ChatGPT
Claude
Perplexity
Gemini
GrokA transferência de dados para fora do Brasil é um risco LGPD cotidiano das IES privadas
Cada vez que um candidato preenche o formulário de inscrição no vestibular e os dados são processados por um CRM hospedado nos Estados Unidos, ocorre uma transferência internacional de dados pessoais. O mesmo acontece com o chatbot que usa uma API de inteligência artificial americana, com a ferramenta de e-mail marketing hospedada fora do Brasil, com o Zoom usado para entrevistas de seleção ou com o Google Workspace que processa os documentos dos candidatos.
O Brasil tem sua própria lei de proteção de dados: a LGPD (Lei Geral de Proteção de Dados Pessoais — Lei 13.709/2018). A autoridade reguladora é a ANPD (Autoridade Nacional de Proteção de Dados), que em 2024 publicou a Resolução CD/ANPD nº 19/2024 — o marco regulatório específico para transferências internacionais. Antes de 2024, as IES operavam em zona cinza. Agora, as regras estão claras e o descumprimento gera risco concreto.
58% dos candidatos de instituições privadas de ensino superior são de língua não nativa (Fonte: detecção de idioma Skolbot em 8.500 conversações, 2025-2026). Essa realidade impõe fluxos de dados transfronteiriços para CRM, chatbot e ferramentas de marketing: candidatos de países africanos de língua portuguesa, estudantes de intercâmbio de universidades europeias, candidatos hispanohablantes de países vizinhos. Ignorar as obrigações da LGPD nesse contexto é expor a IES a multas de até R$ 50 milhões por infração.
O que a LGPD diz sobre transferências internacionais
O artigo 33 e a Resolução ANPD nº 19/2024
O artigo 33 da LGPD estabelece as condições para que dados pessoais sejam transferidos para fora do Brasil. A transferência só é permitida quando:
- O país destinatário oferece grau de proteção de dados pessoais adequado ao da LGPD
- O controlador oferece garantias suficientes de respeito aos princípios e direitos da LGPD
- A transferência é necessária para execução de contrato em benefício do titular
- O titular forneceu consentimento específico e destacado para a transferência
A Resolução CD/ANPD nº 19/2024 detalhou esses mecanismos, definindo os instrumentos válidos e os requisitos para cada um. Para as IES, é o documento de referência obrigatório.
Os mecanismos de transferência disponíveis
1. País com nível de proteção adequado. A ANPD publica a lista de países reconhecidos como tendo nível de proteção adequado. Nenhum país europeu ou norte-americano está na lista até o momento — ela está em construção progressiva. Para transferências para países da União Europeia, ainda são necessários instrumentos de garantia.
2. Cláusulas Contratuais Padrão (CCP-ANPD). A Resolução nº 19/2024 aprovou as cláusulas contratuais padrão brasileiras. As IES podem usar essas cláusulas em contratos com fornecedores estrangeiros — um instrumento análogo às SCC europeias. O contrato com o prestador de serviço (Google, Microsoft, Salesforce, etc.) deve incorporar as CCP-ANPD ou um instrumento equivalente reconhecido.
3. Normas Corporativas Globais (NCG). Empresas multinacionais podem adotar NCG aprovadas pela ANPD, que funcionam como regras internas vinculantes para o tratamento de dados entre diferentes entidades do mesmo grupo. Para uma IES, isso é relevante quando o fornecedor é uma multinacional que já possui NCG aprovadas.
4. Consentimento específico e destacado. O titular pode consentir expressamente com a transferência. Mas esse consentimento deve ser específico — não pode estar embutido nos termos gerais de uso — e o titular deve ter sido claramente informado sobre para qual país seus dados serão transferidos e por qual motivo.
5. Garantias contratuais específicas. Contratos que ofereçam proteção equivalente à prevista na LGPD podem servir de base para transferências, desde que analisados e aprovados pela ANPD em casos específicos.
O que a LGPD não é
A LGPD não é o RGPD europeu. Embora se inspire no regulamento europeu em vários aspectos estruturais, é uma lei brasileira autônoma com suas próprias bases legais, seus próprios mecanismos de transferência e suas próprias sanções. As cláusulas contratuais europeias (SCC) não substituem as CCP-ANPD — um contrato com um fornecedor americano que só contém as SCC europeias não está em conformidade com a LGPD brasileira.
