ZS Advogados Associados

Area de Atuacao

LGPD e Compliance Regulatório Brasil — Proteção de Dados, ANPD, Reguladores Setoriais

Compliance LGPD para operações estrangeiras no Brasil: Lei 13.709/2018, atuação da ANPD, designação de encarregado, transferências internacionais, sobreposição setorial (ANVISA, IBAMA, BACEN, CVM, CADE).

Por Zachariah Zagol, OAB/SP 351.356 Atualizado em:
Agendar Consulta WhatsApp

15+

Anos de experiencia

700+

Processos geridos

2

Idiomas (PT/EN)

USC

Mestrado LL.M.

O que Operações Estrangeiras Precisam Saber sobre LGPD e Compliance Regulatório?

O ambiente regulatório brasileiro combina lei geral de proteção de dados (LGPD) com sobreposição ativa de reguladores setoriais (ANPD, ANVISA, IBAMA, BACEN, CVM, CADE, ANEEL e outros). A LGPD aplica-se extraterritorialmente a empresas estrangeiras que ofereçam bens ou serviços a titulares no Brasil — incorporação fora do Brasil não isenta o controlador de obrigações. Reguladores setoriais adicionam suas próprias camadas de registro, reporte e supervisão, frequentemente com requisitos operacionais mais rígidos que o piso da LGPD. Operações estrangeiras que constroem programa de compliance defensável cedo evitam o cluster de remediação que segue a primeira inspeção da ANPD ou do regulador setorial.

A ZS Advogados Associados orienta empresas de propriedade estrangeira no desenho de programa LGPD, defesa em fiscalização da ANPD, interação com reguladores setoriais e resposta a incidentes de dados. O sócio fundador, Zachariah Zagol (OAB/SP 351.356), traz LL.M. em direito internacional e mais de 15 anos de prática societária transfronteiriça para matérias regulatórias.

“O investimento em LGPD que paga maior retorno é o inventário de dados. Empresas que sabem realmente o que têm, onde, quem trata e em que base legal conseguem responder à ANPD em dias. Empresas que não sabem levam seis meses só para começar a responder — e nesses seis meses a postura do regulador endurece. O inventário é a fundação; tudo o mais se constrói sobre ele.” — Zachariah Zagol, Sócio Fundador, OAB/SP 351.356

Como a LGPD Vincula Empresas Estrangeiras?

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) entrou em vigor em 18 de setembro de 2020. É estruturalmente similar ao GDPR europeu — papéis de controlador/operador/titular, taxonomia de bases legais, catálogo de direitos do titular, obrigações de accountability — mas com características brasileiras distintas e autoridade nacional ativa.

Escopo extraterritorial (LGPD Art. 3):

  • Tratamento realizado em território nacional
  • Tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços a titulares localizados no Brasil
  • Tratamento de dados pessoais coletados no território nacional

Uma empresa estrangeira sem CNPJ no Brasil mas com site em português atendendo clientes brasileiros, campanha publicitária dirigida ao Brasil ou analytics que perfila usuários brasileiros está no escopo.

Bases legais (Art. 7 — dados pessoais não sensíveis; Art. 11 — dados sensíveis):

  • Consentimento (específico, livre, informado, inequívoco)
  • Cumprimento de obrigação legal ou regulatória
  • Execução de contrato em que o titular seja parte
  • Exercício regular de direitos em processos judiciais, administrativos ou arbitrais
  • Proteção da vida ou da incolumidade física
  • Tutela da saúde por profissionais ou autoridades sanitárias
  • Legítimo interesse (com teste de balanceamento e documentação)
  • Proteção do crédito
  • Pesquisa de interesse público (com restrições adicionais)

Direitos do titular (Art. 18): confirmação do tratamento, acesso, correção, anonimização/bloqueio/eliminação de dados desnecessários ou excessivos, portabilidade, eliminação de dados tratados com consentimento, informação sobre compartilhamento com terceiros e revogação do consentimento.

Quem Deve Nomear Encarregado?

