Blog

O GDPR se aplica à minha empresa nos EUA? (Autoavaliação em 3 etapas)

O GDPR pode se aplicar ao seu site mesmo que você esteja baseado nos EUA. Use este checklist de 3 etapas para verificar se você está em risco e qual é o potencial de penalidades financeiras.

Jan 08, 2026 • 14 min read

Juan Combariza Growth Marketer

Does-gdpr-apply-to-u-s-companies-self-assessment

Resumo rápido

O GDPR se aplica a qualquer empresa que intencionalmente direcione seu conteúdo a residentes da UE ou monitore o comportamento deles online. Além disso, um "estabelecimento na UE" — como um funcionário ou escritório permanentemente baseado na UE — pode acionar a elegibilidade ao GDPR.
Embora o GDPR se aplique a um conjunto mais amplo de empresas do que muitos imaginam, os reguladores da UE têm autoridade limitada para multar diretamente empresas exclusivamente dos EUA ou fora da UE. Nesses casos, os reguladores enviam avisos ou orientações corretivas em vez de penalidades.
As leis de privacidade dos estados americanos (como a CCPA) estão adotando expectativas semelhantes às do GDPR em termos de segurança contra violações de dados, transferência de dados entre fronteiras e responsabilidade da empresa vinculada ao processamento de dados por scripts de terceiros.
O uso de análises, mapas de calor ou pixels de anúncios que rastreiam visitantes da UE online é considerado monitoramento e pode acionar os requisitos de conformidade com o GDPR.

Checklist de Autoavaliação - O GDPR Se Aplica ao Meu Site?

Visitantes de todo o mundo acessam o seu site, o que torna confuso entender quais leis de privacidade se aplicam a você e quais trazem uma possibilidade real de penalidades financeiras. A aplicabilidade do GDPR não depende de onde você está incorporado. O que importa é se você está processando dados pessoais de cidadãos da UE e o que está fazendo com eles.

Todo site processa dados pessoais de maneiras que nem sempre são óbvias. Pense em formulários que coletam nomes e e-mails, ou em scripts de terceiros que enviam dados para servidores que você nem conhece. Cada um deles representa uma responsabilidade de conformidade com o GDPR se envolver dados de residentes da UE.

Este artigo oferece um checklist claro para ajudá-lo a determinar se você está no radar do GDPR.

O escopo territorial do GDPR é definido pelo Artigo 3 do regulamento. Ele se baseia em dois critérios principais:

Estabelecimento
Direcionamento

Basta que um deles seja verdadeiro. Se qualquer um for, o GDPR se aplica. No entanto, ele se aplica apenas às atividades de processamento específicas que o acionaram. O regulamento não assume o controle de toda a sua organização, apenas o tratamento de dados que é relevante.

Etapa 1: Você está estabelecido na UE?

Você tem um estabelecimento na UE se operar por meio de qualquer arranjo estável em um Estado-Membro (isso não exige um escritório formal). O limite para uma presença na UE é bastante baixo; até mesmo um único funcionário ou agente na UE pode ser suficiente se agir com estabilidade.

Você provavelmente tem um estabelecimento na UE se tiver:

Uma filial, subsidiária ou escritório registrado em qualquer Estado-Membro
Um funcionário, representante de vendas ou agente trabalhando regularmente na UE
Atividades geradoras de receita na UE vinculadas ao seu processamento de dados

Se o processamento de dados do seu site estiver conectado a essas atividades na UE, o GDPR se aplica. Caso contrário, avance para a Etapa 2.

Etapa 2: Você intencionalmente direciona seu conteúdo a usuários da UE?

O GDPR se aplica se o seu site oferece bens ou serviços a pessoas na UE. A oferta deve ser intencional, não acidental. O simples acesso de usuários da UE ao seu site é insuficiente para acionar a aplicabilidade.

