Artigo
Privacidade e Proteção de Dados
Brasil e União Europeia reconhecem adequação em proteção de dados: efeitos sobre fluxos internacionais
Em 26 de janeiro de 2026, tivemos uma importante evolução na temática de privacidade e proteção de dados pessoais no Brasil: o reconhecimento mútuo de adequação entre o Brasil e a União Europeia, segundo maior parceiro comercial do Brasil.
Em suma, a partir de agora, a União Europeia confia no Brasil como um destino de tratamento de dados pessoais em que há equivalência nos padrões adotados. Esse reconhecimento é mútuo, isto é, o Brasil também entende que o bloco europeu é um local confiável em termos de proteção de dados pessoais. Com o reconhecimento, Brasil e União Europeia passaram a formar a maior área de fluxos seguros de dados do mundo, contemplando aproximadamente 700 milhões de pessoas.
Ao analisarmos o contexto de privacidade e proteção de dados pessoais no Brasil, temos como principal marco normativo a Lei Geral de Proteção de Dados (LGPD), sancionada em 14 de agosto de 2018. A norma estabeleceu um regime jurídico nacional para o tratamento de dados pessoais, assegurando direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade humana. Embora sancionada em 2018, a maior parte de seus dispositivos entrou em vigor apenas em 18 de setembro de 2020, período destinado à adaptação das organizações públicas e privadas.
Por sua vez, as disposições sobre sanções administrativas tiveram início em data posterior, sendo aplicáveis apenas a partir de 1º de agosto de 2021. Esse movimento normativo demonstra o compromisso do país com a consolidação de uma cultura de privacidade e proteção de dados, em alinhamento com um cenário global. Conforme acompanhamento da Organização das Nações Unidas (ONU), temos 79% dos países do mundo com leis sobre privacidade e proteção de dados (UNITED NATIONS CONFERENCE ON TRADE AND DEVELOPMENT, online). Mas quando todo esse movimento começou?
A seguir, apresentamos uma visão em linha do tempo de alguns dos principais normativos que contribuíram para a formação legislativa de privacidade e proteção de dados no cenário mundial, como demonstra a Figura 1.
Figura 1 - Marcos Legais de Proteção de Dados
Para fins deste artigo, retornaremos ao ano de 1970, quando ocorreu o surgimento da primeira legislação sobre privacidade e proteção de dados no mundo: a Lei de Proteção de Dados do Land de Hesse, na Alemanha.
Essa lei surge em decorrência do avanço da informática e dos bancos de dados governamentais, que começavam a permitir o armazenamento e o cruzamento de dados pessoais, despertando o temor de um controle excessivo por parte do Estado, o que trouxe à lembrança fatos recentes, pois há poucas décadas a Alemanha havia passado por um regime nazista (MIGALHAS, 2021, online).
Após esse marco legal, outras leis começaram a surgir, como a lei sueca de 1973 e a francesa de 1978. Em 1983, tivemos uma importante decisão proferida pelo Tribunal Constitucional Alemão, ao julgar a Lei do Censo de 1982, reconhecendo a existência de uma garantia constitucional de proteção contra a coleta e o tratamento indiscriminado de dados pessoais (DONEDA, 2021, p. 27).
Outros instrumentos legais relevantes a serem citados são a Convenção da Europa de 28 de janeiro de 1981 e a Recomendação da OCDE de 23 de setembro de 1980. Observando tais diplomas, é possível encontrar os princípios da correção, da exatidão, da finalidade, da publicidade do acesso e da segurança física e lógica (RODOTÁ, 2008, p. 59). Tais termos não são desconhecidos, pois estão presentes na LGPD como princípios e direitos dos titulares. Por fim, a jornada normativa europeia alcança o ano de 2016 com a adoção do Regulamento Geral de Proteção de Dados (GDPR), que passou a ser aplicável em 25 de maio de 2018. O Regulamento reconheceu e concretizou o direito fundamental à proteção de dados pessoais descrito na Carta dos Direitos Fundamentais da União Europeia e, em razão de sua natureza jurídica, vincula direta e imediatamente todos os Estados-Membros da União Europeia (UE) (SARLET, 2021, p. 41).
