Regulamentos

GDPR, CCPA e Tráfego Internacional

Por ana-redacao
May 20, 2026 às 1:02 PM

Operações de arbitragem que rodam apenas com tráfego brasileiro lidam essencialmente com a LGPD. Mas é cada vez mais comum operações brasileiras que escalam internacionalmente — comprando tráfego do Facebook para usuários em outros geos, especialmente Europa, EUA e países anglófonos. A partir desse momento, outras legislações entram no radar. Este artigo cobre as principais: GDPR (União Europeia) e CCPA/CPRA (Califórnia).

Quando o GDPR se aplica a uma operação brasileira

O General Data Protection Regulation, em vigor desde 2018, é a lei europeia de proteção de dados. Tem alcance extraterritorial — ou seja, aplica-se a qualquer organização, independentemente de onde esteja estabelecida, que:

  • Ofereça produtos ou serviços a pessoas localizadas na União Europeia (mesmo gratuitos)
  • Monitore o comportamento de pessoas localizadas na União Europeia

O segundo critério é o mais relevante para arbitragem: se você compra tráfego do Meta Ads e direciona usuários europeus para seu site monetizado com GAM, você está, na visão do GDPR, “monitorando comportamento de pessoas localizadas na União Europeia” (porque coleta dados via cookies, Pixel, GA4, SSPs). O GDPR aplica-se integralmente.

WinUp Network

Pronto para Decolar?

Junte-se a milhares de publishers que já estão maximizando sua receita com a tecnologia espacial da WinUp.

Começar agora

Como o GDPR difere da LGPD

A LGPD foi inspirada no GDPR e tem estrutura semelhante, mas há diferenças relevantes:

TópicoLGPD (Brasil)GDPR (UE)
Multas máximas2% do faturamento Brasil, até R$ 50 milhões/infração4% do faturamento global, até €20 milhões
DPORecomendado, com flexibilidade para pequenas empresasObrigatório em vários casos (monitoramento sistemático em escala)
Consentimento de cookiesExigido para cookies não essenciaisExigido com regras mais rígidas (ePrivacy Directive complementa)
Direito ao esquecimentoLimitado a dados tratados com base em consentimentoAmplo, com poucas exceções
Notificação de incidentesPrazo razoável à ANPD (orientação 2 dias úteis)72 horas para autoridades; usuários afetados em casos graves
Decisões automatizadasDireito à revisãoDireito à explicação e revisão humana
FiscalizaçãoANPD (ainda em maturação)DPAs nacionais (já operando ativamente)

Na prática, uma operação adequada ao GDPR está automaticamente adequada à LGPD. O caminho contrário não é verdadeiro: estar OK na LGPD não garante estar OK no GDPR.

CCPA e CPRA: a Califórnia

O California Consumer Privacy Act entrou em vigor em 2020, depois ampliado pelo California Privacy Rights Act (CPRA) em 2023. Aplica-se a empresas que:

  • Operam negócios na Califórnia, OU
  • Têm receita bruta anual acima de US$ 25 milhões, OU
  • Compram, recebem, vendem ou compartilham dados pessoais de 100.000+ consumidores ou famílias da Califórnia por ano, OU
  • Obtêm 50%+ da receita da venda ou compartilhamento de dados pessoais de californianos

Para a maior parte das operações brasileiras de arbitragem, o terceiro critério é o relevante. Sites com tráfego significativo dos EUA facilmente passam de 100 mil californianos atendidos por ano.

O CCPA/CPRA traz direitos específicos para o consumidor californiano: direito de saber quais dados são coletados, direito de pedir exclusão, direito de optar por não ter dados “vendidos ou compartilhados” (com definição ampla, que inclui transferências para Meta e Google em alguns contextos), direito de não discriminação por exercer esses direitos.

Outros estados americanos

O modelo da Califórnia inspirou legislações similares em vários outros estados americanos. Em vigor ou em vias de entrar em vigor:

  • Virgínia (VCDPA)
  • Colorado (CPA)
  • Connecticut (CTDPA)
  • Utah (UCPA)
  • Texas (TDPSA)
  • Oregon, Tennessee, Iowa, Indiana, Montana, Delaware e outros

Cada lei tem nuances próprias, mas a estrutura geral é parecida: definição de “dado pessoal”, direitos do consumidor, requisitos para o controlador, sanções administrativas. Os EUA, ao contrário da Europa, não têm lei federal unificada, mas o efeito agregado de tantas leis estaduais é, na prática, próximo de regulação nacional.

