A Decisão de Adequação da Comissão Europeia para o Brasil

29.12.2025 – A proteção de dados pessoais tornou-se uma pauta central no cenário jurídico e tecnológico global. Com a crescente digitalização da economia e a interconexão de dados através das fronteiras, a harmonização de legislações e o reconhecimento da equivalência na proteção de dados entre diferentes países são passos fundamentais para garantir a segurança jurídica e a fluidez das relações comerciais. A recente decisão da União Europeia de reconhecer o Brasil como um país com um nível de proteção de dados pessoais “essencialmente equivalente” ao seu próprio arcabouço legal representa um marco significativo nesse sentido.

Em 04 de setembro de 2025, a Comissão Europeia publicou um documento relatando a versão preliminar da decisão de adequação do Brasil declarando que o país assegura nível de proteção de dados pessoais equivalente ao previsto na legislação europeia (GDPR) para fins de transferência internacional de dados. Passamos, então, a detalhar os fundamentos e implicações dessa decisão, analisando os pilares que sustentam o sistema brasileiro de proteção de dados, desde seu arcabouço constitucional até os mecanismos de fiscalização e execução, bem como o acesso e uso de dados por autoridades públicas, alcançando o impacto dessa decisão e o papel contínuo das autoridades de proteção de dados.

A base para a proteção dos direitos fundamentais no Brasil reside em sua Constituição Federal de 1988, um documento abrangente que estabelece os direitos e garantias individuais dos cidadãos. A evolução da sociedade e a crescente importância dos dados pessoais no ambiente digital levaram a uma atualização fundamental deste arcabouço.

A proteção da privacidade e dos dados pessoais é intrínseca aos direitos fundamentais brasileiros.

É notável a inclusão do inciso LXXIX ao Artigo 5º, por meio da Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Esta emenda elevou a proteção de dados pessoais ao status de direito fundamental explícito, garantindo-o não apenas em ambientes digitais, mas em todas as suas manifestações. Conforme o portal do Governo Federal brasileiro, essa inclusão reforça o compromisso do Brasil com a privacidade e a proteção de dados, alinhando-se às tendências globais. A mudança no texto constitucional é um pilar robusto para a segurança jurídica e para a proteção dos indivíduos em face das novas tecnologias. A amplitude da proteção constitucional brasileira vai além de seus cidadãos.

Isso demonstra um compromisso abrangente com os direitos humanos, garantindo que qualquer pessoa, independentemente de sua nacionalidade ou residência, possa invocar as proteções constitucionais em solo brasileiro e, em alguns casos, mesmo no exterior.

Adicionalmente, a adesão do Brasil a tratados internacionais reforça ainda mais sua estrutura de direitos. O país ratificou a Convenção Americana sobre Direitos Humanos, conhecida como o “Pacto de San José”, em 1992. Esta Convenção, em seu Artigo 11, garante o direito à privacidade e, no Artigo 8, protege o direito a um julgamento justo. O Brasil também reconheceu a autoridade vinculante da Corte Interamericana de Direitos Humanos, permitindo que suas decisões influenciem a aplicação de direitos, inclusive no contexto de atividades de autoridades públicas relacionadas à segurança e defesa.

A inclusão da proteção de dados como direito fundamental na Constituição e a adesão a convenções internacionais são demonstrações claras de que o Brasil estabelece uma base sólida e ampla para a privacidade e a segurança de dados, elementos cruciais para a equiparação com os padrões europeus.

A base legislativa para a proteção de dados pessoais no Brasil é a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018. Esta legislação representa um avanço significativo, sendo amplamente inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, estabelecendo um conjunto robusto de princípios, direitos e obrigações para o tratamento de dados pessoais.

Desde sua promulgação, a LGPD tem sido fortalecida e clarificada por meio de legislações subsequentes. Um passo crucial foi a criação da Autoridade Nacional de Proteção de Dados (ANPD) pela Lei nº 13.853/2019, que posteriormente foi transformada em uma autoridade independente pela Lei nº 14.460/2022. Essa independência confere à ANPD maior autonomia para desempenhar seu papel regulatório e fiscalizador, essencial para a efetividade da lei. O portal do Governo Federal ressalta a importância da ANPD para fiscalizar e regulamentar a aplicação da LGPD, destacando sua transformação em uma autarquia independente para maior autonomia.

