Skip to content
Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Guia15 min de leitura

Conformidade de privacidade de dados além da LGPD

Guia prático para empresas brasileiras sobre conformidade de privacidade global: LGPD, CCPA, RGPD, POPIA, PIPL, DPDPA e APPI.

Equipe CheckFile
Equipe CheckFile·
Illustration for Conformidade de privacidade de dados além da LGPD — Guia

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

A conformidade em privacidade de dados deixou de ser uma preocupação restrita ao mercado interno. Uma empresa brasileira que atende clientes europeus, uma fintech com operações nos Estados Unidos ou um grupo empresarial com filiais na África do Sul enfrenta hoje um mosaico regulatório em que cada jurisdição impõe suas próprias definições, direitos, prazos e regimes de sanção. O Brasil tem a LGPD como pilar central, mas empresas com atuação internacional precisam dominar simultaneamente o RGPD europeu, a CCPA californiana, a POPIA sul-africana e os marcos asiáticos — cada um com suas particularidades e autoridades de fiscalização distintas.

Mais de 137 países possuem atualmente legislação de proteção de dados, segundo a UNCTAD, e empresas com operações transfronteiriças gerenciam em média entre três e seis marcos regulatórios simultaneamente — um número que vem crescendo desde a proliferação de leis nacionais a partir de 2018.

Este guia analisa os principais marcos de privacidade que afetam empresas brasileiras com atividade internacional — LGPD, RGPD, CCPA/CPRA, POPIA, PIPL, DPDPA e APPI — e apresenta uma estratégia prática para construir um programa de conformidade multi-jurisdicional eficiente, com atenção especial ao contexto regulatório brasileiro.

LGPD: o ponto de partida brasileiro

A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018), em vigor desde setembro de 2020 com sanções aplicáveis desde agosto de 2021, é o marco central de privacidade no Brasil. A Autoridade Nacional de Proteção de Dados (ANPD) é a responsável pela fiscalização e regulamentação, e tem intensificado sua atuação com decisões sancionatórias desde 2023.

A LGPD aplica-se a qualquer operação de tratamento de dados pessoais que: (1) seja realizada em território brasileiro; (2) tenha por objeto oferecer bens ou serviços a pessoas localizadas no Brasil; ou (3) os dados pessoais tenham sido coletados no Brasil. Isso significa que empresas estrangeiras que atendem clientes brasileiros ficam sujeitas à LGPD, independentemente de terem estabelecimento físico no país.

Bases legais e especificidades da LGPD

A LGPD reconhece dez bases legais (artigo 7º), quatro a mais do que o RGPD europeu. As mais relevantes para operações empresariais são:

  • Consentimento livre, informado e inequívoco
  • Cumprimento de obrigação legal ou regulatória
  • Execução de contrato ou de procedimentos preliminares
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral
  • Interesse legítimo do controlador
  • Proteção do crédito — base específica da LGPD sem equivalente direto no RGPD, fundamental para o setor financeiro brasileiro

A ANPD emitiu suas primeiras decisões sancionatórias em 2023 e 2024, aplicando multas que podem atingir 2% do faturamento no Brasil, com um teto de R$ 50 milhões por infração. A Resolução CD/ANPD nº 4/2023 estabelece o procedimento sancionatório detalhado e os critérios de dosimetria das sanções.

Bacen, COAF e a articulação com a LGPD

Instituições financeiras brasileiras operam sob uma camada adicional de requisitos que interage com a LGPD. O Banco Central do Brasil (Bacen) e o Conselho de Controle de Atividades Financeiras (COAF) impõem obrigações de KYC e prevenção à lavagem de dinheiro que exigem a coleta e conservação de documentos de identidade (CPF, RG, CNH) e registros de transações. Quando essas obrigações legais colidem com os princípios de minimização da LGPD, a base legal de cumprimento de obrigação legal (artigo 7º, II da LGPD) prevalece — mas não dispensa o cumprimento dos demais princípios: segurança, transparência e limitação da conservação ao prazo legalmente necessário.

