Blog

Como Monitorar Transferências Internacionais de Dados no Seu Site | GDPR, CCPA

Seu site provavelmente está enviando dados pessoais para outros países. Saiba como rastrear transferências internacionais de dados para atender aos requisitos do GDPR e do CCPA.

Feb 12, 2026 • 10 min read

Juan Combariza Growth Marketer

Como monitorar transferências internacionais de dados - Capa do blog

Resumo

A transferência internacional de dados ocorre quando dados pessoais coletados no seu site são enviados para servidores em outro país. O Artigo 30 do GDPR (ROPAs) e o Artigo 28 (obrigações do processador), juntamente com os requisitos de divulgação do CCPA, exigem que os proprietários de sites documentem para onde os dados são enviados.
Comece fazendo um inventário de quem coleta dados (todos os coletores de dados de terceiros no seu site). Mapeie cada coletor de dados para uma base legal.
Monitore para onde os dados são realmente enviados. Observe domínios externos, regiões de hospedagem e subprocessadores. Você pode obter uma visão rápida por meio de inspeção manual nas ferramentas de desenvolvedor do navegador. Ou use uma ferramenta automatizada como o cside Privacy Watch para monitoramento contínuo.
Essas informações alimentam sua documentação de conformidade de privacidade por meio de ROPAs, DPAs, divulgações de privacidade e auditorias de incidentes. Além disso, mudanças repentinas nos destinos dos dados (como para a Rússia ou China) são sinais precoces de uma violação de dados no site.

4 Passos Para Rastrear Transferências Internacionais de Dados no Seu Site

1. Faça um inventário de quem transfere dados no seu site

Exemplo de inventário de coletores de dados de terceiros para rastreamento de transferências internacionais de dados (imagem do painel cside)

Para rastrear transferências internacionais de dados, entenda onde a coleta de dados realmente começa. Isso inclui tanto elementos próprios que você controla diretamente quanto serviços de terceiros incorporados ao seu site.

Coleta de dados próprios (sua própria equipe):

Componentes próprios como formulários de contato, integrações de CRM e ferramentas de analytics desenvolvidas internamente podem acionar fluxos de dados de saída. É fácil deixar passar pontos de coleta no seu site ou não ter certeza de quem é o responsável por eles (marketing, suporte ou desenvolvedores).

Coleta de dados de terceiros (fornecedores e ferramentas):

Scripts de terceiros merecem atenção especial. A maioria das equipes não sabe como os scripts de terceiros funcionam nos bastidores, e há dezenas deles em um site típico, de acordo com pesquisa do Web Almanac. Ferramentas como plataformas de analytics, pixels de anúncios, widgets de chat, scripts de testes A/B ou bibliotecas de desenvolvimento carregam a partir de domínios externos e podem enviar dados pessoais além das fronteiras sem autorização.

Esses scripts de terceiros carregam scripts de quarta parte, que podem carregar scripts de quinta parte, e assim por diante. Você pode ter aprovado o script de terceiro, mas está cego para todos os subprocessadores ao longo da cadeia de fornecimento.

Notas de um especialista: Simon Wijckmans, CEO, cside

Os 'inventários de fornecedores' que vivem em ferramentas gerais de conformidade são um bom começo. Mas eles não monitoram a execução de código no navegador. Conversamos com empresas que perceberam que ainda tinham código ativo processando dados no site delas de fornecedores que haviam sido encerrados meses antes.

Criar um inventário manual de toda a coleta de dados de terceiros no seu site envolve:

Inspecionar o código-fonte do seu site em busca de trechos de código de terceiros
Inspecionar gerenciadores de tags (como o Google Tag Manager) em busca de rastreadores de dados ocultos
Repetir esse processo continuamente à medida que novos scripts são adicionados, removidos ou atualizados.

Ferramentas de segurança web como o cside automatizam esse processo com monitoramento contínuo. Você pode começar com uma varredura gratuita de scripts de terceiros no seu site.

2. Entenda quais dados são transferidos no seu site

Identificando quais dados são coletados por terceiros (painel cside)

Depois de conhecer os pontos de coleta próprios e de terceiros no seu site, o próximo objetivo é entender quais dados eles realmente coletam e enviam para fora do site.

Há entradas óbvias como nomes, endereços de e-mail e números de telefone.
Scripts de terceiros capturam silenciosamente identificadores como endereços IP, cookies, IDs de sessão, detalhes do dispositivo ou metadados de localização.
Dados sensíveis são inseridos em fluxos de KYC (carteiras de motorista, passaportes) e chatbots de suporte recebem imagens de dados de conta enviadas pelos clientes.