A ANPD desempenha um papel proativo na interpretação e aplicação da LGPD, emitindo regulamentos vinculativos e orientações para diversos aspectos da lei, como o regime de sanções, a notificação de incidentes de segurança e a interpretação de bases legais, como o legítimo interesse. Essa atuação constante da ANPD é fundamental para a adaptação e aprimoramento contínuo do arcabouço legal.

No cenário internacional, a ANPD tem se engajado ativamente na promoção da proteção de dados. Em 2023, tornou-se membro da Global Privacy Assembly, ao lado de autoridades de proteção de dados da União Europeia, e participa como observadora do Comitê da Convenção 108 do Conselho da Europa. O Brasil também tem liderado avanços nas Nações Unidas sobre o direito à privacidade, co-introduzindo resoluções sobre o direito à privacidade na era digital, que condenam a vigilância e interceptação arbitrárias de comunicações e a coleta ilícita de dados pessoais, e instam os estados a criar mecanismos de supervisão independentes. Isso demonstra o alinhamento do Brasil com as melhores práticas e debates globais sobre proteção de dados.

A estrutura e os componentes principais do arcabouço legal brasileiro são bastante similares aos da União Europeia, baseando-se não apenas em obrigações legais domésticas e direitos constitucionais, mas também em obrigações do direito internacional, como a adesão à Convenção Americana sobre Direitos Humanos.

Alcance Material e Territorial da LGPD

A LGPD possui um alcance de aplicação abrangente, aplicando-se a qualquer operação de tratamento de dados pessoais realizada em território brasileiro, independentemente dos meios utilizados. Sua aplicabilidade territorial é definida de forma similar ao GDPR, cobrindo:

1. Atividades de tratamento realizadas no território nacional.
2. Atividades de tratamento que visam oferecer bens ou serviços a indivíduos localizados no Brasil.
3. Dados pessoais coletados em território brasileiro.

Adicionalmente, a LGPD abrange o tratamento de dados de pessoas naturais que se encontrem no território nacional, incluindo o monitoramento de comportamento, independentemente de onde os dados sejam processados. A jurisprudência do Supremo Tribunal Federal (STF) também garante que as proteções constitucionais de direitos fundamentais se aplicam a qualquer pessoa, independentemente de sua nacionalidade ou residência.

Definições de Dados Pessoais e Tratamento

A LGPD estabelece definições claras para seus termos centrais:

• Dados Pessoais: “informação relacionada a pessoa natural identificada ou identificável” (Art. 5º, I). O “titular dos dados” é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (Art. 5º, V).

• Dados Pseudonimizados: informações que não podem identificar direta ou indiretamente um indivíduo sem o uso de informações adicionais, são consideradas dados pessoais sob a LGPD (Art. 13).

• Dados Anonimizados: informações que não podem ser associadas a um indivíduo por meios razoáveis e técnicos disponíveis. Dados anonimizados são excluídos do escopo da LGPD, exceto quando o processo de anonimização puder ser revertido por “esforços razoáveis” (Art. 5º e Art. 12). A abordagem da LGPD à anonimização e às salvaguardas para re-identificação é similar à da UE.

• Tratamento: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Art. 5º, X).

Controladores e Operadores de Dados

A LGPD define claramente os papéis e responsabilidades:

• Controlador: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, VI).

• Operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, VII).

O operador deve conduzir o tratamento de acordo com as instruções do controlador, que é responsável por verificar a conformidade (Art. 39). Ambos devem manter um registro das operações de tratamento, especialmente quando baseadas em legítimo interesse (Art. 37). A LGPD estabelece responsabilidade solidária em casos de danos aos titulares, similar ao Capítulo IV do Regulamento (UE) 2016/679.