A Circular Bacen 3.978/2020 estabelece prazos mínimos de conservação de documentos KYC que devem ser refletidos nas políticas de privacidade da empresa.

Para uma visão completa do cumprimento da LGPD na verificação de documentos, consulte nosso guia sobre LGPD e documentos de identidade.

Comparativo dos principais marcos globais de privacidade

Marco Jurisdição Âmbito de aplicação Direitos principais Sanção máxima Autoridade
LGPD (Lei 13.709/2018) Brasil Tratamento de dados de pessoas no Brasil Acesso, correção, eliminação, portabilidade, revogação 2% faturamento Brasil, máx. R$ 50 milhões por infração ANPD
RGPD (2016/679) UE / EEE Dados de pessoas na UE Acesso, retificação, apagamento, portabilidade, oposição EUR 20 milhões / 4% faturamento global Autoridades nacionais (CNPD em Portugal)
CCPA/CPRA Califórnia (EUA) Empresas com +US$ 25 milhões receita, +100.000 consumidores CA Conhecer, eliminar, corrigir, opt-out de venda US$ 7.500 por infração intencional California Privacy Protection Agency (CPPA)
POPIA (Act 4 of 2013) África do Sul Responsáveis estabelecidos na África do Sul ou que tratem dados lá Acesso, correção, destruição, objeção Até ZAR 10 milhões ou prisão Information Regulator
PIPL China Tratamento de dados de pessoas na China Conhecer, decidir, corrigir, apagar, portabilidade Até CNY 50 milhões ou 5% faturamento anual CAC (Cyberspace Administration of China)

RGPD: o marco europeu que empresas brasileiras precisam conhecer

O Regulamento (UE) 2016/679 (RGPD) é o padrão de proteção de dados mais exigente do mundo e serve de referência para legislações ao redor do globo, incluindo a própria LGPD. Uma empresa brasileira fica sujeita ao RGPD quando oferece bens ou serviços a residentes da UE ou monitora seu comportamento dentro do território europeu.

As multas podem chegar a EUR 20 milhões ou 4% do faturamento global anual — valores substancialmente superiores aos tetos da LGPD. Além disso, o RGPD exige a designação de um Encarregado de Proteção de Dados (DPO) com independência funcional e conhecimentos especializados, requisito que também existe na LGPD mas com menos detalhamento.

Uma empresa brasileira que cumpra plenamente a LGPD já dispõe de 60% a 80% das bases necessárias para cumprir o RGPD europeu, a POPIA sul-africana e a APPI japonesa, pois esses marcos se inspiraram explicitamente no modelo europeu de proteção de dados.

Aprofundar o tema

Descubra os nossos guias práticos e recursos para dominar a conformidade documental.

Explorar os guias

CCPA e CPRA: requisitos californianos para empresas brasileiras

A California Consumer Privacy Act (CCPA), em vigor desde janeiro de 2020 e reforçada pela California Privacy Rights Act (CPRA) desde janeiro de 2023, é a norma de privacidade mais exigente dos Estados Unidos. Uma empresa brasileira fica sujeita à CCPA/CPRA se satisfizer pelo menos um dos seguintes critérios: (1) receitas brutas anuais superiores a US$ 25 milhões; (2) tratamento de dados pessoais de 100.000 ou mais consumidores ou domicílios californianos por ano; ou (3) obtenção de mais de 50% das receitas anuais da venda de dados pessoais.

A CPRA criou a California Privacy Protection Agency (CPPA), um regulador independente com poder para aplicar multas de até US$ 7.500 por cada infração intencional. A multa de US$ 1,2 milhão aplicada à Sephora em 2022 demonstra a disposição das autoridades americanas para sancionar empresas internacionais (California AG, comunicado).