De acordo com as Diretrizes do Comitê Europeu de Proteção de Dados (EDPB), estes fatores são sinais de direcionamento intencional:

Mencionar a UE ou Estados-Membros específicos em referência a bens ou serviços oferecidos
Pagar por publicidade em mecanismos de busca direcionada a públicos da UE
Usar domínios de nível superior da UE (.de, .fr, .eu) em vez do domínio do seu país de origem
Oferecer entrega de produtos para países da UE
Exibir preços em euros junto com a possibilidade de realizar pedidos
Fazer referência a clientes ou depoimentos baseados na UE

Se você não está direcionando seu conteúdo a usuários da UE, avance para a Etapa 3.

Etapa 3: Você monitora o comportamento de visitantes da UE?

O GDPR se aplica se você rastreia ou cria perfis de indivíduos localizados na UE. O Considerando 24 define monitoramento como:

"rastrear pessoas físicas na internet, incluindo a criação de perfis para analisar ou prever suas preferências, comportamentos e atitudes."

Estas atividades geralmente são consideradas monitoramento:

Retargeting e publicidade comportamental
Coleta de cookies, impressões digitais ou identificadores vinculados a indivíduos
Ferramentas de gravação de sessão e mapas de calor vinculados a usuários específicos
Rastreamento de localização para personalização ou marketing

Lembre-se de que dados estatísticos puramente agregados e anonimizados, sem nenhum vínculo com usuários individuais, geralmente não constituem monitoramento. Ferramentas de análise "compatíveis com o GDPR" são desenvolvidas para usar dados sem necessidade de permissão.

O GDPR se aplica a você se o seu site realizar qualquer uma das atividades acima para visitantes localizados na UE, mesmo que você nunca tenha pretendido fazer negócios na Europa.

Sim. O GDPR pode absolutamente se aplicar a empresas dos EUA. A localização da sua empresa não determina a aplicabilidade do GDPR.

Se a sua empresa processa dados pessoais de cidadãos da UE — seja por meio de bens ou serviços, empregando residentes da UE ou monitorando o comportamento online de cidadãos da UE — sua organização está sujeita ao GDPR.

Em vez de onde você está sediado, o que importa é:

Quem visita o seu site? [Pessoas localizadas na UE estão usando o seu site?]
Como o seu site processa os dados delas [Você está coletando informações pessoais, rastreando comportamento ou oferecendo bens e serviços a elas?]

Você não precisa de escritórios, funcionários ou qualquer presença física na Europa para que o GDPR se aplique ao seu negócio. Nem o tamanho da sua empresa nem a quantidade de dados que você processa importa.

Gatilhos comuns do GDPR para sites dos EUA

Ter visitantes da UE e rastrear o comportamento deles é motivo suficiente para estar no escopo do GDPR. O rastreamento comportamental inclui qualquer uma dessas ferramentas populares. Você também pode ter rastreadores de dados ocultos não autorizados, como scripts de terceiros que coletam dados em excesso — seja por acidente ou com intenção maliciosa. Você pode monitorar todos os coletores de dados de terceiros no seu site com uma ferramenta de conformidade do lado do cliente.

Exemplos de processamento de dados em sites que podem acionar a aplicabilidade do GDPR

  <thead>
    <tr>
      <th>Categoria</th>
      <th>Exemplos</th>
      <th>Por que o GDPR se aplica</th>
    </tr>
  </thead>

  <tbody>
    <tr class="section-row">
      <td colspan="3">RASTREAMENTO DO LADO DO CLIENTE</td>
    </tr>