Exceções a Certas Disposições da LGPD

Assim como no sistema europeu, a LGPD não se aplica a dados anonimizados (Art. 12), tratamento para fins exclusivamente particulares (domésticos) (Art. 4º, I) ou para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou investigação e repressão de infrações penais (Art. 4º, III). No entanto, esta última exceção é parcial, pois os princípios e direitos fundamentais da LGPD ainda se aplicam. A Suprema Corte Federal confirmou que a LGPD se aplica parcialmente, exigindo que condições sejam estabelecidas para o tratamento de dados nesses contextos, instruindo a ANPD a emitir pareceres técnicos e a solicitar avaliações de impacto à proteção de dados.

Outras exceções parciais incluem o tratamento de dados para fins de pesquisa acadêmica e para fins jornalísticos e artísticos (Art. 4º, II). Para pesquisa acadêmica, a isenção é limitada e os Artigos 7º (base legal) e 11 (dados sensíveis) ainda se aplicam. A ANPD emitiu um guia orientativo para especificar as regras, confirmando a aplicação parcial da LGPD e dos princípios gerais da lei. Para pesquisa em saúde, a LGPD impõe limitações adicionais, como obrigações de segurança para bancos de dados e a proibição de transferência de dados para terceiros em certas circunstâncias (Art. 13).

Para fins jornalísticos e artísticos, a isenção é similar ao Artigo 85(2) do Regulamento (UE) 2016/679, cobrindo situações em que o tratamento é feito “exclusivamente” para esses propósitos. Quando houver outros fins (e.g., recursos humanos), a LGPD se aplica integralmente. A liberdade de expressão (Art. 5º, IX da Constituição) é equilibrada com o direito à privacidade e proteção de dados, com a possibilidade de indenização por danos, conforme interpretado pelo STF e integrado ao Marco Civil da Internet.

Por fim, a LGPD isenta do seu escopo o tratamento de dados originados fora do Brasil que não são compartilhados no país ou que provêm de um país considerado adequado sob a LGPD, desde que não sejam transferidos para outro país (Art. 4º, IV). A Regulamentação de Transferência de Dados da ANPD esclarece que o mero trânsito de dados sem processamento adicional no Brasil seria excluído, mas o acesso ou uso dos dados no país ativaria a LGPD.

Este arcabouço detalhado e em constante evolução demonstra o compromisso do Brasil em estabelecer um sistema de proteção de dados robusto e comparável aos padrões internacionais, especialmente aos da União Europeia.

A LGPD estabelece um conjunto abrangente de salvaguardas, direitos e obrigações que visam proteger os dados pessoais e garantir que seu tratamento seja realizado de forma ética e transparente. Esses elementos são cruciais para o reconhecimento da equivalência com o GDPR europeu.

Licitude e Lealdade do Tratamento

O tratamento de dados pessoais deve ser lícito e leal. Os princípios de licitude, boa-fé e transparência, juntamente com as bases legais para o tratamento, estão garantidos nos Artigos 6º e 7º da LGPD, seguindo uma abordagem similar aos Artigos 5º e 6º do Regulamento (UE) 2016/679. Controladores e operadores devem tratar informações pessoais de forma lícita e de boa-fé, na medida mínima necessária para o propósito especificado, cobrindo dados que sejam relevantes, proporcionais e não excessivos em relação à finalidade.

As bases legais para o tratamento de dados pessoais, conforme o Artigo 7º da LGPD, incluem:

• Consentimento do titular.
• Necessidade para a execução de contrato ou procedimentos preliminares.
• Cumprimento de obrigação legal ou regulatória.
• Proteção da vida ou incolumidade física do titular ou terceiro.
• Tratamento pela administração pública para execução de políticas públicas.
• Legítimo interesse do controlador ou terceiro, ressalvados os direitos fundamentais do titular.
• Realização de estudos por órgãos de pesquisa, com anonimização sempre que possível.
• Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
• Proteção da saúde, exclusivamente em procedimento realizado por profissionais de saúde.
• Proteção ao crédito.