O Art. 41 da LGPD exige que todo controlador nomeie encarregado (equivalente brasileiro ao DPO) e divulgue sua identidade e canal de contato.

A Resolução CD/ANPD nº 2/2022 criou exceção parcial para “agentes de tratamento de pequeno porte” — startups, microempresas, MEIs e pequenas empresas (com limites de receita e volume) — que podem indicar canal de comunicação em vez de encarregado formal. Empresas estrangeiras geralmente ultrapassam os limites e devem nomear encarregado.

Atribuições do encarregado (Art. 41, §2):

  • Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • Receber comunicações da ANPD e adotar providências
  • Orientar empregados e contratados sobre práticas de proteção de dados
  • Outras atribuições definidas pelo controlador em normas complementares

O encarregado não precisa ser residente no Brasil, mas deve ser acessível em português e capaz de responder em prazo razoável. Muitas operações estrangeiras contratam encarregado-as-a-service brasileiro para suprir o gap de idioma e fuso.

Como a LGPD Regula Transferências Internacionais?

Os Arts. 33–36 da LGPD regem transferências de dados pessoais para fora do Brasil. Bases permitidas:

  • Transferências para países com grau de proteção adequado reconhecido pela ANPD
  • Cláusulas-padrão contratuais aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024 publicou as cláusulas-padrão)
  • Normas corporativas globais aprovadas pela ANPD
  • Consentimento específico do titular
  • Cumprimento de obrigação legal ou regulatória
  • Execução de contrato com o titular
  • Proteção da vida ou da incolumidade física

Implicações práticas para empresas estrangeiras:

  • Transferências para operadores nos EUA (cloud, CRM, ferramentas de marketing) exigem mecanismo de transferência aprovado pela ANPD no contrato controlador-operador
  • As cláusulas-padrão contratuais são a opção default para a maioria das operações estrangeiras
  • A ANPD ainda não publicou lista de adequação comparável à da UE; empresas não devem assumir que decisões de adequação do GDPR se traduzem em adequação LGPD

“As regras de transferência internacional são onde vejo o maior gap entre política e realidade. Empresas assinam contratos de cloud com operadores nos EUA e supõem que cláusulas-padrão GDPR-style as cobrem sob a LGPD. Não cobrem automaticamente. A ANPD publicou cláusulas brasileiras em 2024, e a posição mais segura é alterar contratos de operadores para incluir as cláusulas brasileiras em vez de depender de argumento de equivalência GDPR que não foi formalmente aceito.” — Zachariah Zagol, Sócio Fundador, OAB/SP 351.356

Como Funciona a Fiscalização da ANPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade federal de fiscalização da LGPD, instituída pela Lei nº 13.853/2019. A postura evoluiu do diálogo regulatório para sanções ativas a partir de 2022.

Catálogo de sanções (Art. 52):

  • Advertência, com indicação de prazo para correção
  • Multa simples de até 2% da receita do grupo de controlador no Brasil no ano anterior, limitada a R$50 milhões por infração
  • Multa diária, limitada ao mesmo valor de R$50 milhões por infração
  • Publicização da infração
  • Bloqueio dos dados pessoais objeto da infração
  • Eliminação dos dados pessoais objeto da infração
  • Suspensão parcial do funcionamento do banco de dados, por até 12 meses
  • Proibição parcial ou total de atividades relacionadas ao tratamento

A Resolução CD/ANPD nº 4/2023 regulamenta o cálculo das sanções administrativas, codificando agravantes (reincidência, gravidade da infração, falta de cooperação) e atenuantes (existência de programa de governança, ação corretiva pronta, transparência).

Onde a fiscalização é mais ativa:

  • Falhas de notificação de incidentes e resposta inadequada
  • Venda ou compartilhamento de dados pessoais sem base legal
  • Não atendimento a pedidos de direitos do titular
  • Ausência de contratos documentados controlador-operador com prestadores
  • Operação sem encarregado nomeado (acima do limite de pequeno porte)

Para operações estrangeiras, a defesa prática é o programa de compliance documentado — inventário de dados, registros de base legal, contratos de operador, rota do encarregado e runbook de resposta a incidentes — que o regulador possa revisar em inspeção.

Quais Reguladores Setoriais se Sobrepõem à LGPD?

A LGPD é o regime geral; reguladores setoriais adicionam obrigações específicas, frequentemente mais rígidas.

ANVISA (Agência Nacional de Vigilância Sanitária) — saúde, farmácia, dispositivos médicos, cosméticos. Lei fundadora: Lei nº 9.782/1999. Empresas estrangeiras que importam dispositivos médicos ou medicamentos devem registrar-se na ANVISA, cumprir Boas Práticas de Fabricação (BPF) e manter farmacovigilância. Dados de saúde são “sensíveis” sob o Art. 11 da LGPD — bases adicionais aplicáveis.

BACEN (Banco Central do Brasil) — bancos, câmbio, instituições de pagamento, fluxos de capital. O perímetro regulatório do BACEN expandiu significativamente com o Open Finance (Resolução Conjunta nº 1/2020) e o regime de instituições de pagamento. Bancos e fintechs estrangeiros tipicamente engajam o BACEN cedo para pedidos de licença. Cibersegurança em instituições financeiras: a Resolução BCB nº 4.658/2018 coexiste com a LGPD e frequentemente impõe requisitos operacionais mais rigorosos.

CVM (Comissão de Valores Mobiliários) — mercado de capitais, divulgação de companhias listadas, ofertas públicas. Lei fundadora: Lei nº 6.385/1976. Empresas que ofertam valores mobiliários a investidores brasileiros ou com status de companhia aberta engajam a CVM via Resolução CVM nº 80/2022 (registro de emissor) e o regime de oferta pública correlato.

CADE (Conselho Administrativo de Defesa Econômica) — defesa da concorrência sob a Lei nº 12.529/2011. Fusões que excedam os limites de notificação devem ser notificadas antes do fechamento. Os limites permanecem em R$750 milhões / R$75 milhões (Portaria Interministerial 994/2012, sem indexação). Penalidades por gun-jumping para fechamento antes da aprovação podem chegar a R$60 milhões mais multa diária.

IBAMA (Instituto Brasileiro do Meio Ambiente) — licenciamento ambiental sob a Lei nº 6.938/1981. Empresas estrangeiras que operem projetos com impacto ambiental (mineração, indústria, agronegócio, infraestrutura) precisam de licenças (LP — Licença Prévia, LI — Licença de Instalação, LO — Licença de Operação) e compliance contínuo.

ANEEL (Agência Nacional de Energia Elétrica) — setor elétrico. Investidores estrangeiros em geração, transmissão e distribuição enfrentam regimes de concessão ou autorização e supervisão tarifária.

O playbook prático para operações estrangeiras é mapear os reguladores aplicáveis no momento da formação societária (não depois do início das operações), atribuir um responsável por relações regulatórias e construir calendário de compliance cobrindo renovações de licença, obrigações periódicas e prontidão para inspeção.

Como Estruturar um Programa de LGPD?

Um programa LGPD defensável tem sete elementos:

  1. Inventário de dados — toda atividade de tratamento, papel de controlador/operador, categoria de dados, fonte, prazo de retenção e fluxo (incluindo transferências transfronteiriças)
  2. Identificação da base legal — para cada tratamento, a base do Art. 7 (ou Art. 11 para dados sensíveis) com documentação que sustenta a escolha
  3. Avisos de privacidade — em português, acessíveis em cada ponto de contato com o titular, cobrindo dados coletados, finalidades, retenção, compartilhamento e direitos
  4. Registros de operações de tratamento — equivalente brasileiro ao RoPA sob o Art. 37, mantido para inspeção da ANPD
  5. Encarregado nomeado e canal divulgado — sob o Art. 41 (ou canal de comunicação para agentes de pequeno porte)
  6. Workflow de direitos do titular — sob o Art. 18, com prazos de resposta, roteamento interno e trilha de auditoria
  7. Plano de resposta a incidentes — sob o Art. 48, com prazo fixado pela ANPD de três dias úteis a partir da ciência do controlador (Resolução CD/ANPD nº 15, de 24 de abril de 2024, art. 5), mais notificação ao titular quando aplicável

Para organizações com função de segurança madura, certificações ISO/IEC 27001 e ISO/IEC 27701 trazem credibilidade significativa junto à ANPD e clientes brasileiros, embora não sejam formalmente exigidas.

