1 Breve introdução

Na última semana, a União Europeia deu um passo histórico ao reconhecer o Brasil como país adequado para a transferência internacional de dados pessoais. A decisão da CE - Comissão Europeia, que ainda aguarda etapas formais de aprovação¹, coloca o país em posição de destaque no cenário global de proteção de dados, juntando-se aos vizinhos Uruguai e Argentina e a mais 15 países.²

Mas afinal, o que isso significa para o Brasil? Em primeiro lugar, representa um selo de confiança no nosso regime jurídico. A LGPD, inspirada e frequentemente comparada ao Regulamento Geral sobre a Proteção de Dados da União Europeia GDPR - General Data Protection Regulation mostrou-se suficientemente adequada para garantir direitos individuais, em especial a proteção da privacidade e dos dados pessoais.

Do ponto de vista econômico, o impacto é imediato. Empresas brasileiras não precisarão mais adotar cláusulas adicionais ou mecanismos contratuais complexos para enviar ou receber dados da Europa. Isso reduz custos, elimina burocracia e aumenta a competitividade das companhias nacionais, especialmente startups e empresas de tecnologia, que agora podem disputar em pé de igualdade contratos internacionais.

No campo institucional, a decisão é também um reconhecimento ao trabalho da ANPD - Autoridade Nacional de Proteção de Dados, que conquistou autonomia e consolidou seu papel como regulador confiável. A chancela europeia fortalece a ANPD e pressiona pela manutenção de um órgão atuante, técnico e independente.

Para os cidadãos, o ganho é igualmente relevante. Seus dados passam a ser tratados com padrões de segurança comparáveis aos europeus, o que reforça a confiança nas instituições e dá mais efetividade a direitos já previstos: acesso, correção, portabilidade e exclusão de informações pessoais.

Do ponto de vista diplomático, o Brasil entra em um seleto grupo de países considerados 'seguros' para o fluxo de dados pela União Europeia, ao lado de economias avançadas como Japão, Suíça e Reino Unido. Esse posicionamento reforça a imagem internacional do país e abre portas para novas cooperações científicas, tecnológicas e econômicas.

É verdade que desafios permanecem. A adequação, por si só, não garante que a proteção de dados no Brasil seja efetiva. Ainda é necessário fortalecer a cultura de privacidade nas empresas, investir em capacitação e garantir que a LGPD seja cumprida de forma rigorosa. Do contrário, corre-se o risco de o reconhecimento europeu ser apenas um título formal.

De todo modo, o saldo é positivo. A decisão projeta o Brasil como protagonista regional e consolida a proteção de dados como um direito fundamental em prática, não apenas em teoria. Cabe agora transformar esse marco normativo em mudanças reais no cotidiano de empresas, órgãos públicos e cidadãos.

Na coluna desta semana, fica a reflexão: não basta o selo de confiança europeu. É preciso que o Brasil faça jus a ele, mostrando ao mundo que a proteção de dados não é apenas uma obrigação legal, mas um compromisso democrático e civilizatório.

2 Análise do sistema brasileiro - o que a Comissão considerou?

Uma decisão de adequação faz uma radiografia completa do ordenamento jurídico do país avaliado a fim de conferir se o país adota um modelo de proteção, no mínimo, equivalente ao da EU. No caso do Brasil, a Comissão Europeia destacou que a Constituição Federal de 1988 protege a intimidade e a vida privada no seu art. 5º, inciso X, o sigilo de correspondência e comunicações no seu inciso XII e, de forma expressa, a proteção de dados pessoais, incluído pela EC 115/22.³

Também destaca a CE que conforme constituição brasileira, os direitos fundamentais nela previstos, incluindo privacidade e proteção de dados, são aplicáveis universalmente a qualquer pessoa, inclusive estrangeiros, assegurando nível elevado de proteção.⁴

Outro ponto considerado é a ratificação, pelo Brasil, do Pacto San Jose da Costa Rica, com a incorporação consequente ao direito brasileiro do art. 11 (direito à privacidade) e art. 8 (direito a julgamento justo) da referida Convenção.