Critérios para o Consentimento

O consentimento é uma das bases legais mais importantes e é rigorosamente regulamentado. O Artigo 8º da LGPD estabelece requisitos formais para a obtenção de consentimento válido, alinhando-se aos Artigos 4(11) e 7 do Regulamento (UE) 2016/679:

• Deve ser expresso (por escrito ou por outro meio que demonstre a manifestação de vontade), inequívoco, claro e positivo. Consentimentos tácitos ou por omissão são inválidos.
• Deve ser para “finalidades determinadas”, sendo nulas as autorizações genéricas.
• Deve ser informado de maneira transparente, clara e inequívoca.
• Se incluído em um contrato mais amplo, deve estar em cláusula destacada.
• É inválido se contiver conteúdo enganoso ou abusivo.
• O controlador deve informar sobre quaisquer mudanças na finalidade, tipo/duração do tratamento, identidade do controlador, ou compartilhamento de dados.
• Pode ser revogado a qualquer momento pelo titular, de forma gratuita.
• O controlador tem o ônus da prova de que o consentimento foi obtido licitamente.

Em situações em que o consentimento seria a base legal apropriada, a LGPD estabelece que o requisito de consentimento é dispensado se os dados pessoais foram tornados “manifestamente públicos pelo titular” (Art. 7º, § 4º). No entanto, mesmo neste caso, os controladores e operadores não estão isentos de cumprir as demais obrigações da LGPD, e o tratamento deve ser para uma finalidade “legítima e específica”, garantindo os direitos dos titulares.

Critérios para o Legítimo Interesse

O legítimo interesse como base legal é abordado com cautela na LGPD. O Artigo 7º, IX, estabelece que o tratamento com base em legítimo interesse não pode conflitar com os direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais, similar ao Artigo 6(1)(f) do Regulamento (UE) 2016/679.

O Artigo 10 da LGPD impõe condições adicionais: o tratamento deve ser “estritamente necessário” para a finalidade pretendida, e os controladores devem implementar medidas para garantir a transparência de suas atividades. O legítimo interesse só pode ser invocado em “situações particulares”.

A ANPD publicou um “Guia de Legítimo Interesse” que detalha as condições para seu uso. Ele esclarece que o legítimo interesse não pode ser usado para dados sensíveis e fornece um modelo para o teste de ponderação de direitos e liberdades fundamentais. Três condições devem ser atendidas para que um interesse seja considerado legítimo:

1. Compatibilidade com o sistema jurídico brasileiro: não deve ser proibido por lei e não pode contradizer disposições legais ou princípios.
2. Referência a uma situação específica: deve ser baseado em situações concretas, claras e precisas, com interesses bem definidos, e não abstratos ou especulativos.
3. Propósito específico e explícito: o propósito do tratamento deve ser claro e preciso, delimitando o escopo e permitindo a ponderação dos interesses com os direitos e expectativas legítimas dos titulares.

Tratamento de Categorias Especiais de Dados

A LGPD prevê salvaguardas específicas para “dados pessoais sensíveis”, definidos no Artigo 5º, II, como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.” A jurisprudência brasileira expandiu essa definição para cobrir outros tipos de informações que possam ser usadas para discriminar indivíduos, incluindo registros criminais, seguindo o princípio da não-discriminação (Art. 6º, IX).

O tratamento de dados sensíveis exige consentimento “específico e destacado” do titular (Art. 11, I). Na ausência de consentimento, o tratamento é permitido em hipóteses específicas, como cumprimento de obrigação legal/regulatória, execução de políticas públicas, proteção da vida ou incolumidade física, exercício de direitos, proteção da saúde, pesquisa (com anonimização), e prevenção de fraudes/segurança em sistemas eletrônicos (Art. 11, II).

Limitação da Finalidade

Os dados pessoais devem ser coletados para uma finalidade específica e compatível com o propósito do tratamento. O Artigo 6º, I, da LGPD estabelece que os dados devem ser tratados para “propósitos legítimos, específicos, explícitos e informados ao titular”, sem possibilidade de tratamento posterior “incompatível” com a finalidade original.

