O que é a Convenção 108+ e como ela se difere da LGPD?

A Convenção 108+ é a versão modernizada do único tratado internacional vinculante sobre proteção de dados, criado pelo Conselho da Europa. Enquanto a LGPD é a lei nacional do Brasil, a Convenção 108+ funciona como um acordo internacional. Ela não substitui a LGPD, mas a complementa, alinhando as regras brasileiras a um padrão global aceito por mais de 55 países, fácilitando a troca internacional de dados.

Minha fintech opera apenas no Brasil. A Convenção 108+ me afeta?

Sim. Mesmo que seus clientes sejam exclusivamente brasileiros e você não tenha filiais no exterior, sua infraestrutura provavelmente usa serviços globais (nuvem da AWS, Google Cloud, APIs estrangeiras de antifraude, etc.). A transferência de dados para esses servidores estrangeiros é considerada uma transferência internacional, e a Convenção 108+ dita as regras de como isso deve ser feito de forma segura e legal.

Como isso impacta o lançamento do Pix Internacional?

O Pix Internacional depende da conexão entre o Banco Central do Brasil e sistemas financeiros de outros países. Para que o dinheiro flua, os dados pessoais das partes envolvidas precisam fluir junto. A Convenção 108+ fornece a base jurídica de confiança mútua entre os países signatários, eliminando a barreira regulatória que impedia o livre fluxo de dados financeiros, acelerando assim a implementação do Pix fora do Brasil.

A adesão reduz os custos de compliance das empresas?

Para empresas que operam cross-border, sim. Antes, era necessário gastar pesadamente com advogados para elaborar contratos complexos e específicos (Cláusulas Contratuais Padrão) para cada país com o qual a empresa trocava dados. Com a Convenção, cria-se uma presunção de adequação entre os países signatários, padronizando as regras e reduzindo significativamente as horas faturáveis de escritórios de advocacia focados em adequação internacional.

O impacto da Convenção 108+ na proteção de dados financeiros internacionais

O dinheiro hoje é apenas código. Quando um cliente do Nubank faz uma compra no México, ou quando uma remessa via Wise cruza o Atlântico rumo a uma conta no Itaú, não há malotes de notas voando pelo espaço aéreo. Há apenas pacotes de dados. E até pouco tempo atrás, a alfândega que controlava esses pacotes era um pesadelo burocrático, fragmentado e caro.

Agora em 2026, a adesão definitiva do Brasil à Convenção 108+ do Conselho da Europa muda completamente a geometria das operações financeiras internacionais. Não estamos falando de um mero detalhe jurídico para advogados discutirem em seminários. Estamos falando de redução direta no Custo de Aquisição de Clientes (CAC), queda nas despesas com compliance e, principalmente, velocidade de go-to-market para qualquer fintech brasileira que queira operar fora do país.

Se você opera um e-commerce com processamento cross-border, uma infraestrutura de pagamentos ou um banco digital, preste atenção aqui. A forma como sua empresa transfere dados pessoais e financeiros através das fronteiras acabou de ganhar uma via expressa. Mas, como toda rodovia pedagiada, as regras de trânsito ficaram mais rígidas para quem está ao volante.

A anatomia da Convenção 108+ e a posição do Brasil

Para entender o impacto, precisamos olhar para o retrovisor. A Lei Geral de Proteção de Dados (LGPD) foi o nosso dever de casa básico. Ela colocou o Brasil no mapa da privacidade, mas parava nas nossas fronteiras. O Artigo 33 da LGPD sempre foi uma dor de cabeça para os diretores de compliance (CCOs): ele exigia que transferências internacionais só ocorressem para países com grau de proteção adequado ou mediante contratos caríssimos e engessados.

O resultado? Fintechs gastavam fortunas com bancas de advocacia para redigir Cláusulas Contratuais Padrão (SCCs) ou Normas Corporativas Globais (BCRs) toda vez que precisavam plugar uma API gringa, usar um servidor na nuvem na Europa ou abrir uma filial na América Latina.

A Convenção 108+ é o único acordo multilateral vinculante sobre proteção de dados no mundo. Ao ratificarmos esse tratado, o Brasil enviou um sinal claríssimo aos mercados globais: nós jogamos pelas regras da primeira divisão. Na nossa análise, isso funciona como um selo ISO de adequação automática. Mais de 55 países signatários passam a olhar para o Brasil não como uma jurisdição de risco, mas como um porto seguro para o tráfego de dados.

O impacto direto no Pix Internacional e Open Finance

O Banco Central do Brasil desenhou o Pix e o Open Finance para serem as espinhas dorsais da nossa economia digital. O sucesso doméstico é inegável. Mas a ambição do BACEN, liderado pelas diretrizes de internacionalização, sempre esbarrou na barreira da privacidade cross-border.