Quanto à LGPD, a decisão ressalta sua promulgação aplicável a todos os indivíduos, independentemente de sua nacionalidade, bem como a instituição da ANPD - Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar, regulamentar e aplicar a legislação no país, com autonomia institucional.

A atuação internacional da ANPD é destacada no considerando 14 do documento (p. 4), sendo reconhecida sua participação ativa na proteção de dados, como membro da GPA - Global Privacy Assembly, organismo que reúne mais de 130 autoridades de proteção de dados no mundo, incluindo todas as da União Europeia. Além disso, é reconhecido que o país também passou a ser observador no Comitê da Convenção 108 do Conselho da Europa, sobre a proteção de dados pessoais, bem como tendo protagonizado debates na ONU sobre privacidade e liderado, junto com a Alemanha, as resoluções da ONU sobre o direito à privacidade na era digital (2013 e 2014), as quais condenam práticas como vigilância e coleta arbitrária de dados e conclamam os Estados a garantirem transparência, supervisão independente e responsabilização no tratamento de informações pessoais.

Por fim, a Comissão destaca que a estrutura legal brasileira aplicável aos dados pessoais transferidos da União Europeia para o Brasil é semelhante à da própria União Europeia. Esse sistema não se apoia apenas em dispositivos constitucionais e legais internos, mas também em obrigações de direito internacional, como a adesão do Brasil à Convenção Americana de Direitos Humanos e o reconhecimento da jurisdição da Corte Interamericana de Direitos Humanos.

3. O que muda para o Brasil?

O reconhecimento feito pela UE, após a devida tramitação e aprovação da decisão de adequação gerará efeitos benéficos ao país de pelo menos quatro ordens: jurídica, econômica e social.

3.1. Ganhos jurídicos

O primeiro benefício a ser destacado é de ordem jurídica e regulatória. O reconhecimento europeu reforça a legitimidade constitucional e legal da LGPD, aproximando o Brasil de sistemas jurídicos considerados como referências globais.

Há uma redução de incertezas jurídicas para empresas que necessitam transferir dados entre Brasil e União Europeia, pois deixam de ser obrigadas a adotar mecanismos adicionais (como cláusulas contratuais padrão ou regras corporativas globais). Isso se traduz diretamente na diminuição de custos para empresas brasileiras que prestam serviços para a União Europeia.

Uma empresa brasileira de tecnologia da saúde que presta serviços de telemedicina para hospitais na Alemanha, v.g., precisa transferir dados de pacientes europeus para processar exames e emitir laudos no Brasil.

Antes da decisão de adequação, é necessário incluir no contrato Cláusulas Contratuais Padrão (Standard Contractual Clauses - SCCs) aprovadas pela Comissão Europeia, além de avaliações adicionais de risco. Esse procedimento gera custos elevados de compliance e, em alguns casos, pode atrasar a assinatura de contratos. Após a decisão de adequação, contudo, a transferência pode ocorrer diretamente, sem a exigência de cláusulas ou autorizações adicionais.

Para empresas brasileiras, a decisão gera segurança jurídica e redução de custos.

3.2. Ganhos econômicos

Em termos econômicos, o impacto da decisão é imediato e estratégico. A eliminação de barreiras regulatórias nas transferências de dados favorece o comércio internacional, sobretudo em setores como tecnologia, saúde, finanças e comércio eletrônico.

Empresas brasileiras, especialmente startups e setores de tecnologia, ganham competitividade global, uma vez que podem operar de forma integrada a cadeias europeias sem custos adicionais de conformidade.

Uma fintech brasileira que queira oferecer serviços de pagamento digital em Portugal, por exemplo, poderá dispensar a contratação de auditorias independentes, pareceres jurídicos e contratos adicionais, o que pode gerar custos e inviabilidade da operação.

3.3. Ganhos políticos e diplomáticos

Como impacto da decisão, o Brasil ingressa em um seleto grupo de países considerados "seguros" pela União Europeia, ao lado de economias avançadas como Japão, Suíça e Reino Unido.