Por que Escolher a ZS Advogados em LGPD e Matérias Regulatórias?

Compliance LGPD não é projeto de uma vez — é disciplina operacional que sobrevive a mudanças organizacionais, mudanças de fornecedor e evolução regulatória. Ajudamos operações estrangeiras a construir programas LGPD que se integram com obrigações setoriais, resistem à inspeção da ANPD e minimizam o custo de resposta a incidentes quando algo dá errado.

A ZS Advogados Associados atua para operações estrangeiras em:

  • Avaliação de gap LGPD e desenho de programa do inventário ao incidente
  • Encarregado-as-a-service para controladores estrangeiros que precisam de presença local e responsividade em português
  • Aditivos a contratos controlador-operador para transferências internacionais sob cláusulas-padrão da ANPD
  • Defesa em fiscalização da ANPD (procedimento administrativo, negociação de termo de ajustamento, revisão judicial)
  • Interação com reguladores setoriais — registros ANVISA, pedidos de licença BACEN, divulgação CVM, licenciamento IBAMA
  • Análise e protocolo de notificação CADE em fusões
  • Resposta a incidentes de dados, redação de notificação à ANPD e remediação pós-incidente

Para uma consulta sobre sua exposição em LGPD ou matérias regulatórias, entre em contato com nossa equipe ou consulte nossos guias de compliance LGPD e investimento estrangeiro no Brasil.

Por que confiar no ZS Advogados?

Nosso sócio-fundador, Zachariah Zagol, é americano radicado no Brasil há mais de 15 anos, com mestrado pela USC e experiência prática como empresário e investidor. Ele não apenas estuda — ele vive o que ensina. Essa combinação de teoria e prática é o que diferencia nosso atendimento.