As principais obrigações práticas da CCPA/CPRA incluem:

  • Aviso de privacidade detalhado antes ou no momento da coleta, com categorias de dados e finalidades
  • Mecanismos para exercício dos direitos de conhecer, eliminar, corrigir e limitar o uso de dados sensíveis
  • Botão "Do Not Sell or Share My Personal Information" para empresas que compartilham dados com terceiros
  • Contratos de serviço com prestadores que acessam dados de consumidores californianos
  • Registro de pedidos de direitos durante 24 meses

POPIA: o marco sul-africano e a relevância para empresas com atuação na África

A Protection of Personal Information Act (POPIA, Act 4 of 2013) entrou plenamente em vigor em julho de 2021. Para empresas brasileiras com presença em países africanos lusófonos — Angola, Moçambique, Cabo Verde — ou que realizem negócios com a África do Sul, a POPIA é um marco regulatório relevante, já que a África do Sul funciona como hub financeiro e regulatório da região.

As oito condições de tratamento legítimo da POPIA são conceitualmente similares aos princípios da LGPD: responsabilidade, limitação da finalidade, minimização, qualidade da informação, transparência, segurança, participação do titular e restrição ao fluxo transfronteiriço.

O Information Regulator da África do Sul pode aplicar multas de até ZAR 10 milhões (cerca de R$ 3 milhões na cotação atual) ou penas de prisão de até 10 anos para infrações graves, e tem notificado publicamente diversas entidades multinacionais desde 2022 (Information Regulator South Africa).

A POPIA exige a designação de um Information Officer registrado junto ao Information Regulator, com funções similares às do Encarregado da LGPD. As violações de dados devem ser notificadas ao Information Regulator e aos titulares dos dados "assim que razoavelmente possível", sem prazo fixo em horas como na LGPD ou no RGPD.

PIPL, DPDPA e APPI: marcos asiáticos em expansão

China: PIPL (novembro de 2021)

A Lei de Proteção da Informação Pessoal da China (PIPL), em vigor desde novembro de 2021, aplica-se a qualquer tratamento de dados de pessoas na China, incluindo empresas estrangeiras. As sanções podem atingir CNY 50 milhões ou 5% do faturamento anual do ano anterior. A PIPL impõe restrições severas às transferências internacionais: empresas que ultrapassem limiares de volume de dados devem se submeter a avaliações de segurança governamentais antes de transferir dados para o exterior.

Índia: DPDPA (agosto de 2023)

A Digital Personal Data Protection Act (DPDPA), promulgada em agosto de 2023, estabelece o primeiro arcabouço abrangente de privacidade na Índia. As obrigações principais incluem: consentimento granular, designação de um Data Protection Officer para processadores de dados significativos e notificação de violações ao Conselho de Proteção de Dados. As multas podem atingir 250 crores de rúpias (cerca de R$ 160 milhões).

Japão: APPI (revisão de 2022)

A Act on the Protection of Personal Information (APPI), modificada com efeitos desde abril de 2022, reforça os direitos dos titulares e introduz obrigações de notificação de violações. A Comissão de Proteção de Informação Pessoal (PPC) do Japão pode impor multas de até 100 milhões de ienes para pessoas jurídicas. A UE reconheceu o Japão como país com nível de proteção adequado em 2019, simplificando as transferências de dados UE-Japão — um precedente que o Brasil busca obter.

Estratégia de conformidade multi-jurisdicional: abordagem brasileira

Mapeamento de fluxos de dados internacionais

Uma empresa brasileira com operações internacionais precisa mapear com precisão por onde seus dados trafegam e quais marcos regulatórios se aplicam a cada fluxo. Na prática, isso exige:

  1. Identificar em cada fluxo de dados quais são os titulares cujos dados são tratados (residentes no Brasil, na UE, nos EUA ou em múltiplas jurisdições)
  2. Determinar as bases legais aplicáveis em cada marco — que nem sempre coincidem
  3. Adaptar os avisos de privacidade às exigências específicas de cada legislação, incluindo diferenças entre português brasileiro e europeu quando aplicável
  4. Designar um Encarregado (LGPD) e, se necessário, um DPO (RGPD), que podem ser a mesma pessoa se tiver competências para ambas as funções

Plataformas de verificação documental como a CheckFile processaram mais de 2,4 milhões de documentos em 32 jurisdições, permitindo que equipes de compliance mapeiem com precisão os fluxos de dados transfronteiriços e as regulamentações aplicáveis a cada tipo de documento e cliente.