A medida projeta o Brasil como líder regional em proteção de dados, conferindo-lhe capacidade de influência nas discussões multilaterais sobre privacidade, segurança digital e governança da internet.

Politicamente, trata-se de uma validação internacional da democracia digital brasileira, em um contexto em que o país se apresenta como defensor de direitos fundamentais e alinhado a padrões internacionais de direitos humanos.

 3.4. Ganhos sociais e institucionais

No plano social, a decisão deve aumentar a confiança dos próprios cidadãos brasileiros no sistema jurídico nacional e na efetividade, confiabilidade e avanço da LGPD e das decisões da ANPD.

Institucionalmente, a ANPD ganha força para impor boas práticas de governança de dados, estimular a cultura de proteção da privacidade e exigir maior responsabilidade das organizações públicas e privadas.

Essa internalização de padrões internacionais contribui para a maturidade regulatória do país e fortalece a agenda de direitos fundamentais no ambiente digital.

4. E como ficará a reciprocidade? É automática?

A decisão preliminar da União Europeia de reconhecer o Brasil como país adequado para a transferência internacional de dados pessoais gera, inevitavelmente, uma expectativa de reciprocidade regulatória. Isso significa que, assim como a União Europeia permitirá que dados de seus cidadãos circulem livremente para o Brasil, também caberá ao Brasil reconhecer que os dados de cidadãos brasileiros podem ser enviados a países da União Europeia sem necessidade de autorizações adicionais.

Ocorre que inexiste uma reciprocidade automática, por razões óbvias. Um país com nível de proteção menor que o Brasil pode considerar o nível de proteção brasileiro adequado, mas isso não quer dizer que o inverso seja verdadeiro.

Com efeito, a LGPD prevê, em seu art. 34, que a ANPD - Autoridade Nacional de Proteção de Dados pode deliberar sobre a adequação de outros países ou organismos internacionais ao nível de proteção adotado pela legislação brasileira.

A resolução ANPD 19/24 prevê critérios para decisão de adequação a partir de seu art. 10. Até o momento, contudo, nenhuma decisão foi expedida pela autoridade.

A priori, contudo, o próprio histórico de adoção da LGPD e sua influência pelo GDPR sinalizam pela emissão de uma futura decisão recíproca.

5. O dilema para a ANPD - a questão da retransferência de dados pessoais para os Estados Unidos

Uma questão a ser considerada no caso de a ANPD entender pela adequação da UE ao regime de proteção de dados adotado pelo Brasil, o que potencialmente traria ainda mais benefícios econômicos ao país, são os riscos de tratamento de dados por empresas americanas, em especial as Big Techs.

A UE e os Estados Unidos têm travado uma disputa sobre a possibilidade de transferência de dados pessoais europeus para empresas americanas, desde as revelações do caso Snowden, em 2013.

As revelações feitas pelo ex-agente da NSA expuseram programas de vigilância massiva conduzidos pelas autoridades norte-americanas, envolvendo inclusive a coleta indiscriminada de comunicações de cidadãos europeus. Esse episódio abalou a confiança entre os blocos e colocou em xeque a validade do primeiro acordo entre eles nesse campo, o Safe Harbor Agreement (2000). Em 2015, o TJ/UE, no emblemático caso Schrems I (C-362/14), declarou inválido o Safe Harbor, entendendo que as práticas de vigilância reveladas não eram compatíveis com os princípios de necessidade e proporcionalidade previstos no direito europeu e que inexistiam mecanismos eficazes de tutela judicial para os cidadãos da União.

Em resposta, os dois blocos celebraram um novo acordo, o EU-US Privacy Shield (2016), que procurava introduzir garantias adicionais de transparência e controle institucional. Entretanto, o acordo logo foi criticado pela fragilidade das salvaguardas e pela persistência do modelo norte-americano de proteção de dados, o que ficou ainda mais evidente no escândalo da Cambridge Analytica, em 2018, com  a coleta e o uso abusivo de informações pessoais de milhões de usuários do Facebook para manipular processos eleitorais, revelando lacunas graves de accountability no sistema norte-americano.