Qualquer atividade de tratamento deve ser compatível com os propósitos comunicados ao titular (Art. 6º, II). A ANPD esclarece que, para o tratamento para outra finalidade ser compatível, deve haver um vínculo entre as finalidades e serem consideradas as “legítimas expectativas” dos titulares.

Qualidade e Minimização dos Dados

Os dados devem ser exatos, e, quando necessário, atualizados. Devem ser adequados, relevantes e não excessivos em relação às finalidades para as quais são tratados. Estes princípios são garantidos na LGPD pelos princípios da “qualidade dos dados” (Art. 6º, III) e da “necessidade” (Art. 6º, V). O controlador e o operador devem garantir que os dados pessoais sejam precisos, claros, relevantes e atualizados, e que o tratamento seja limitado ao mínimo necessário para atingir a(s) finalidade(s) específica(s), cobrindo dados que sejam relevantes, proporcionais e não excessivos.

Limitação do Armazenamento

Os dados devem, em princípio, ser mantidos apenas pelo tempo necessário para as finalidades para as quais foram tratados. O Capítulo II, Seção IV, da LGPD, dedicado ao “término do tratamento de dados”, exige que todos os dados pessoais sejam eliminados após o término do tratamento para uma finalidade definida (Art. 16). Exceções para a retenção incluem: cumprimento de obrigações legais/regulatórias, pesquisa (com anonimização), transferência a terceiros (em conformidade com a LGPD) ou uso exclusivo pelo controlador (com anonimização e proibição de acesso por terceiros).

Segurança dos Dados

A segurança dos dados é um pilar fundamental da LGPD. Os dados pessoais devem ser tratados de forma a garantir sua segurança, incluindo proteção contra acesso não autorizado ou ilícito, e contra perda, destruição ou dano acidentais. O Artigo 6º, VII, da LGPD exige o uso de “medidas técnicas e administrativas” para proteger dados pessoais contra acessos não autorizados e tratamento acidental ou ilícito. O Artigo 6º, VIII, exige a adoção de medidas para “prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.

O Artigo 44 da LGPD estabelece que o tratamento de dados é ilícito quando não atende aos padrões de segurança esperados pelo titular, sendo o nível apropriado de segurança determinado pelas circunstâncias do tratamento, o nível de risco esperado e as técnicas disponíveis. O Artigo 46 impõe a controladores e operadores a obrigação de adotar medidas de segurança desde a concepção até a execução do produto ou serviço. A ANPD pode estabelecer padrões mínimos de segurança.

A LGPD também prevê a notificação de incidentes de segurança. Conforme o Artigo 48, em caso de incidente que possa gerar risco ou dano relevante aos titulares, o controlador é obrigado a notificar a ANPD e os titulares. A notificação deve ocorrer em um prazo razoável (3 dias ou 72 horas, conforme regulamento da ANPD) e incluir informações detalhadas sobre o incidente. A abordagem é similar aos Artigos 33 e 34 do Regulamento (UE) 2016/679. A ANPD definiu “incidente” como “qualquer evento adverso confirmado relacionado à violação da confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.

Transparência

A transparência é fundamental para que os titulares dos dados possam exercer seus direitos. O Artigo 6º, VI, da LGPD estabelece que os titulares devem receber informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados e os respectivos agentes de tratamento, ressalvado o “segredo comercial e industrial”.

O Artigo 9º da LGPD lista as informações a serem fornecidas aos titulares, incluindo: propósito específico do tratamento, tipo e duração do tratamento, identificação e contato do controlador, informações sobre possível compartilhamento de dados, responsabilidades dos agentes de tratamento e direitos dos titulares. A limitação relacionada ao “segredo comercial e industrial” é interpretada à luz da Lei de Acesso à Informação (LAI), que prioriza a divulgação de informações, com exceções justificadas para proteger segredos de negócios sem impedir o cumprimento da lei.