Transferências internacionais de dados: o desafio central

As transferências internacionais de dados são o ponto de atrito mais frequente. Cada marco tem suas próprias regras:

  • LGPD: autorização da ANPD, decisão de adequação, cláusulas contratuais padrão, normas corporativas globais
  • RGPD: decisões de adequação da Comissão Europeia, cláusulas contratuais-tipo (SCCs) atualizadas em 2021, normas corporativas vinculativas (BCRs)
  • POPIA: país destinatário com proteção adequada ou garantias contratuais equivalentes
  • PIPL: avaliação de segurança governamental para dados em grande escala, certificação de proteção

O Brasil ainda não obteve reconhecimento formal de adequação pela UE, o que obriga empresas a utilizarem SCCs ou BCRs para transferências UE-Brasil. A Receita Federal e o Bacen também impõem requisitos específicos para transferências de dados financeiros (Comissão Europeia, decisões de adequação).

Gestão documental como núcleo do programa de conformidade

Independentemente da jurisdição, a conformidade em privacidade exige verificar, conservar e gerenciar documentos de identidade, contratos, consentimentos e registros de tratamento com garantias de integridade. A plataforma CheckFile permite que equipes de compliance centralizem a verificação e o arquivamento documental, com uma taxa de conformidade em auditoria de 99,2% e uma redução de 83% no tempo de processamento em relação a processos manuais. Com mais de 85 clientes empresariais operando em múltiplas jurisdições, a plataforma gerencia a rastreabilidade documental exigida pela LGPD, pelo RGPD, pela POPIA e pela CCPA.

Consulte também nosso checklist de auditoria de conformidade para uma ferramenta prática de verificação do nível de conformidade global da sua organização.

Segurança técnica e organizacional: requisitos convergentes

Todos os marcos de privacidade global convergem na exigência de medidas técnicas e organizacionais adequadas. Os padrões mínimos que satisfazem simultaneamente a LGPD, o RGPD, a CCPA e a POPIA incluem:

  • Criptografia em repouso e em trânsito para dados pessoais
  • Controle de acesso baseado em funções (RBAC) com princípio de menor privilégio
  • Registros de auditoria para acessos a dados pessoais
  • Processos de notificação de violações com prazos definidos (72 horas na LGPD e no RGPD; "razoavelmente possível" na POPIA)
  • Avaliações de risco periódicas dos sistemas de tratamento
  • Treinamento documentado do pessoal com acesso a dados pessoais

A segurança da plataforma CheckFile é certificada e auditada para garantir que os documentos processados cumprem os requisitos técnicos de todos os marcos mencionados, com criptografia AES-256, segregação de dados por cliente e registros de auditoria imutáveis.

Obrigações setoriais adicionais: setor financeiro brasileiro

Instituições financeiras brasileiras enfrentam requisitos regulatórios que se sobrepõem às obrigações de privacidade. O Bacen e a CVM (Comissão de Valores Mobiliários) impõem obrigações de KYC no âmbito da Lei 9.613/1998, regulamentada pela Circular Bacen 3.978/2020. A Receita Federal exige o CPF e o CNPJ como identificadores-chave para operações financeiras e fiscais.

A regra prática é idêntica à de outros marcos: quando a legislação de prevenção à lavagem de dinheiro exige coletar dados que a LGPD restringiria, a base legal de obrigação legal prevalece — mas não dispensa o cumprimento dos demais princípios de minimização, conservação limitada ao prazo necessário, segurança e transparência perante o titular.

Para o contexto específico das obrigações PLD/FT no Brasil, consulte nosso guia sobre PLD e conformidade para entidades obrigadas.

A plataforma CheckFile está disponível em planos adaptados às necessidades de compliance de empresas brasileiras com operações em múltiplas jurisdições, com suporte para CPF, RG, CNH, CNPJ e documentos de terceiros países.

Saiba mais

Para aprofundar este tema, consulte o nosso guia completo sobre verificação documental.

Saiba mais

Para aprofundar este tema, consulte o nosso guia completo sobre verificação documental.