Sob essa perspectiva, é interessante observar essa evolução: de uma lei de um estado federado da Alemanha, passando por alguns países europeus, posteriormente pelo próprio bloco europeu, até alcançar a maioria dos países do mundo com legislações sobre privacidade e proteção de dados. Para o Brasil, com seus quase 6 anos de legislação (LGPD), obter o reconhecimento de adequação concedido pela Comissão Europeia possui especial relevância, uma vez que esse reconhecimento é concedido pela mais consolidada e rigorosa estrutura normativa do mundo, o Regulamento Europeu, sendo notável para um país com poucos anos de aplicação.
De forma prática, esse reconhecimento simplifica o processo de transferência internacional de dados entre os 27 Estados-membros da União Europeia, além de Islândia, Liechtenstein e Noruega, e o Brasil, desburocratizando o processo de transferência internacional de dados pessoais.
A Agência Nacional de Proteção de Dados (ANPD), ao reconhecer o nível adequado de proteção do bloco europeu, observou o disposto no artigo 34 da LGPD, que orienta a análise de equivalência normativa e a efetividade das salvaguardas existentes, transcrito abaixo:
Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II - a natureza dos dados;
III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV - a adoção de medidas de segurança previstas em regulamento;
V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI - outras circunstâncias específicas relativas à transferência. (BRASIL, 2018)
Dessa forma, o legislador brasileiro definiu os critérios que devem ser observados pela ANPD para garantir que o bloco europeu possui instrumentos normativos e institucionais suficientes para assegurar a manutenção dos direitos dos titulares de dados pessoais previstos na LGPD, mesmo quando o tratamento ocorrer em seu território em decorrência de uma transferência internacional de dados.
Em um mundo digitalizado, o fluxo de dados não fica restrito a uma única jurisdição, sendo necessário e recorrente que dados sejam enviados e recepcionados entre diferentes jurisdições. Nesse cenário, surge a necessidade de garantir medidas e salvaguardas que resguardem o respeito aos direitos e garantias dos titulares nesses contextos. Com esse reconhecimento, temos essa proteção para os dados sob jurisdição da LGPD que são transferidos para tratamento no bloco europeu e para os dados que vêm do bloco europeu para serem tratados aqui no Brasil.
Como enfatizado no dia da cerimônia de anúncio pelo presidente da República em exercício e ministro do Desenvolvimento, Indústria, Comércio e Serviços, Geraldo Alckmin:
“O acordo vai trazer mais segurança jurídica, facilitar a vida das pessoas e das empresas, reduzir custos, melhorar a competitividade e estimular investimentos recíprocos. Há um estudo que indica que o comércio digital pode crescer de 7% a 9%, além de apontar uma complementaridade de serviços ainda maior, aproximando a União Europeia e o Brasil.”
Qualquer pessoa, independentemente da nacionalidade, que esteja em território brasileiro passa a figurar em um seleto grupo de pessoas que recebe proteção equivalente à garantida aos cidadãos europeus, demonstrando a evolução, seriedade, compromisso e grandiosidade do tema privacidade e proteção de dados no Brasil, que reconhece a proteção de dados pessoais como um direito fundamental assegurado pela Constituição Federal.
A decisão de adequação entre Brasil e União Europeia pressupõe a manutenção de Programas de Privacidade estruturados, uma vez que a continuidade do reconhecimento está condicionada à manutenção da conformidade; do contrário, o reconhecimento poderá ser suspenso. Conforme o §1º do artigo 4º da Resolução CD/ANPD nº 32, de 26 de janeiro de 2026, temos que “A decisão de adequação será objeto de reavaliação no prazo de quatro anos, a contar da entrada em vigor desta Resolução” (ANPD, 2026). Dessa forma, é necessário que o Brasil continue fortalecendo a privacidade e a proteção de dados em seu território.
É fundamental evidenciar que o reconhecimento formal de adequação contribui, de maneira decisiva, para o fortalecimento do comércio digital, ao ampliar a confiança entre as partes envolvidas e facilitar o ingresso de empresas brasileiras em um mercado potencial estimado em cerca de 450 milhões de consumidores. Essa perspectiva traz benefícios para o Brasil, visto que, na análise de Perobelli et al. (2017), a expansão da demanda externa tende a impulsionar diversas atividades no mercado interno brasileiro, desencadeando efeitos multiplicadores que contribuem positivamente para o desempenho macroeconômico e setorial do país.