Direitos Individuais

A LGPD, em seu Capítulo III, estabelece os direitos dos titulares de forma similar aos Artigos 15 a 22 do Regulamento (UE) 2016/679. O exercício de todos os direitos é gratuito e os titulares devem ser informados sobre eles. Quaisquer violações dos direitos dos titulares são consideradas infrações “médias” ou “graves” pela ANPD, sujeitas aos mais altos níveis de sanções e multas. A ANPD tem recebido um número crescente de reclamações e solicitações de indivíduos, especialmente após a introdução de uma plataforma modernizada para envio de pedidos.

Os principais direitos incluem:

• Direito de Acesso e Informação (Art. 9º e Art. 18, II): Obter informações sobre o tratamento de seus dados a qualquer momento, incluindo a identidade do controlador, propósito, compartilhamento, duração e seus próprios direitos. O acesso deve ser fornecido “imediatamente, em formato simplificado” ou “em 15 dias, por meio de declaração clara e completa” (Art. 19).
• Direito de Retificação (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Direito de Eliminação/Exclusão (Art. 18, IV e VI): Solicitar a eliminação de dados desnecessários, excessivos, tratados com consentimento (quando revogado) ou ilicitamente.
• Direito de Oposição/Restrição (Art. 15 e Art. 18, IV): Opor-se ao tratamento baseado em outras bases legais que não o consentimento, em caso de não conformidade com a LGPD, ou solicitar o bloqueio do tratamento quando os dados forem desnecessários, excessivos ou tratados de forma não conforme.
• Direito à Portabilidade (Art. 19, § 3º): Solicitar uma cópia eletrônica de seus dados para uso por outras entidades, quando os dados foram tratados com base em consentimento ou contrato.
• Direitos em Relação à Decisão Automatizada (Art. 20): Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses, com direito a informações claras sobre os critérios e procedimentos utilizados. O “segredo comercial e industrial” não pode ser motivo para recusar o atendimento.

Legislações específicas, como a Lei do Habeas Data e a Lei do Processo Administrativo Federal, fortalecem os direitos de acesso e informação quando se trata de dados tratados por autoridades públicas.

Transferências Internacionais de Dados

A LGPD, em seu Capítulo V, estabelece um rigoroso quadro para as transferências internacionais de dados pessoais, complementado por um Regulamento vinculativo da ANPD sobre o tema. As regras se aplicam a todo o tratamento abrangido pela LGPD, independentemente dos meios técnicos, localização geográfica dos dados ou presença física do controlador/operador.

As transferências internacionais de dados só são permitidas sob três condições cumulativas:

1. Devem ser realizadas para finalidades legítimas, específicas e explícitas, informadas ao titular, sem possibilidade de tratamento posterior incompatível.
2. Devem basear-se em uma base legal válida conforme a LGPD (Art. 7º ou Art. 11 para dados sensíveis).
3. Deve ser utilizado um mecanismo de transferência válido.

Os mecanismos de transferência incluem:

• Decisão de Adequação: A ANPD pode adotar uma decisão de adequação para um terceiro país ou organização internacional, considerando critérios similares aos da UE, como a legislação geral e setorial, a natureza dos dados, a proteção dos direitos dos titulares, medidas técnicas/organizacionais de segurança e a existência de uma autoridade supervisora independente. A ANPD está atualmente trabalhando em uma decisão de adequação para a União Europeia.
• Garantias de Conformidade: Os controladores podem assegurar a conformidade através de:
  • Cláusulas contratuais específicas.
  • Cláusulas Contratuais Padrão (CCP) aprovadas pela ANPD. A ANPD já adotou um conjunto de cláusulas modelo modulares que cobrem requisitos de proteção de dados.
  • Normas Corporativas Vinculantes (BCR), sujeitas à aprovação prévia da ANPD e com requisitos de validade detalhados.
  • Selos, certificações e códigos de conduta aprovados pela ANPD.
• Outras bases para transferência: Necessidade para cooperação jurídica internacional, proteção da vida ou incolumidade física, autorização da ANPD, compromisso de cooperação internacional, execução de política pública/obrigação legal, consentimento do titular (com informação prévia da natureza do tratamento), ou cumprimento de obrigação legal/regulatória para contrato/exercício de direitos em processos.