As ferramentas digitais das IES e seu status sob a LGPD
A maioria das faculdades privadas e centros universitários brasileiros usa um conjunto semelhante de ferramentas SaaS americanas. Veja o status de cada uma em relação à LGPD:
| Ferramenta | Fabricante / Sede | Mecanismo LGPD aplicável | Hospedagem no Brasil/UE disponível |
|---|---|---|---|
| Google Workspace | Google (EUA) | CCP-ANPD + DPA Google | Sim (UE) — solicitar explicitamente |
| Microsoft 365 | Microsoft (EUA) | NCG / CCP-ANPD | Sim (Brasil e UE) |
| Zoom | Zoom (EUA) | CCP-ANPD | Sim (UE) |
| Salesforce CRM | Salesforce (EUA) | CCP-ANPD | Sim (UE) |
| HubSpot | HubSpot (EUA) | CCP-ANPD | Sim (UE) |
| Mailchimp | Intuit (EUA) | CCP-ANPD | Não — avaliar alternativas |
| OpenAI (API) | OpenAI (EUA) | CCP-ANPD (se DPA assinado) | Não por padrão |
| Skolbot | Hospedagem EEE | Garantias contratuais LGPD | Sim |
Dois pontos críticos para as IES: primeiro, a existência de hospedagem na Europa não dispensa a assinatura de um instrumento de transferência compatível com a LGPD — o DPA RGPD de um fornecedor americano não equivale a um DPA LGPD. Segundo, o uso de APIs de IA generativa como o GPT-4 envia o conteúdo das conversas dos seus candidatos para servidores nos EUA — cada interação de chatbot não hospedada em território adequado constitui uma transferência internacional de dados.
Casos práticos para faculdades com candidatos internacionais
A faculdade de Administração com convênios europeus
Uma faculdade privada de Administração com convênio de dupla diplomação com uma universidade europeia precisa trocar dados de estudantes com a instituição parceira. Esse fluxo — envio de histórico escolar, notas e dados de identificação — é uma transferência internacional. A base legal mais adequada é a execução de contrato em benefício do titular (o estudante), mas deve estar documentada no Registro de Atividades de Tratamento (RAT) e comunicada ao candidato no momento da inscrição no programa de intercâmbio.
O centro universitário que usa Google Workspace for Education
O Google Workspace for Education é amplamente usado no ensino superior brasileiro. Google oferece um DPA compatível com a LGPD, mas ele não está ativo por padrão. A IES deve:
- Configurar a região de armazenamento de dados para a Europa nas configurações do Google Admin
- Assinar o Acordo de Processamento de Dados do Google que inclui os compromissos LGPD
- Documentar esse mecanismo no RAT com menção explícita ao instrumento de transferência adotado
Sem essas etapas ativas, o uso do Google Workspace constitui uma transferência não justificada para os EUA, em desconformidade com o artigo 33 da LGPD.
A IES com chatbot de IA para atendimento de candidatos internacionais
Um chatbot que usa modelos de linguagem de grandes empresas americanas (OpenAI, Anthropic, Google Gemini) processa as mensagens dos candidatos em servidores fora do Brasil. Para cada candidato que conversa com o chatbot e fornece nome, e-mail, curso de interesse ou qualquer dado identificável, há uma transferência internacional. A solução: escolher fornecedores de chatbot que hospedem o processamento de dados na Europa ou usar modelos com APIs configuradas para instâncias europeias — e documentar o mecanismo de transferência.
Para uma visão completa das obrigações LGPD para dados de candidatos na jornada de admissão, consulte nosso guia LGPD para dados de estudantes e o guia de recrutamento de estudantes internacionais.
Sanções da LGPD e o risco para as IES
A LGPD prevê sanções administrativas aplicadas pela ANPD. As penalidades para transferências internacionais não conformes podem incluir:
- Advertência com prazo para adoção de medidas corretivas
- Multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$ 50 milhões por infração
- Multa diária até o limite total de R$ 50 milhões
- Publicização da infração — com impacto direto na reputação da instituição perante candidatos e parceiros
- Bloqueio ou eliminação dos dados relacionados à infração
Diferentemente do regime nLPD suíço, a LGPD sanciona a pessoa jurídica — a IES em si — e não a pessoa física responsável. Mas a ANPD pode considerar como agravante a negligência da gestão no cumprimento das obrigações. Para faculdades privadas com mensalidades na faixa de R$ 500 a R$ 5.000/mês e margens pressionadas, uma multa de R$ 50 milhões é existencialmente significativa.
A ANPD tem intensificado sua atuação fiscalizadora desde 2023. O setor de educação é um alvo natural: volume alto de dados de pessoas físicas, uso intensivo de ferramentas SaaS estrangeiras, e histórico de baixa maturidade em conformidade. As IES que não regularizarem suas transferências internacionais antes de uma fiscalização enfrentam não apenas a multa, mas também o custo reputacional junto ao MEC e aos rankings setoriais como o Guia do Estudante ou o Ranking Universitário Folha.