Consent Management Platforms (CMPs) para tráfego internacional

Operar com tráfego internacional torna a gestão de consentimento mais complexa. Você precisa mostrar banners diferentes para usuários de diferentes regiões:

  • Usuário no Brasil — banner conforme LGPD
  • Usuário na UE — banner conforme GDPR (geralmente mais detalhado)
  • Usuário na Califórnia — banner com link “Do Not Sell or Share My Personal Information”
  • Usuário em outros geos — banner adequado ou ausência conforme o caso

As CMPs profissionais fazem essa diferenciação automaticamente, com base em geolocalização do usuário. As principais:

  • OneTrust — líder global, robusta, cara. Padrão de empresas grandes.
  • Cookiebot — sólida, escaneamento automático de cookies, suporte multilíngue.
  • Sourcepoint — focada em publishers, com integração avançada com SSPs.
  • Iubenda — boa para operações brasileiras com escala internacional moderada.
  • Quantcast Choice — gratuita em planos básicos.
  • Didomi — popular na Europa.

Todas certificadas como IAB TCF (Transparency and Consent Framework), o padrão técnico que permite que o consentimento seja propagado para SSPs e DSPs do ecossistema programático.

IAB TCF: o padrão do mercado programático

O Transparency and Consent Framework da IAB Europe é o sistema técnico que permite que SSPs, DSPs, anunciantes e publishers compartilhem informações de consentimento de forma padronizada. Quando um usuário clica em “aceitar todos” no seu banner CMP, a CMP gera uma string codificada (TC String) que é passada para todas as SSPs participantes. Cada SSP lê a string e ajusta seu comportamento — se não há consentimento para ela, não participa do leilão.

Em arbitragem, isso significa que sem CMP integrada ao TCF, boa parte da demanda programática (especialmente em tráfego europeu) simplesmente não vai participar dos seus leilões. Você está deixando dinheiro na mesa por motivos puramente técnicos.

O Meta e o Google têm suas próprias frameworks que se integram com o TCF: o Google Consent Mode v2 e a Meta Consent API. Operações modernas configuram a CMP para alimentar ambos automaticamente.

Transferência internacional de dados

Quando seu site (no Brasil) usa Meta Pixel, Google Analytics e SSPs do header bidding, você está transferindo dados pessoais de usuários para servidores que podem estar em qualquer lugar do mundo. O GDPR regula essas transferências e exige bases legais específicas:

  • Adequacy decisions — quando a UE decide que o país de destino tem proteção adequada (Brasil ainda não tem essa decisão favorável, embora o processo esteja em curso)
  • Standard Contractual Clauses (SCCs) — cláusulas-padrão aprovadas pela Comissão Europeia, incluídas em contratos com fornecedores
  • Binding Corporate Rules (BCRs) — regras internas vinculantes para grupos multinacionais
  • Consentimento explícito — em alguns casos limitados

Na prática, Meta e Google já oferecem SCCs em seus termos de serviço padrão, o que cobre a maior parte das transferências em arbitragem. Mas a responsabilidade primária é do controlador (você), não do operador (eles).

Riscos para quem ignora

As multas e fiscalizações têm aumentado em ritmo acelerado:

  • Em 2023, o GDPR já havia gerado mais de €4 bilhões em multas acumuladas desde 2018, incluindo multas bilionárias contra a Meta e o Google.
  • Multas a publishers menores também aconteceram, com valores menos chamativos mas significativos para o porte das empresas.
  • A fiscalização do CCPA/CPRA pela Procuradoria-Geral da Califórnia tem aumentado, com multas contra empresas que não atendem solicitações de “Do Not Sell”.
  • Operações que recebem complaint de usuários (e europeus reclamam com mais frequência) entram em pauta nas autoridades nacionais (DPAs).

Para operações de arbitragem médias e pequenas, o risco prático ainda é relativamente baixo (autoridades focam mais em grandes), mas o cenário muda à medida que você cresce e ganha visibilidade.

Recomendações práticas

  • Se você tem qualquer tráfego internacional relevante (acima de alguns milhares de sessões/mês da UE ou EUA), implemente CMP profissional integrada com TCF
  • Configure Google Consent Mode v2 e Meta Consent API
  • Tenha versão da política de privacidade em inglês e atenda direitos de titulares estrangeiros em prazos razoáveis
  • Documente as transferências internacionais de dados (planilha simples já ajuda)
  • Em operações maiores, considere assessoria jurídica especializada em privacidade internacional
  • Reavalie periodicamente — o cenário regulatório muda rápido (especialmente nos EUA)

Para fechar

Operar com tráfego internacional traz oportunidades de margem maior (CPMs de Tier 1 são bem mais altos que do Brasil), mas também traz uma camada extra de complexidade regulatória. Operações que querem escalar internacionalmente precisam tratar privacidade não como item de checklist, mas como infraestrutura fundamental — com investimento real em CMP, política, integrações técnicas e, em alguns casos, assessoria jurídica especializada.

É menos sexy do que escalar criativos, mas é o que permite que a operação continue rodando quando ela ficar grande o suficiente para chamar atenção.

Aviso: Este artigo é informativo e não substitui consulta jurídica especializada. Para operações com tráfego internacional, recomenda-se assessoria de escritório com experiência em GDPR, CCPA e privacidade internacional.

Você Também Pode Gostar: