Adequação de proteção de dados Brasil-União Europeia

27 de janeiro de 2026

Análise – Privacidade & Proteção de Dados

Por Ricardo Mastropasqua, sócio – OAB/SP nº 262.294 – 27 de janeiro de 2026.

Em 27 de janeiro de 2026, Brasil e União Europeia passaram a reconhecer, de forma recíproca, a adequação de seus regimes de proteção de dados. Na prática, dados pessoais podem fluir entre as duas jurisdições com base em decisão de adequação – art. 33, I, da LGPD –, sem Cláusulas-Padrão Contratuais (SCCs) ou normas corporativas globais (BCRs). No Brasil, o reconhecimento foi formalizado pela Resolução CD/ANPD nº 32, de 26 de janeiro de 2026; na União Europeia, por decisão de adequação da Comissão Europeia.

Fontes oficiais: Resolução CD/ANPD nº 32/2026 e comunicados da ANPD e da Comissão Europeia. Análise e recomendações próprias.

Baixar a análise completa em PDF

O que foi decidido

O reconhecimento é mútuo: cada lado reconhece que o outro assegura nível de proteção equivalente, permitindo que dados pessoais circulem de forma direta e simplificada. Tecnicamente, não se trata de tratado nem de acordo internacional com assinatura formal – são atos unilaterais e coordenados: no Brasil, a Resolução CD/ANPD nº 32/2026; na União Europeia, a decisão de adequação da Comissão. É a primeira decisão de adequação obtida pelo Brasil e uma das mais abrangentes já adotadas pela UE, por alcançar simultaneamente os setores público e privado. O resultado é uma das maiores áreas de livre fluxo seguro de dados do mundo, da ordem de 700 milhões de pessoas.

Fundamento jurídico e requisitos institucionais

A base é o art. 33, I, da LGPD, operacionalizado pelo Regulamento de Transferência Internacional de Dados (RTID) – Resolução CD/ANPD nº 19/2024 –, que disciplina os arts. 33 a 36 da Lei. O reconhecimento decorre da constatação de proteção substancialmente similar, ancorada em quatro eixos: existência de normas gerais e setoriais de proteção de dados; medidas técnicas e administrativas de segurança e mitigação de riscos; garantias judiciais e institucionais que assegurem vias de recurso efetivas aos titulares; e, sobretudo, a efetividade e a independência regulatória da ANPD, dotada de poderes fiscalizatórios e sancionatórios reais.

Impacto operacional: fim das SCCs e BCRs nos fluxos Brasil-UE

A adequação elimina a dependência de mecanismos contratuais custosos – Cláusulas-Padrão Contratuais (SCCs) e Regras Corporativas Globais (BCRs) – para os fluxos entre o Brasil e o bloco europeu. A conformidade deixa de ser barreira operacional e passa a funcionar como facilitador de negócios. O escopo territorial é amplo: de Brasil para a União Europeia, abrange os 27 Estados-membros, os países do Espaço Econômico Europeu (Islândia, Liechtenstein e Noruega) e as instituições, órgãos e agências da UE; da União Europeia para o Brasil, alcança os agentes de tratamento sujeitos à LGPD. Ficam de fora, por exceção expressa, as transferências para fins exclusivos de segurança pública, defesa nacional, segurança do Estado e investigação ou persecução penal.

Caráter dinâmico: reavaliação em quatro anos

A decisão não é definitiva. A Resolução CD/ANPD nº 32/2026 prevê reavaliação no prazo de quatro anos a contar de sua entrada em vigor, considerando eventuais alterações legislativas e institucionais. O pilar mais sensível é a permanência da independência regulatória da ANPD: qualquer retrocesso na autonomia do órgão ou no sistema de garantias judiciais pode levar à suspensão da adequação. Para as empresas, a leitura prática é manter programas de governança resilientes, aptos a reativar salvaguardas anteriores – SCCs, BCRs – caso o cenário político-institucional sofra instabilidades que afetem o reconhecimento.

Checklist de conformidade (DPOs e jurídico)

Para uma transição segura, as ações imediatas:

  • Atualizar o ROPA – substituir, no registro de operações, a base de transferência internacional de "Cláusulas Contratuais" por "Decisão de Adequação" (art. 33, I, da LGPD).
  • Revisar avisos de privacidade – informar com transparência aos titulares a nova base legal dos fluxos transfronteiriços.
  • Otimizar contratos – não é preciso rescindir de imediato as SCCs vigentes, mas convém não incluí-las em novos aditivos, evitando redundância e custo.
  • Respeitar as exceções de escopo – dados para segurança pública, defesa nacional ou investigação penal seguem fora da decisão de adequação.
  • Vigiar a ANPD – acompanhar publicações oficiais quanto a condicionantes ou requisitos adicionais no primeiro ciclo quadrienal.

A leitura

O marco consolida o Brasil como protagonista global em proteção de dados e confere uma vantagem competitiva concreta sobre jurisdições que ainda não dispõem do mesmo selo. Para operações de M&A, venture capital e estruturas cross-border, reduz fricção em transações intensivas em dados e facilita a ingestão de datasets europeus no treinamento de modelos de IA. A contrapartida é tratar a conformidade como processo vivo, atento à integridade institucional do país – porque é dela que a adequação depende.

Ricardo Mastropasqua
Sócio – OAB/SP nº 262.294 – M&A, Venture Capital e Proteção de Dados

Posts Relacionados

Contrato de Compra da Anysphere (Cursor) pela SpaceX

Análise – M&A e Venture Capital Por Ricardo Mastropasqua, sócio – OAB/SP nº 262.294 – 20 de junho de 2026. Em 16 de junho de 2026, a SpaceX comprou a Anysphere – dona do Cursor – por um valor implícito de US$ 60 bilhões pagos integralmente em ações, sem um

IA na medicina (Resolução CFM 2.454/2026)

Análise – Direito Médico e Inteligência Artificial Por Ricardo Mastropasqua, sócio – OAB/SP nº 262.294 – 5 de março de 2026. A Resolução CFM nº 2.454/2026 – publicada no DOU em 27 de fevereiro de 2026 e exigível a partir de 26 de agosto de 2026 – inaugura o primeiro

LGPD na due diligence de M&A

Análise – Proteção de Dados e M&A Por Ricardo Mastropasqua, sócio – OAB/SP nº 262.294 – 30 de janeiro de 2026. Em operações de M&A, o compartilhamento de dados pessoais na due diligence não deve se apoiar no consentimento – operacionalmente inviável e revogável a qualquer tempo –, mas no