Plano de ação: regularizar as transferências internacionais da sua IES
Passo 1: Mapear todos os fluxos de dados que saem do Brasil (2-3 semanas)
Liste cada ferramenta SaaS usada pela IES — CRM, e-mail marketing, chatbot, plataforma de inscrição, analytics, videoconferência, LMS. Para cada ferramenta, identifique: sede do fornecedor, localização dos servidores, existência ou não de um DPA compatível com a LGPD.
Passo 2: Classificar cada transferência (1-2 semanas)
Para cada ferramenta que transfere dados para fora do Brasil, determine o mecanismo LGPD aplicável: país com nível de proteção adequado (lista ANPD), CCP-ANPD, NCG aprovadas ou consentimento específico. Se o mecanismo está ausente, entre em contato com o fornecedor para solicitar um instrumento adequado.
Passo 3: Atualizar o Registro de Atividades de Tratamento (RAT)
O RAT deve descrever, para cada atividade de tratamento que envolva transferência internacional, o mecanismo adotado e o país destinatário. A documentação deve ser mantida atualizada e disponível para inspeção da ANPD.
Passo 4: Atualizar a Política de Privacidade
A Política de Privacidade publicada no site deve informar os candidatos sobre as transferências internacionais, os países destinatários e as garantias adotadas. Uma menção genérica como "seus dados podem ser compartilhados com terceiros" não atende ao princípio de transparência do artigo 6º da LGPD.
Passo 5: Revisar anualmente
Os mecanismos de transferência evoluem: a ANPD pode atualizar a lista de países adequados, publicar novas versões das CCP-ANPD, ou revisar as exigências para NCG. Um ciclo anual de revisão — integrado ao calendário do Encarregado de Proteção de Dados (DPO) — garante que a conformidade permaneça efetiva.
Para verificar se todos os pontos de coleta de dados do seu site estão em ordem, consulte também nosso guia sobre consentimento de cookies e formulários para IES.
Experimente o Skolbot na sua instituição — 30 segundos, sem compromissoFAQ — Transferências internacionais de dados e LGPD para IES
O Brasil tem uma lei de proteção de dados própria?
Sim. O Brasil tem a LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018), em vigor desde setembro de 2020. A autoridade reguladora é a ANPD. A LGPD é uma lei brasileira autônoma — não é uma cópia do RGPD europeu, embora tenha se inspirado nele estruturalmente. As IES brasileiras estão sujeitas à LGPD e às regulamentações complementares da ANPD, como a Resolução CD/ANPD nº 19/2024 sobre transferências internacionais.
O que é a LGPD e como ela regula as transferências internacionais?
A LGPD é a lei federal brasileira que regula o tratamento de dados pessoais por pessoas naturais ou jurídicas, públicas ou privadas. O artigo 33 estabelece que transferências internacionais de dados só são permitidas mediante mecanismos válidos: país com nível de proteção adequado (conforme lista da ANPD), cláusulas contratuais padrão (CCP-ANPD), normas corporativas globais aprovadas pela ANPD, consentimento específico do titular, ou garantias contratuais equivalentes. A Resolução CD/ANPD nº 19/2024 detalhou esses instrumentos e é o marco regulatório atual para IES.
O Google Workspace é compatível com a LGPD para dados de alunos?
O Google Workspace pode ser compatível com a LGPD, mas requer ações específicas da IES. É necessário: ativar a opção de armazenamento de dados na Europa nas configurações do Google Admin Console, assinar o Acordo de Processamento de Dados do Google que inclui os compromissos com a LGPD, e documentar esse mecanismo no Registro de Atividades de Tratamento. Sem essas configurações ativas, os dados de matrícula e candidatura processados no Google Workspace transitam por servidores americanos sem instrumento de transferência válido — o que é vedado pelo artigo 33 da LGPD.
Quais as penalidades da LGPD para transferências não autorizadas?
A ANPD pode aplicar multa de até 2% do faturamento da IES no Brasil, limitada a R$ 50 milhões por infração. Além da multa, são previstas advertência com prazo corretivo, multa diária, bloqueio ou eliminação dos dados transferidos irregularmente e publicização da infração — esta última com impacto direto na reputação junto a candidatos, parceiros e no Guia do Estudante. As sanções se aplicam à pessoa jurídica, e a ANPD considera como agravante a negligência da gestão no cumprimento das obrigações. Para IES com convênios de dupla diplomação com universidades europeias, descumprimentos também podem afetar o reconhecimento de diplomas pelo MEC.
Leia também: Consentimento de cookies e formulários: guia LGPD para IES · Proteção de dados de candidatos: guia LGPD
Fontes: ANPD — Transferência Internacional de Dados · EDPB — International data transfers · Lei 13.709/2018 (LGPD)