Esse contexto levou novamente o TJ/UE a intervir, e no julgamento do caso Schrems II (C-311/18), em julho de 2020, o tribunal declarou inválido o Privacy Shield. A Corte destacou que a legislação de vigilância dos Estados Unidos - especialmente a FISA 702 e a Executive Order 12333 - continuava a permitir a coleta em larga escala de dados, sem salvaguardas adequadas de proporcionalidade e sem a existência de vias efetivas de revisão judicial para cidadãos europeus.

Diante da pressão, o governo norte-americano editou a Executive Order 14086, em 2022, estabelecendo novas garantias, limitando o acesso das autoridades de inteligência e criando o Data Protection Review Court (DPRC) como mecanismo independente de recurso. A partir dessas mudanças, em 2023, a Comissão Europeia aprovou o EU-US Data Privacy Framework (DPF), restabelecendo os fluxos de dados entre os dois blocos, agora sob regras mais rigorosas de necessidade, proporcionalidade e supervisão.

Ocorre que as críticas que vinham sendo feitas ao regime americano se mantem, como a ausência de garantias para a tutela jurisdicional efetiva, considerando o modelo de judicial review nos Estados Unidos, bem como a existência de leis que autorizam uma vigilância governamental em áreas sensíveis, o que possui estatura superior à Ordem Executiva 14086, ato de natureza administrativa.

Devido a essas questões, o caso foi novamente levado ao TJ/UE (Caso T-553/23 - Latombe vs Comissão). Coincidentemente, na semana passada, quase juntamente com a apresentação da minuta da decisão de adequação do sistema brasileiro ao regime europeu de proteção de dados, o Tribunal Geral do TJUE julgou o caso, considerando que o Data Privacy Framework, acordo feito entre a União Europeia e os Estados Unidos para transferência internacional de dados está de acordo com a Carta de Direitos Fundamentais da União Europeia. Cabe ainda recurso para o TJUE (Court of Justice).⁵

A ausência de uma decisão final por parte do TJ/UE, bem como os próprios questionamentos levantados contra o Data Privacy Framework podem expor certa preocupação de adoção, pela ANPD, de uma decisão de adequação da União Europeia, havendo o risco de exposição a regimes de vigilância dos EUA que, embora formalmente limitados pela Executive Order 14086 e pelo Data Protection Review Court, ainda são considerados controversos. Em especial com toda a política controversa adotada pelo atual presidente Donald Trump.

O mais recomendado, por ora, talvez seja aguardar o trânsito em julgado da ação T-553/23 no TJ/UE e a estabilização da política externa e econômica dos Estados Unidos, eis que, das Big Techs americanas, apenas a Apple não se encontra certificada no Data Privacy Framework.

Conclusão

A decisão de adequação da União Europeia projeta o Brasil como ator global de destaque na proteção de dados, conferindo ganhos jurídicos, econômicos e diplomáticos relevantes. Contudo, uma decisão regulatória recíproca por parte do Brasil, por intermédio da ANPD, exige cautela.

De fato, embora seja provável que a ANPD reconheça a União Europeia como adequada, a possibilidade de retransferência de dados a países como os Estados Unidos, cuja legislação ainda é marcada por tensões entre vigilância estatal e privacidade individual, impõe uma postura prudente, sobretudo diante da tensão atual no Brasil envolvendo o governo brasileiro, o governo americano, o STF e as Big Techs.

Por ora, o mais adequado deve ser aguardar um desfecho mais claro para esse cenário, bem como o posicionamento definitivo do TJ/UE quanto à validade do Data Privacy Framework.

_______

1 COMISSÃO EUROPEIA. Commission Implementing Decision pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data by Brazil - Draft Adequacy Decision. Bruxelas, 4 set. 2025. Disponível aqui. Acesso em: 9 set. 2025.