O Regulamento de Transferência de Dados da ANPD enquadra estritamente o uso dessas bases para garantir a continuidade da proteção, assegurando que as transferências internacionais sejam realizadas em conformidade com os princípios e direitos do titular, mantendo o nível de proteção da LGPD.

Prestação de Contas

O princípio da prestação de contas, ou accountability, exige que as entidades que tratam dados implementem medidas técnicas e organizacionais adequadas para cumprir suas obrigações de proteção de dados e demonstrar essa conformidade à autoridade competente. O Artigo 6º, IX, da LGPD estabelece que o controlador e o operador devem adotar medidas “eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais”.

Para garantir a accountability, o Artigo 50 da LGPD permite a adoção de regras internas e modelos de governança, incluindo a gestão de reclamações e solicitações dos titulares, observando obrigações de segurança e mitigação de riscos.

A LGPD também exige a nomeação de um Encarregado de Dados (DPO) (Art. 41), que atua como elo entre o controlador, os titulares e a ANPD. A identidade do DPO deve ser publicamente divulgada. A ANPD pode isentar certas microempresas, pequenas empresas, startups e organizações sem fins lucrativos da obrigação de nomear um DPO, desde que não realizem tratamento de dados de “alto risco”. Um tratamento é considerado de alto risco se envolver, cumulativamente:

1. Tratamento de dados pessoais em larga escala.
2. Tratamento de dados que possa impactar significativamente os direitos e interesses fundamentais dos titulares. E, adicionalmente, pelo menos uma das seguintes características específicas:
3. Uso de tecnologia emergente ou inovadora.
4. Vigilância ou controle de áreas acessíveis ao público.
5. Processos de decisão unicamente automatizados.
6. Tratamento de dados sensíveis ou de crianças e adolescentes.

A ANPD emitiu um regulamento sobre o papel do DPO, que detalha suas atribuições e reforça a obrigação de independência, acesso à alta gerência e atuação com ética e integridade. A fiscalização da ANPD tem priorizado o cumprimento das disposições sobre o DPO, com aplicação de sanções em casos de não conformidade.

As Avaliações de Impacto à Proteção de Dados (DPIA) são outra ferramenta importante de accountability. O Artigo 38 da LGPD permite que a ANPD solicite um DPIA, que deve incluir uma descrição do tratamento, medidas, salvaguardas e mecanismos para mitigar riscos.

Em suma, o arcabouço de salvaguardas, direitos e obrigações da LGPD é abrangente, detalhado e em constante aprimoramento pela ANPD, evidenciando uma estrutura que busca a equivalência essencial com os padrões europeus.

A efetividade de qualquer legislação de proteção de dados depende de uma fiscalização robusta e de mecanismos de execução eficientes. No Brasil, essa responsabilidade recai principalmente sobre a Autoridade Nacional de Proteção de Dados (ANPD), que se estabeleceu como um órgão independente e com poderes amplos.

Supervisão Independente

A ANPD foi criada pelo Artigo 55-A da LGPD e teve sua independência consolidada pela Lei nº 14.460/2022. Essa transformação a elevou ao status de “autarquia de natureza especial, com autonomia técnica e decisória, patrimônio próprio e sede no Distrito Federal”, conforme detalhado no Draft Adequacy Decision – Brazil – LGPD – FINAL – September 2025. Essa autonomia é fundamental para que a ANPD possa cumprir suas funções sem interferências, incluindo a gestão administrativa e financeira.

Os recursos da ANPD provêm principalmente do orçamento federal, complementados por doações e outros créditos, conforme o Artigo 55-L da LGPD. Desde sua criação em 2021, a autoridade tem crescido exponencialmente, aumentando seu quadro de funcionários e seu orçamento anual.

A ANPD é composta por um Conselho Diretor (seu órgão máximo), um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo) e diversas unidades administrativas (Recital 127). O Conselho Diretor é formado por cinco diretores, incluindo o Presidente, nomeados pelo Presidente da República após aprovação do Senado Federal para mandatos de quatro anos. Para garantir a independência, os diretores devem ser brasileiros com alta qualificação e são proibidos de se envolver em atividades lucrativas, políticas ou de gestão/aconselhamento em empresas. Existem também restrições severas para evitar conflitos de interesse, inclusive após o término do mandato. A demissão de diretores só pode ocorrer sob circunstâncias específicas (renúncia, condenação judicial, processo administrativo disciplinar), oferecendo proteção institucional no exercício de suas funções.