Alguns pontos de dados individuais são amigáveis à privacidade, mas quando combinados, os dados coletados podem se qualificar como dados pessoais sob o GDPR e podem ser considerados compartilhamento sob o CCPA (mesmo que a intenção fosse apenas medir o desempenho do site).

É por isso que cada fluxo de dados precisa ser vinculado à sua categoria de base legal para cada framework com o qual você está em conformidade.

Mapear tipos de dados para justificativas legais é como as organizações demonstram responsabilidade durante auditorias para divulgações de "compartilhamento" do CCPA e respondem a perguntas regulatórias sobre direitos dos titulares de dados.

Seu inventário deve ter colunas com algo assim:

Rastreador → Tipo de Dado → Base Legal

Com dados sensíveis, é necessário ter cautela extra. Informações de saúde, dados de localização precisa, identificadores biométricos ou opiniões políticas frequentemente exigem consentimento explícito e salvaguardas mais robustas. Mesmo a coleta acidental pode criar obrigações de conformidade, especialmente em setores regulados como o de saúde.

3. Monitore para onde os dados são enviados

Mapa visualizado de fluxos de dados internacionais (painel cside)

Agora você precisa de visibilidade sobre para onde os dados vão depois que saem do navegador do usuário. Código próprio e de terceiros enviará dados para domínios externos para armazenamento ou processamento. Esses servidores externos podem estar hospedados em diferentes estados ou países.

Seu formulário de checkout captura o e-mail de um cliente na Califórnia, mas os servidores do seu provedor de e-mail estão em Frankfurt.
Um visitante em Londres carrega sua página inicial. Um script de analytics envia dados para servidores nos EUA ou na APAC. Você acabou de acionar um fluxo de dados internacional.

Esses destinos determinam se um fluxo de dados se torna uma transferência internacional com implicações regulatórias.

O Departamento de Justiça dos EUA restringe grandes transferências de dados pessoais sensíveis para países considerados de risco, incluindo China, Rússia, Irã, Coreia do Norte, Cuba e Venezuela.

Isso não é um exercício de revisão pontual. Fornecedores terceiros e SDKs alteram seu código com frequência ou adicionam novos subprocessadores. Uma única atualização pode redirecionar fluxos de dados para um novo país sem aviso prévio. As obrigações do Artigo 44 do GDPR e do CCPA §1798.100 sobre compartilhamento e divulgação pressupõem responsabilidade contínua pelo rastreamento da movimentação de dados.

Verificações manuais usando o DevTools do navegador ou ferramentas de monitoramento de rede como a aba "Network" do Chrome permitem ver instantaneamente para onde as requisições foram enviadas. No entanto, isso se torna inviável devido às mudanças de scripts e domínios. Além disso, essas revisões manuais mostram apenas um instantâneo rápido, sendo inadequadas para documentação de conformidade.

4. Documente as transferências internacionais para requisitos regulatórios (GDPR e CCPA)

Quando os reguladores perguntam como os dados pessoais saem do seu site, eles esperam uma resposta documentada — não reconstruída após o fato.

Sob o GDPR, as transferências internacionais são tratadas explicitamente nos Artigos 44 a 50. Esses artigos exigem que as organizações registrem para onde os dados são enviados, quais salvaguardas se aplicam a esses dados e o mecanismo legal que sustenta cada transferência.

O Artigo 30 do GDPR (ROPAs) exige documentação sobre a movimentação de dados para países terceiros ou organizações internacionais.

O Artigo 28 do GDPR (obrigações do processador) exige que os DPAs demonstrem:

Quais subprocessadores são utilizados
Onde os dados são processados
Como as transferências subsequentes são tratadas

Os DPAs refletem o que um fornecedor afirma ser verdade. Sem o monitoramento de scripts de terceiros, é impossível verificar se esses scripts realmente se comportam dessa forma no seu site. Se um fornecedor terceiro for comprometido em um ataque à cadeia de fornecimento, os DPAs serão ignorados e a coleta excessiva de dados ocorrerá sem que sua equipe perceba.

O CCPA foca na transparência: as empresas devem demonstrar:

Quais terceiros recebem dados pessoais
Se esses dados são considerados uma venda ou um compartilhamento
Como os direitos dos consumidores se aplicam a essas divulgações

Como o cside ajuda no rastreamento de transferências internacionais de dados

Painel do cside Privacy Watch - conformidade de sites com GDPR, CCPA, HIPAA

O cside Privacy Watch monitora cada script de terceiro no seu site em busca de riscos de segurança e violações de privacidade ocultas. Os engenheiros de segurança web do cside são especializados em monitorar a execução de código no navegador e desenvolveram o Privacy Watch ao perceber que os softwares de conformidade tradicionais não detectavam eventos de exfiltração de dados.