    <tr>
      <td><strong>Análises</strong></td>
      <td>Google Analytics, Adobe Analytics</td>
      <td>Cookies e rastreamento de visitantes da UE</td>
    </tr>
    <tr>
      <td><strong>Pixels de publicidade</strong></td>
      <td>Meta Pixel, Google Ads etc.</td>
      <td>Monitoramento de comportamento do usuário para retargeting</td>
    </tr>
    <tr>
      <td><strong>Gravação de sessão</strong></td>
      <td>Hotjar, FullStory, Mouseflow</td>
      <td>Registra o comportamento e as interações de usuários da UE</td>
    </tr>
    <tr>
      <td><strong>Formulários de captação de leads</strong></td>
      <td>HubSpot, Mailchimp</td>
      <td>Coleta dados pessoais de visitantes da UE</td>
    </tr>
    <tr>
      <td><strong>Serviços incorporados</strong></td>
      <td>YouTube, Google Maps, widgets sociais</td>
      <td>O processamento por terceiros implica corresponsabilidade</td>
    </tr>

    <tr class="section-row">
      <td colspan="3">PROCESSAMENTO DO LADO DO SERVIDOR</td>
    </tr>

    <tr>
      <td><strong>Bancos de dados de clientes</strong></td>
      <td>PostgreSQL, CRMs, armazenamento em nuvem</td>
      <td>Armazenamento de registros de clientes da UE e dados pessoais</td>
    </tr>
    <tr>
      <td><strong>E-commerce</strong></td>
      <td>Shopify, WooCommerce</td>
      <td>Processamento de compras e pagamentos de clientes da UE</td>
    </tr>
    <tr>
      <td><strong>E-mail marketing</strong></td>
      <td>Mailchimp, SendGrid</td>
      <td>Envio de e-mails para assinantes da UE</td>
    </tr>
  </tbody>
</table>

As Penalidades do GDPR Podem Ser Aplicadas a Empresas Exclusivamente dos EUA?

Não diretamente, a menos que você tenha uma conexão com a UE conforme descrito acima neste artigo.

Os reguladores da UE têm autoridade sobre empresas dos EUA?

As Autoridades de Proteção de Dados da UE não têm jurisdição dentro dos Estados Unidos. Portanto, esses órgãos reguladores dependem de outras jurisdições para aplicar suas multas contra entidades fora da UE.

Aqui está um exemplo de reguladores da UE indo atrás de uma empresa dos EUA:

O ICO do Reino Unido emitiu um aviso ao Washington Post sobre como estava obtendo consentimento para cookies. No entanto, o ICO observou que havia pouco que pudesse fazer se o Washington Post decidisse não mudar suas práticas.

Aplicação do GDPR para empresas dos EUA

Para empresas sem nenhuma presença na UE, a aplicação regulatória é rara. Geralmente se limita a consultas, notificações de conformidade e proibições regulatórias. Os reguladores também podem tornar público o descumprimento, prejudicando inadvertidamente a reputação das empresas.

A pressão de aplicação aumenta com qualquer tipo de conexão com a UE

Os reguladores do GDPR ganham poder de atuação se você tiver:

Clientes ou receita na UE
Funcionários ou contratados na UE
Infraestrutura ou fornecedores baseados na UE
Contas bancárias ou ativos na UE
Um site voltado para a UE ou oferta localizada

A aplicação se concretiza nesse ponto. As restrições de negócios podem incluir ordens para cessar atividades específicas de processamento de dados ou suspender serviços para clientes da UE até que a conformidade seja alcançada. Eles podem essencialmente forçá-lo a parar de atender clientes europeus.

Empresas multinacionais são as mais afetadas pelas penalidades do GDPR

A aplicação do GDPR contra empresas dos EUA varia por Estado-Membro da UE. Países da Europa Ocidental, como Reino Unido, França e Irlanda, têm sido agressivos na imposição de penalidades do GDPR e na abertura de investigações contra empresas dos EUA.

