Reciprocidade nas transferências internacionais de dados entre Brasil e União Europeia

Depois de longos 7 anos de existência da Lei Geral de Proteção de Dados (LGPD) e há mais de 5 anos em vigor, o Brasil passa a ocupar um espaço de destaque no contexto internacional de proteção de dados pessoais. Por meio de uma decisão de adequação, a Comissão Europeia (CE), reconheceu e considerou o Brasil como um país que se enquadra em um nível adequado de privacidade e proteção de dados, equivalente ao cenário regulatório europeu.

Até hoje, poucas decisões de adequação foram elaboradas e neste sentido, países como Andorra, Argentina, Canadá (limitado a organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coreia (Coreia do Sul), Suíça, Reino Unido, Estados Unidos (para organizações certificadas no EU–US Data Privacy Framework) e Uruguai, fazem parte desta seleta lista que permite que dados pessoais sejam transferidos para esses destinos sem a necessidade de garantias adicionais previstas para países sem decisão de adequação.

Agora, o Brasil também terá o seu espaço de destaque, evidenciando que atingiu os requisitos de aprovação definidos no Regulamento Geral de Proteção de Dados Europeu (RGPD), no artigo 45 desse texto legal que destaca que não basta ter uma lei em vigor para ser considerado um país no mesmo nível que a União Europeia, mas o país também precisa demonstrar que respeita os direitos fundamentais e liberdades individuais, incluindo proteção à privacidade e à proteção de dados. Importante ressaltar que em 2022, o direito a proteção de dados foi incluído no rol dos direitos fundamentais, por força da emenda constitucional número 115, na Constituição Federal do Brasil.

Outra premissa para este reconhecimento é que a lei em vigor, precisa ser compatível com o RGPD, no que tange aos princípios, abrangência e eficácia. Neste aspecto, os princípios que regem o tratamento dos dados pessoais estão alinhados com os princípios da legislação europeia.

Além disso, para compor a lista da CE, a autoridade de proteção de dados precisa ser independente, com poderes efetivos de supervisão, investigação e aplicação da lei, além de ter recursos suficientes para garantir cumprimento das normas. Relembrando que o Brasil começou a se movimentar nesse sentido em 2022, quando a Medida Provisória Nº 1.124 transformou a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial, recentemente, a Medida Provisória 1.317/25, publicada em 18 de setembro de 2025, conferiu à Autoridade Nacional de Proteção de Dados (ANPD) o status de Agência Nacional de Proteção de Dados, fato que também contribuiu fortemente para este momento de formalização da adequação mútua entre a UE e o Brasil.

Neste rumo, outros requisitos são relevantes, mas cabe fixarmos que a decisão de adequação só é concedida quando o país ou organização garante proteção robusta, efetiva e equivalente à da UE, sem lacunas significativas.

Indubitavelmente, esta nova condição do Brasil, não exclui o dever que os agentes de tratamento de dados pessoais (controladores e operadores) possuem de cumprir com a LGPD, apenas facilita o processo de transferência internacional de dados pessoais para os Estados-Membros da UE, uma vez que os demais mecanismos que viabilizam a conformidade das transferências internacionais são considerados complexos, demorados e em alguns casos, custosos.

Diante de todo esse cenário, devemos ficar atentos para a sustentação desse novo patamar, uma decisão de adequação não está escrita em pedra e pode sofrer alterações, basta a ANPD fraquejar na aplicação das suas atribuições, os direitos dos titulares dos dados sejam banalizados, as infrações geradas pelos agentes de tratamento sejam ignoradas para a reputação brasileira despencar.