Como uma camada no stack de GRC corporativo, a plataforma de monitoramento de sites do cside ajuda você a:

Rastrear todos os pontos de coleta de dados no seu site (de código próprio e fornecedores terceiros)
Alertar quando os destinos dos dados são alterados ou quando novos dados são coletados por fornecedores
Detectar código malicioso injetado no seu site que rouba dados de usuários (web skimming)
Identificar código de terceiros mal configurado no seu site que viola a conformidade de privacidade
Comparar o código ativo do site com os inventários de fornecedores nas suas ferramentas de GRC para garantir que fornecedores encerrados não tenham código ainda presente no seu site

Outras boas práticas para transferências internacionais de dados

Revise as políticas dos seus fornecedores

Comece pela política de privacidade e pelo DPA do fornecedor. Procure por:

Onde os dados são processados
Quais subprocessadores estão envolvidos
Quais salvaguardas os processadores têm em vigor

Certifique-se de verificar as políticas declaradas com o que o monitoramento técnico mostra. Scripts de terceiros podem se comportar de forma diferente do que os DPAs afirmam, caso haja configurações incorretas ou injeções de código malicioso. Você pode ver exemplos de rastreamento de DPA no nosso blog como tornar seu site em conformidade com o GDPR

Criptografe dados em trânsito e em repouso

A criptografia é uma salvaguarda importante quando dados pessoais se movem além das fronteiras e entre ferramentas como CRMs, data warehouses e APIs. Ela reduz a exposição caso os dados sejam interceptados ou acessados por partes não autorizadas.

Um ponto importante a observar: a criptografia geralmente entra em ação depois que os dados enviados por um usuário (como um formulário) entram no perímetro da segurança da sua rede/API. Os dados podem ser roubados antes de entrar nesse perímetro por meio de web skimming.

Quais Leis Exigem a Documentação de Transferências Internacionais de Dados:

Framework de Privacidade	Requisito / Artigo	O que exige
GDPR	Artigos 44 a 50 (Transferências para Países Terceiros)	Transferências fora da UE/EEE exigem salvaguardas aprovadas
GDPR	Artigo 30 (ROPAs)	Os controladores devem documentar os destinatários em países terceiros e as salvaguardas utilizadas
GDPR	Artigo 28 (DPAs)	Os DPAs devem definir os locais de processamento e as transferências subsequentes para subprocessadores
CCPA / CPRA	§1798.100 (Transparência)	As empresas devem divulgar as categorias de informações pessoais coletadas e compartilhadas
Departamento de Justiça dos EUA	Programa de Segurança de Dados	Restrições à transferência internacional de dados para China, Rússia, Irã, Coreia do Norte, Cuba e Venezuela

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A transferência internacional de dados ocorre quando dados de usuários coletados no seu site são enviados para servidores em outro país. Isso frequentemente envolve scripts de terceiros que podem repassar dados a subprocessadores adicionais — às vezes chamados de scripts de quarta parte — criando uma cadeia de movimentação de dados que pode ser invisível para a sua organização.

Comece identificando quais ferramentas coletam dados pessoais e para onde os enviam. Muitos sites dependem de scripts de terceiros que transmitem informações sem autorização explícita. Como os fornecedores atualizam o código dos seus scripts com frequência, o escopo da coleta de dados e o destino das transferências podem mudar inesperadamente sem que sua equipe perceba.

Sim. Scripts de terceiros frequentemente enviam dados para servidores localizados em outros países. Exemplos comuns incluem ferramentas de analytics, pixels de publicidade, widgets de chat e scripts de testes A/B — todos capazes de iniciar fluxos de dados internacionais.

Sim, mas o GDPR impõe salvaguardas rigorosas. Os Artigos 44 a 50 definem os requisitos para transferências internacionais de dados lícitas, incluindo avaliações de risco de transferência, salvaguardas adequadas e documentação. As empresas também devem manter ROPAs e DPAs que especifiquem para onde os dados são enviados e quais processadores ou subprocessadores os tratam.

Plataformas como o cside Privacy Watch podem rastrear a coleta de dados por terceiros, visualizar fluxos de dados internacionais e organizar os resultados em relatórios específicos por regulação. Ferramentas mais amplas de mapeamento de dados podem oferecer visibilidade adicional sobre transferências que ocorrem em sistemas fora do seu site, como CRMs ou data warehouses.

Você pode fazer isso manualmente usando o DevTools do navegador para inspecionar requisições de saída e, em seguida, realizar consultas de IP ou de hospedagem para identificar o país do servidor. Como alternativa, você pode automatizar o processo com uma plataforma de monitoramento como o cside Privacy Watch, que rastreia continuamente para onde os dados do site são enviados e visualiza as transferências internacionais em tempo real.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.