Imagine o Pix Internacional. Para que uma transação ocorra instantaneamente entre uma conta no Bradesco e um banco em Portugal ou na Argentina, os dados do pagador e do recebedor precisam fluir em milissegundos. Se houver atrito jurídico sobre como o país de destino trata esses dados, a transação morre na origem.

Com a Convenção 108+, criamos um trilho jurídico padronizado. Os bancos centrais e os reguladores parceiros (como a Autoridade Europeia Bancária) têm a garantia de que os princípios de Privacy by Design, minimização de dados e accountability estão sendo aplicados em ambas as pontas. A Convenção exige que as autoridades supervisoras, como a nossa ANPD, tenham independência total e cooperem internacionalmente — algo que destrava as negociações bilaterais do BACEN.

Open Finance sem fronteiras

No Open Finance, a mudança é ainda mais agressiva. Fintechs brasileiras de crédito estão de olho nos imigrantes e expatriados. Se um brasileiro se muda para a Espanha, ele hoje recomeça sua vida financeira do zero. Seu histórico de crédito não viaja com ele.

A estruturação de um Open Finance cross-border depende visceralmente de acordos de equivalência de proteção de dados. A Convenção 108+ estabelece o vocabulário comum. Startups como a Remessa Online e as globais de adquirência como Ebanx e dLocal já começam a estruturar produtos onde o consentimento dado no Brasil via Open Finance é reconhecido validamente em jurisdições parceiras, permitindo portabilidade de histórico de crédito.

Custos de compliance: A matemática por trás do tratado

Vamos falar de dinheiro. Manter uma operação financeira aderente às leis de privacidade globais custa caro. Antes da adesão plena, mapeamos que uma fintech de médio porte (Série B ou C) gastava entre R$ 800 mil e R$ 1,5 milhão anuais apenas sustentando pareceres jurídicos e auditorias para justificar suas transferências internacionais de dados.

Ao aderir à Convenção 108+, o Brasil ganha a chamada presunção de adequação perante vários mercados. Na prática, você corta o intermediário jurídico. A transferência de dados entre a matriz no Brasil e uma subsidiária no Uruguai ou na Europa (ambos signatários) passa a ocorrer sob um guarda-chuva de confiança mútua.

O fim do jeitinho nas Cláusulas Contratuais Padrão

Muitas empresas brasileiras usavam o modelo de Cláusulas Contratuais Padrão (SCCs) como um mero check-box. Assinavam o documento e esqueciam na gaveta. A Convenção 108+ acaba com essa brincadeira ao exigir demonstração contínua de eficácia.

A responsabilidade solidária aumenta. Se a sua fintech usa um provedor de infraestrutura de pagamentos (BaaS) sediado no exterior e ocorre um vazamento, a regra do tratado fácilita a aplicação de sanções cruzadas. A ANPD agora tem canais formais e diretos de assistência mútua com autoridades da França, Alemanha, Argentina e Reino Unido. Se você errar lá fora, a conta chega aqui dentro. Rápido.

O efeito dominó na infraestrutura de pagamentos

Observamos uma reconfiguração nos contratos de infraestrutura. Grandes players de cloud (AWS, Azure, Google Cloud) e provedores de core banking internacional estão atualizando seus termos de serviço para clientes brasileiros.

Se você é um CTO ou CISO de uma instituição de pagamento autorizada pelo BACEN, a Resolução 4.893 (que trata de cibersegurança e contratação de serviços em nuvem) agora precisa ser lida em conjunto com as diretrizes da Convenção 108+. O tratado exige notificação de incidentes de segurança de forma muito mais rigorosa e tempestiva do que o texto original da LGPD.

A criptografia dos dados em trânsito e em repouso deixa de ser apenas uma boa prática recomendada pela Febraban e passa a ser escrutinada sob a ótica de um tratado internacional de direitos fundamentais. A tokenização de cartões (network tokenization) ganha ainda mais força, pois substitui o dado sensível (o PAN do cartão) por um token sem valor fora daquele contexto específico, reduzindo a carga de compliance exigida pela Convenção.

O mapa do dinheiro e dos dados para 2026 e além

A ratificação da Convenção 108+ não é a linha de chegada, é a largada de um novo ciclo de expansão. As instituições financeiras que entenderem esse tratado não como um peso regulatório, mas como um passaporte diplomático, terão uma vantagem competitiva brutal.

Bancos de nicho e fintechs de câmbio (FX) já estão reduzindo seus spreads porque o custo oculto da conformidade jurídica internacional caiu. Ao mesmo tempo, o sarrafo técnico subiu. A adequação exige sistemas arquitetados desde o dia zero para respeitar a soberania do usuário sobre seus dados de consumo e crédito, independentemente de onde o servidor físico esteja alocado.

O mercado financeiro brasileiro já provou que constrói a melhor tecnologia transacional do mundo — o Pix está aí para provar. Agora, com a blindagem jurídica da Convenção 108+, finalmente temos a pista livre para exportar essa infraestrutura sem sermos parados na alfândega dos dados.