Perguntas frequentes

A LGPD protege dados de estrangeiros que estejam no Brasil?

Sim. A LGPD aplica-se ao tratamento de dados de qualquer pessoa localizada no Brasil, independentemente de sua nacionalidade. Se um turista europeu utiliza um serviço digital no Brasil e seus dados são coletados, a LGPD se aplica a esse tratamento. O critério é a localização no momento da coleta, não a cidadania — paralelo ao critério de aplicação extraterritorial do RGPD (artigo 3º, nº 2).

Quais são as principais diferenças entre a LGPD e o RGPD que afetam empresas brasileiras?

As diferenças mais relevantes são: (1) a LGPD reconhece dez bases legais em comparação às seis do RGPD, incluindo a "proteção do crédito" sem equivalente europeu; (2) a LGPD exige a designação de um Encarregado para todos os controladores, sem exceções de tamanho; (3) os prazos e procedimentos de comunicação de violações diferem em detalhes; (4) a transferência internacional de dados para a UE desde o Brasil ainda não se beneficia de decisão de adequação formal, exigindo SCCs ou BCRs; (5) os valores máximos de multa são significativamente maiores no RGPD (EUR 20 milhões vs. R$ 50 milhões).

Quais são os prazos de notificação de violações de dados nos diferentes marcos?

A LGPD e o RGPD exigem notificação à autoridade de controle em 72 horas após o controlador ter conhecimento da violação. A POPIA não fixa prazo em horas, exigindo notificação "assim que razoavelmente possível". A CCPA/CPRA não estabelece prazo específico para notificação à autoridade, mas obriga a notificação dos afetados sem atraso injustificado. A PIPL exige notificação imediata aos titulares e à CAC nos prazos do regulamento complementar.

O Encarregado da LGPD e o DPO do RGPD podem ser a mesma pessoa?

Sim, desde que a pessoa designada tenha as competências necessárias para ambas as funções e que não existam conflitos de interesse. A LGPD (artigo 41) e o RGPD (artigo 37) estabelecem requisitos similares — conhecimento especializado da legislação aplicável, independência e disponibilidade para exercer as funções. Para grupos empresariais com presença no Brasil e na Europa, a designação de um único responsável para ambas as funções é uma solução eficiente, desde que documentada e com recursos adequados.

Como a CheckFile pode ajudar na conformidade de privacidade em múltiplas jurisdições?

A CheckFile oferece uma plataforma de verificação e gestão documental projetada para ambientes multi-jurisdicionais. A plataforma processa documentos de identidade (CPF, RG, CNH, passaportes, documentos europeus), contratos e dossiês de compliance com controles de acesso granulares, criptografia ponta a ponta e registros de auditoria que satisfazem os requisitos de conservação e rastreabilidade da LGPD, do RGPD, da POPIA e da CCPA. As equipes de compliance podem centralizar a gestão de pedidos de direitos dos titulares e automatizar os prazos de conservação através das ferramentas disponíveis nos planos CheckFile.

Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico. Os marcos regulatórios descritos estão sujeitos a alterações frequentes. Para situações concretas, consulte um advogado especializado em proteção de dados com experiência nas jurisdições relevantes. Informações válidas na data de publicação.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Aprofundar o tema

Descubra os nossos guias práticos e recursos para dominar a conformidade documental.

Artigos relacionados

Guia17 min

CheckFile vs Jumio: comparação completa 2026

Comparação CheckFile vs Jumio para o Brasil — Bacen, COAF, LGPD. Qual solução de verificação de identidade escolher em 2026?

Ler
Guia14 min

CheckFile vs Onfido: comparação completa 2026

Comparação detalhada CheckFile vs Onfido para o Brasil — Bacen, COAF, LGPD. Qual solução de verificação documental escolher em 2026?

Ler
Guia9 min

Know Your Supplier (KYS): checklist de verificação de fornecedores no Brasil

Guia KYS para o Brasil: obrigações Bacen, COAF, CVM e LGPD, checklist de 12 verificações, documentos CPF/CNPJ, sinais de alerta e automação para equipes de compras.

Ler