Perguntas Frequentes

O que é a LGPD e ela se aplica a empresas estrangeiras?
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é a lei geral brasileira de proteção de dados, em vigor desde setembro de 2020 e estruturalmente similar ao GDPR. Sob o Art. 3, a LGPD aplica-se ao tratamento (a) realizado em território nacional, (b) destinado a oferecer ou fornecer bens ou serviços a titulares localizados no Brasil, e (c) de dados pessoais coletados em território nacional — independentemente de onde o tratamento ocorre ou de onde o controlador está incorporado. Empresas estrangeiras que mirem clientes brasileiros, monitorem usuários brasileiros ou operem plataformas voltadas ao Brasil estão no escopo, mesmo sem CNPJ no Brasil.
Quem deve nomear encarregado (DPO) sob a LGPD?
Sob o Art. 41 da LGPD, todo controlador deve nomear um responsável pelo tratamento de dados (encarregado, equivalente brasileiro ao DPO) e divulgar sua identidade. A Resolução CD/ANPD nº 2/2022 criou exceção parcial para agentes de tratamento de pequeno porte (pequenas empresas, microempresas, MEIs e startups dentro de limites de receita e volume) — eles podem indicar canal de comunicação em vez de encarregado formal. Empresas de propriedade estrangeira que ultrapassem os limites, ou que tratem dados sensíveis, dados de crianças ou dados em larga escala, devem nomear encarregado e publicar a rota de contato. O encarregado não precisa ser residente no Brasil mas deve ser acessível e responsivo.
Como a LGPD regula transferências internacionais de dados?
Os Arts. 33–36 da LGPD regem transferências de dados pessoais para fora do Brasil. Bases permitidas incluem (a) transferência para países que ofereçam grau de proteção adequado reconhecido pela ANPD, (b) cláusulas-padrão contratuais aprovadas pela ANPD, (c) normas corporativas globais aprovadas pela ANPD, (d) consentimento específico do titular, e (e) outras hipóteses do Art. 33. A Resolução CD/ANPD nº 19/2024 publicou as cláusulas-padrão contratuais e o arcabouço do regime de transferência internacional. Empresas que dependem de operadores nos EUA devem avaliar qual base aplicar, documentar a base por escrito e atualizar avisos de privacidade.
Como a fiscalização da ANPD funciona na prática?
A postura de fiscalização da ANPD evoluiu do diálogo regulatório para sanções ativas a partir de 2022. Sob o Art. 52 da LGPD, as sanções vão desde advertência, multa diária (limitada a R$50 milhões por infração), publicização da infração, bloqueio ou eliminação dos dados, até proibição parcial ou total de atividades relacionadas ao tratamento. A Resolução CD/ANPD nº 4/2023 estabeleceu a regulamentação para o cálculo das sanções administrativas, codificando agravantes e atenuantes. Empresas devem focar em prontidão para resposta a incidentes — a ANPD aplicou penalidades com mais facilidade em casos de má gestão de incidentes do que em imperfeições rotineiras de tratamento.
Quais reguladores setoriais se sobrepõem à LGPD para operações estrangeiras?
A LGPD é geral; reguladores setoriais adicionam camadas. Mais relevantes para operações estrangeiras: ANVISA (saúde e farmácia — Lei nº 9.782/1999); BACEN (bancos e pagamentos — incluindo Resoluções do CMN para câmbio, fluxos de capital, instituições de pagamento); CVM (mercado de capitais e divulgação de companhias listadas sob a Lei nº 6.385/1976); CADE (defesa da concorrência sob a Lei nº 12.529/2011, com limites de notificação revisados periodicamente); IBAMA (licenciamento ambiental sob a Lei nº 6.938/1981); e ANEEL (setor elétrico). Regras setoriais de proteção de dados — por exemplo, a Resolução BCB nº 4.658/2018 sobre cibersegurança em instituições financeiras — coexistem com a LGPD e frequentemente impõem requisitos operacionais mais rígidos.
Como uma empresa estrangeira deve estruturar seu programa de LGPD?
Um programa LGPD defensável tem sete elementos: (1) inventário de dados mapeando cada atividade de tratamento, papel de controlador/operador e fluxo de dados; (2) identificação da base legal sob o Art. 7 (ou Art. 11 para dados sensíveis) para cada tratamento; (3) avisos de privacidade em português acessíveis aos titulares brasileiros; (4) registros de operações de tratamento (equivalente ao RoPA sob o Art. 37 da LGPD); (5) nomeação do encarregado e divulgação da rota de contato; (6) workflow de direitos do titular (Art. 18 — confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, revogação de consentimento); e (7) plano de resposta a incidentes incluindo notificação à ANPD sob o Art. 48 dentro do prazo fixado pela ANPD (atualmente três dias úteis a contar da ciência do controlador).
Os limites de notificação do CADE são relevantes para adquirentes estrangeiros?
O CADE (Conselho Administrativo de Defesa Econômica) avalia fusões e aquisições em que (a) um grupo tenha receita bruta brasileira superior a R$750 milhões no ano anterior, E (b) o outro grupo tenha receita bruta brasileira superior a R$75 milhões no ano anterior, sob a Lei nº 12.529/2011 e Portaria Interministerial nº 994/2012. Os limites permanecem em R$750 milhões / R$75 milhões conforme Portaria Interministerial MF/MJ nº 994/2012, sem indexação desde então. A notificação é obrigatória e suspensiva — fechar antes da aprovação aciona penalidades por gun-jumping. Adquirentes estrangeiros devem rodar a análise de limites cedo; atividades inteiramente fora do Brasil ainda podem disparar notificação ao CADE se as partes tiverem receita brasileira qualificada.

Precisa de orientação em lgpd e compliance regulatório brasil — proteção de dados, anpd, reguladores setoriais?

Cada caso é único e merece atenção especializada. Agende uma consulta e descubra como podemos proteger seus interesses.

Agendar Consulta Falar pelo WhatsApp