As maiores multas do GDPR foram todas direcionadas a empresas com grande presença na UE:

Exemplos de multas notáveis do GDPR e a conexão com a UE que acionou a aplicação

  <thead>
    <tr>
      <th>Empresa</th>
      <th>Multa</th>
      <th>Conexão com a UE</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td><strong>Meta</strong></td>
      <td>€1,2 bilhão</td>
      <td>A Meta transferia rotineiramente informações de usuários da UE para os Estados Unidos sem as proteções exigidas</td>
    </tr>
    <tr>
      <td><strong>Amazon</strong></td>
      <td>€746 milhões</td>
      <td>Sede em Luxemburgo</td>
    </tr>
    <tr>
      <td><strong>Google</strong></td>
      <td>€90 milhões</td>
      <td>As autoridades de dados francesas concluíram que formulários de consentimento genéricos e caixas pré-marcadas não eram suficientes como consentimento válido</td>
    </tr>
    <tr>
      <td><strong>Marriott</strong></td>
      <td>£18,4 milhões</td>
      <td>A violação comprometeu as senhas e os registros de cartão de crédito de milhões de residentes da UE</td>
    </tr>
  </tbody>
</table>

Para uma empresa verdadeiramente exclusiva dos EUA, sem presença na UE, sem clientes na UE e sem intenção de entrar no mercado europeu, o risco direto de aplicação é baixo. Mas essa é uma categoria restrita, e está diminuindo à medida que as empresas se tornam globais e outras pressões (abordadas abaixo) tornam a conformidade no estilo GDPR necessária de qualquer forma.

Empresas Exclusivamente dos EUA Devem se Preocupar com o GDPR?

Sim. Veja o porquê.

As leis de privacidade estão se espalhando pelos estados dos EUA.

As leis de privacidade dos estados americanos ganharam força com novas leis sendo introduzidas, promulgadas e entrando em vigor a cada ano. Não faz muito tempo, em 2018, que a California Consumer Privacy Act se tornou a primeira lei abrangente de privacidade de dados estadual dos EUA a ser aprovada. Desde então, muitos estados aprovaram suas próprias leis, com aplicação começando em 2026.

Ano	Estados que aprovaram leis
2018	Califórnia (CCPA)
2021	Virgínia, Colorado
2022	Utah, Connecticut
2023	Delaware, Indiana, Iowa, Montana, Oregon, Tennessee, Texas
2024	New Hampshire, New Jersey, Kentucky, Maryland, Minnesota, Nebraska, Rhode Island

Na data de publicação deste artigo, 20 estados dos EUA promulgaram leis abrangentes de privacidade de dados do consumidor.

Essas leis regulam como as empresas podem coletar dados, o que devem divulgar, como os usuários podem optar por não participar e quais controles de segurança devem ser mantidos.

As leis de privacidade dos estados dos EUA se inspiram diretamente no GDPR

As leis do Colorado, Connecticut, Delaware, Oregon, Indiana, Iowa, Tennessee, Virgínia e Utah adotam a terminologia do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e se aplicam a "controladores" e "processadores".

A abordagem mais comum nas leis de privacidade dos estados dos EUA espelha o GDPR, que exige que uma avaliação contenha, no mínimo, os riscos e benefícios do processamento para os indivíduos.

Se você desenvolver seu site para estar em conformidade com o GDPR, já estará na maior parte do caminho para cumprir as leis estaduais dos EUA. O inverso também é verdadeiro. Ignorar os requisitos no estilo GDPR significa que você provavelmente também está violando as leis domésticas.

Os sites agora devem respeitar os sinais universais de recusa

Muitos estados dos EUA agora exigem que os sites detectem e respeitem os sinais de privacidade baseados no navegador, especificamente o Global Privacy Control (GPC).

A partir de 1º de julho de 2025, dez estados dos EUA exigem que os sites respeitem os sinais UOOM. Esses estados incluem Califórnia, Colorado, Connecticut, Delaware, Montana, Nebraska, New Hampshire, New Jersey, Oregon, Minnesota, Maryland e Texas.

Califórnia, Colorado e Connecticut anunciaram uma varredura investigativa conjunta direcionada a empresas que não respeitam as recusas via GPC.

Na prática, isso significa que:

Se o navegador de um visitante enviar um sinal GPC, seu site deve tratá-lo como uma solicitação válida de recusa
O Procurador-Geral da Califórnia adotou a posição de que as solicitações de recusa usando o Global Privacy Control devem ser respeitadas pelas empresas abrangidas como uma solicitação válida do consumidor para interromper a venda ou o compartilhamento de informações pessoais.
O não cumprimento desses sinais já está sendo aplicado (a primeira ação pública de aplicação da CCPA da Califórnia contra a Sephora citou o não cumprimento do GPC)

Se o seu site não consegue tecnicamente detectar e responder a esses sinais, você está em não conformidade, mesmo que nunca tenha pretendido fazer negócios fora do seu estado de origem.

Reduza Violações de Privacidade Causadas por Scripts de Terceiros com o Privacy Watch

Ao longo deste artigo, enfatizamos que, independentemente de os usuários aceitarem ou rejeitarem cookies, scripts mal configurados ou maliciosos ainda podem vazar suas informações privadas.

Os banners de consentimento de cookies gerenciam preferências. Eles não aplicam comportamento. E sob o GDPR, você é responsável pelo que cada script no seu site faz.

O PrivacyWatch é a ferramenta de conformidade de privacidade do lado do cliente da cside que monitora scripts de terceiros para alertá-lo sobre possíveis violações ou brechas de segurança de dados.

A cside oferece relatórios de conformidade automatizados para os regulamentos GDPR, CCPA e HIPAA, com trilhas de auditoria detalhadas que comprovam sua aderência durante inspeções regulatórias.

Com o PrivacyWatch da cside, você pode:

Ver quais dados são acessados por scripts e para onde estão sendo enviados
Monitorar o acesso e a injeção de dados para impedir rastreamentos não autorizados
Identificar alterações no código de terceiros no seu site que mudam como ele trata os dados
Demonstrar que medidas de privacidade e segurança do lado do cliente estão em vigor para cumprir os Artigos 32, 25 e 28 do GDPR
Obter painéis automatizados específicos por framework para GDPR, CCPA e outras leis estaduais dos EUA
Coletar evidências que podem ser apresentadas durante inspeções regulatórias ou auditorias

Agende uma demonstração com a cside agora para ver como se proteger contra violações do GDPR.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sim. O GDPR pode se aplicar a empresas sediadas nos EUA se elas oferecerem bens ou serviços a pessoas localizadas na UE ou monitorarem o comportamento de usuários da UE por meio de análises, cookies, pixels de rastreamento ou tecnologias similares em seu site.

Não vender produtos na Europa não isenta automaticamente o seu negócio. O GDPR se aplica a empresas dos EUA que tornam bens ou serviços acessíveis a indivíduos na UE ou no EEE, mesmo que nenhum pagamento seja exigido, ou que monitoram o comportamento de usuários localizados na UE ou no EEE.

Depende da intenção e do monitoramento de comportamento. O GDPR geralmente não se aplica a acessos puramente incidentais de usuários da UE, mas pode se aplicar se você intencionalmente direcionar seu conteúdo a usuários da UE ou monitorar ativamente o comportamento deles por meio de tecnologias de rastreamento ou análise.

Sim. O GDPR não inclui um limite de tamanho ou receita para aplicabilidade. No entanto, de acordo com o Artigo 30(5), organizações com menos de 250 funcionários podem estar isentas de certos requisitos de manutenção de registros, dependendo de suas atividades de processamento.

O Google Analytics não está em conformidade com o GDPR por padrão. Os operadores de sites devem configurar a ferramenta adequadamente e usar os recursos de privacidade disponíveis para alinhar sua implantação aos requisitos do GDPR.

Não. A aplicabilidade do GDPR é determinada pela localização do titular dos dados, não pela sua cidadania. Se um cidadão da UE estiver localizado nos Estados Unidos no momento do processamento de dados, o GDPR geralmente não se aplica.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.