Subsidiária brasileira de tech responde por dados de usuários no exterior sob LGPD

A responsabilidade de filiais brasileiras de empresas multinacionais de tecnologia por dados pessoais de usuários localizados no exterior marca novo entendimento na interpretação da Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018). O Superior Tribunal de Justiça consolidou tese segundo a qual as operações de tratamento de informações sensíveis realizadas por subsidiárias domésticas não se limitam territorialmente ao Brasil, criando obrigações de compliance em cadeia global.

Contexto

O fenômeno das gigantes tecnológicas operando por meio de filiais localizadas em diversos países criou ambiente de ambiguidade regulatória. A LGPD, em seu artigo 1º, estabelece que a lei se aplica a "qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independentemente do país de sua sede ou do local onde estejam localizados os dados". Essa redação marcadamente extraterritorial contrastava com a prática empresarial, que frequentemente compartimentalizava responsabilidades por jurisdição.

Antes dessa decisão, houve divergência interpretativa entre órgãos reguladores. Enquanto a Autoridade Nacional de Proteção de Dados (ANPD) sinalizava em guias técnicos que a responsabilidade poderia abranger operações globais conduzidas por entes corporativos brasileiros, a prática litigiosa ainda explorava lacunas sobre quem efetivamente responde: se a matriz estrangeira, se a filial local, ou ambas solidariamente.

O quadro ganhou urgência com o avanço de modelos de inteligência artificial (IA) que consolidam dados de múltiplas jurisdições em infraestrutura localizada no Brasil. A concentração de acesso e processamento em centros de dados nacionais amplificou o risco regulatório.

O que foi decidido

O tribunal estabeleceu que a subsidiária brasileira de empresa multinacional de tecnologia é responsável pelo cumprimento integral da LGPD mesmo quando dados pessoais são tratados com vistas a operações, produtos ou serviços oferecidos a usuários no exterior. Essa responsabilidade não é meramente procedimental, mas substancial: inclui consentimento prévio conforme artigo 7º da LGPD, implementação de medidas de segurança sob artigo 32, observância de prazos de resposta a direitos dos titulares (artigos 17-19, referentes ao direito ao esquecimento, acesso e correção), e accountability em relação ao controlador final.

A turma entendeu que a nacionalidade ou localização geográfica do usuário não atenua a obrigação. O critério determinante é o local onde a operação de tratamento ocorre e o estabelecimento onde a decisão sobre finalidade e meios do tratamento é tomada. No caso examinado, ambos situavam-se no Brasil, consolidando a responsabilidade inteira da filial.

Base normativa e precedentes

• Art. 1º, LGPD — Lei aplica-se a qualquer operação de tratamento independentemente da sede do responsável ou localização dos dados, princípio de extraterritorialidade material.
• Art. 7º, LGPD — Bases legais para tratamento, incluindo consentimento livre, informado e específico.
• Art. 32, LGPD — Responsável deve implementar medidas técnicas e administrativas de segurança dos dados pessoais.
• Arts. 17 a 19, LGPD — Direitos do titular: eliminação, acesso, correção e portabilidade de dados.
• Art. 37, LGPD — Controlador responsável por danos patrimoniais e extrapatrimoniais causados pelo tratamento ilícito.
• Artigo 5º, VI, LGPD — Define "controlador" como pessoa que determina finalidades e meios do tratamento.
• Jurisprudência consolidada do STJ em matéria de responsabilidade civil: subsidiárias sãoentidades autônomas, mas integradas em grupo econômico, sujeitam-se às mesmas obrigações legais do setor em que operam.

Impacto prático

Para empresas multinacionais de tecnologia:

• Auditoria urgente de arquitetura de dados: qualquer fluxo de informações de usuários globais processado em data centers brasileiros dispara compliance total sob LGPD, não apenas em relação a usuários brasileiros.
• Revisão de políticas de privacidade: devem expressar claramente que a filial brasileira é responsável mesmo para dados de titulares no exterior, eliminando ambiguidades que possam configurar omissão de transparência (artigo 6º).
• Reavaliação de contratos internos entre matriz e filial: transferência de dados para processamento local no Brasil sem base contratual clara ou consentimento formalizado expõe a operação a sanções.

Para órgãos reguladores:

• ANPD ganha fundamentação para investigações em operações de gigantechs que centralizam processamento no Brasil mas distribuem serviços globalmente.
• Amplia escopo de fiscalização: permite averiguar, por exemplo, modelos de recomendação de conteúdo alimentados por dados de usuários estrangeiros e treinados em infraestrutura nacional.

Para profissionais de compliance:

• Elaboração de termos de processamento de dados com matriz estrangeira deve incluir cláusulas que assegurem conformidade integral com LGPD para fluxos que passem pela filial brasileira.
• Mapeamento de fluxos de dados por jurisdição não é mais suficiente: deve-se mapear por entidade responsável e local de processamento.

Para litigantes (consumidores, órgãos públicos):

• Amplia legitimidade passiva em ações coletivas e individuais: consumidores podem demandar diretamente a filial brasileira por violações de direitos afetos a dados globais.

O que observar

Modulação eventual: O tribunal não sinalizou aplicação retroativa, sugerindo que a decisão vale para operações futuras e em curso, mas pode haver discussão sobre efeitos em demandas pretéritas.

Próximos passos regulatórios: A ANPD pode editar normativos técnicos definindo critérios mais objetivos sobre quando uma filial "controla" dado de titular no exterior. Isso é esperado e potencialmente favorecerá previsibilidade.

Risco de litigiosidade: Consumidores e representantes coletivos têm agora fundamento mais sólido para demandar empresas de tech em Brasil, mesmo por danos a titulares estrangeiros, se o processamento ocorrer em solo nacional.

Lacunas abertas: A decisão não trata expressamente de subcontratantes (processadores) — empresa X que processa dados para empresa Y (controladora), ambas no Brasil. Espera-se alinhamento futuro com artigo 5º, VIII e 28 da LGPD.

Impacto em IA generativa: Treinamento de modelos com dados de usuários globais em clusters brasileiros será escrutinado com rigor aumentado. Clarificação sobre quando há "consentimento específico" para IA (artigo 7º, VII) segue como ponto crítico não plenamente resolvido.