramentas recebe dados pessoais de titulares brasileiros. Cada transferência precisa de base legal.
Os EUA não figuram em nenhuma lista de país com nível adequado de proteção de dados sob a LGPD. A ANPD ainda não publicou sua lista definitiva, mas as indicações regulatórias apontam para critérios alinhados ao padrão europeu. Até que essa lista exista, a transferência para os EUA depende de outros mecanismos.
Mecanismos Legais Disponíveis
O Art. 33 da LGPD prevê as seguintes hipóteses para transferência internacional, relevantes para contexto D2C:
- País com nível adequado (Art. 33, I): Ainda não regulamentado pela ANPD. Não pode ser usado como base para transferências aos EUA hoje.
- Cláusulas contratuais padrão (Art. 33, II-b): O mecanismo mais viável. A ANPD publicou modelos de cláusulas. Precisam estar incorporadas nos contratos com cada processador internacional.
- Normas corporativas globais (Art. 33, II-c): Aplicável a grupos multinacionais. Requer aprovação da ANPD.
- Consentimento específico (Art. 33, VIII): O titular precisa consentir especificamente com a transferência, informado sobre país de destino e riscos. Operacionalmente inviável para escala D2C.
- Execução de contrato (Art. 33, III): Limitada a casos onde a transferência é necessária para cumprir contrato com o titular. Não cobre atividades de marketing.
Onde os Gaps Aparecem
Em auditorias de stacks D2C brasileiros, encontramos três padrões recorrentes de exposição em transferências internacionais:
Gap 1: Ausência de mapeamento. A empresa não sabe quais dados pessoais são transferidos para quais processadores em quais países. Sem esse mapeamento, é impossível avaliar exposição ou aplicar mecanismos legais. O primeiro passo de qualquer remediação é mapear o fluxo de dados do stack completo.
Gap 2: DPAs genéricos. O contrato com o processador inclui um DPA, mas ele referencia apenas GDPR ou faz uma menção genérica a "applicable data protection laws". Não inclui cláusulas contratuais padrão no modelo ANPD. Não especifica responsabilidades sob a LGPD. Não define procedimentos de notificação à ANPD em caso de incidente.
Gap 3: Tags sem governance. Pixels de rastreamento e SDKs de terceiros são instalados sem avaliação de destino de dados. Meta Pixel, Google Tag, TikTok Pixel, ferramentas de heatmap. Cada um coleta dados pessoais e os transfere para servidores fora do Brasil. Se essas tags disparam antes do consentimento ou sem governance de transferência, cada pageview gera uma transferência internacional não autorizada.
Implicações para Compradores PE
Transferências internacionais sem base legal documentada criam três tipos de risco para o comprador:
Risco regulatório. A ANPD pode determinar a suspensão das transferências. Isso significaria desligar partes do stack de MarTech até que os mecanismos legais sejam implementados. Para uma operação D2C que depende de email marketing e retargeting, a suspensão pode afetar receita diretamente.
Risco de remediação. Implementar cláusulas contratuais padrão com 10 a 15 processadores internacionais leva tempo. Envolve negociação com cada fornecedor, revisão jurídica e, em alguns casos, migração para processadores com infraestrutura no Brasil ou em países adequados. O custo e o prazo entram no 100-day plan.
Risco de dados inutilizáveis. Se dados foram coletados e transferidos sem base legal, o comprador herda um data estate com vício de origem. A usabilidade desses dados para campanhas de marketing post-close é juridicamente questionável. Reconstruir a base com coleta adequada é o cenário mais conservador.