Vale destacar ainda que a decisão de adequação não se aplica às transferências internacionais de dados realizadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (Art. 2º da Resolução nº 32, de 26 de janeiro de 2026 da ANPD).
Nesse sentido, matéria divulgada no site do Planalto dispõe que:
“O reconhecimento funciona como um ‘sinal verde regulatório’, simplificando operações, reduzindo custos e acelerando negócios, projetos de inovação e iniciativas de cooperação internacional, com impacto especial em setores intensivos em dados, como tecnologia, serviços digitais, fintechs, healthtechs, plataformas online e economia de dados.”
Para o Serpro, essa adequação poderá facilitar a celebração de contratos que possuam transferências internacionais de dados entre Brasil e países europeus signatários, podendo-se adotar um caminho distinto das cláusulas contratuais padrão que precisam ser preenchidas, avaliadas e compor os contratos como anexo. Isso representa uma flexibilização importante.
Referências:
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Dispõe sobre o reconhecimento da União Europeia como organismo internacional com grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709, de 14 de agosto de 2018, para fins de transferência internacional de dados. Resolução CD/ANPD nº 32, de 26 de janeiro de 2026. Diário Oficial da União, Brasília, DF, 27 jan. 2026. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd. Acesso em: 10 fev. 2026.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm Acesso em: 06 fev. 2026.
BRASIL. Ministério do Desenvolvimento, Indústria, Comércio e Serviços. Alckmin celebra reconhecimento mútuo para transferência de dados entre Brasil e União Europeia: “Investimentos recíprocos”. Notícias – Segurança digital, Brasília, DF, 27 jan. 2026. Disponível em: https://www.gov.br/mdic/pt-br/assuntos/noticias/2026/janeiro/alckmin-celebra-reconhecimento-mutuo-para-transferencia-de-dados-entre-brasil-e-uniao-europeia-201cinvestimentos-reciprocos201d. Acesso em: 06 fev. 2026.
BRASIL. Brasil e União Europeia reconhecem equivalência em proteção de dados pessoais. Notícias – Segurança, Brasília, DF, 27 jan. 2026. Presidência da República. Disponível em: https://www.gov.br/planalto/pt-br/acompanhe-o-planalto/noticias/2026/01/brasil-e-uniao-europeia-reconhecem-equivalencia-em-protecao-de-dados-pessoais. Acesso em: 06 fev. 2026.
DONEDA, Danilo. Panorama Histórico da Proteção de Dados Pessoais. In: Tratado de proteção de dados pessoais. DONEDA, Danilo et al. (Coord.). Rio de Janeiro: Forense, 2021.
EUROPEAN COMMISSION. Adequacy decisions. Disponível em: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en Acesso em: 06 fev. 2026.
MIGALHAS. Spiros Simitis e a primeira lei de proteção de dados do mundo. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/355182/spiros-simitis-e-a-primeira-lei-de-protecao-de-dados-do-mundo Acessado em: 10 fev. 2026.
PEROBELLI, F. S.; BETARELLI, A. A. Jr.; VALE, V. A.; CUNHA, R. G. Impactos Econômicos do Aumento das Exportações Brasileiras de Produtos Agrícolas e Agroindustriais para Diferentes Destinos. Revista de Economia e Sociologia Rural. Ed. 55. Ano 2017. Disponível em: https://doi.org/10.1590/1234-56781806-94790550208. Acessado em: 10 fev. 2026.
SARLETE, Ingo Wolfgang. Fundamentos Constitucionais: o direito fundamental à proteção de dados. In: Tratado de proteção de dados pessoais. DONEDA, Danilo; et al. (coordenadores). Rio de Janeiro: Forense, 2021.
UNITED NATIONS CONFERENCE ON TRADE AND DEVELOPMENT. Data protection and privacy legislation worldwide. [s.d.]. Disponível em: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide. Acesso em: 06 fev. 2026.
Autores:
Cinthya Seko de Oliveira, Daniel Cesar, Debora Sirotheau Siqueira Rodrigues, Gláucio Monteiro Rosa e Vladimir Fagundes