As tarefas e poderes da ANPD, detalhados no Artigo 55-J da LGPD, são vastos e incluem:

• Elaboração de políticas e diretrizes de proteção de dados.
• Promoção de padrões que facilitem o controle dos titulares sobre seus dados.
• Investigação de infrações e tratamento de reclamações.
• Aplicação da LGPD e emissão de sanções.
• Promoção da educação em proteção de dados.
• Cooperação com autoridades de proteção de dados de outros países (Recital 131).

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por representantes do Executivo, Legislativo, Judiciário, sociedade civil, sindicatos e setor empresarial, possui um papel consultivo, emitindo recomendações e promovendo debates, mas sem poderes de monitoramento ou execução.

Execução, incluindo Sanções

Para garantir a conformidade, a ANPD possui amplos poderes investigatórios e corretivos.

• Poderes Investigatórios: A ANPD pode realizar auditorias e inspeções in loco em controladores dos setores público e privado, e solicitar qualquer informação necessária, especialmente em casos de suspeita ou denúncia de violação da LGPD. Os controladores e operadores são obrigados a permitir o acesso da ANPD a instalações, sistemas, documentos e dados relevantes.
• Poderes Corretivos e Sanções: A ANPD pode impor advertências, multas e outras sanções, como ordens para suspender temporariamente o tratamento de dados ou eliminá-los. Essas sanções podem ser aplicadas a entidades públicas e privadas, embora multas e multas diárias não possam ser impostas a entidades públicas. As advertências podem incluir prazos para a adoção de medidas corretivas.

A LGPD prevê multas administrativas de até 2% do faturamento da pessoa jurídica no Brasil, limitadas a R$ 50 milhões por infração (Art. 52, II), que podem ser cumulativas em caso de múltiplas violações. Em casos de não conformidade, a ANPD pode aplicar multas diárias de até R$ 50 milhões, aplicadas cumulativamente até o cumprimento da obrigação.

A ANPD categoriza as sanções em três níveis de gravidade: leve, média e grave, com base em fatores como tipo e volume de dados processados, tipo de tratamento e impacto nos direitos dos titulares. Violações envolvendo dados pessoais sensíveis são sujeitas ao nível mais alto de sanções. O regulamento de sanções da ANPD inclui uma metodologia para o cálculo de multas, considerando fatores agravantes e atenuantes.

A ANPD tem demonstrado um forte histórico de execução, aplicando as primeiras multas monetárias meses após a adoção de seu regulamento de sanções. As sanções e recomendações foram emitidas contra autoridades públicas e operadores privados, abrangendo desde a falta de nomeação de um DPO até incidentes de segurança e falha na cooperação com a ANPD. Em julho de 2024, por exemplo, a ANPD emitiu uma ordem para uma grande plataforma de mídia social suspender o tratamento de dados pessoais para treinamento de sistemas de inteligência artificial generativa, impondo uma multa diária de R$ 50.000 até que o processamento estivesse em conformidade com a LGPD.

É importante salientar que as sanções administrativas da LGPD não substituem a aplicação de outras sanções civis e criminais, como as previstas no Código de Defesa do Consumidor e no Marco Civil da Internet. Isso garante uma camada adicional de proteção aos titulares de dados.

Em conclusão, o sistema brasileiro de fiscalização e execução, liderado pela ANPD, é robusto e atua de forma eficaz para garantir a conformidade com as regras de proteção de dados, o que é fundamental para o reconhecimento da equivalência com os padrões europeus.

• Acesso e Uso dos Dados Pessoais pelas Autoridades Públicas do Brasil

A avaliação da equivalência de proteção de dados pela União Europeia também considera as limitações e salvaguardas, incluindo os mecanismos de supervisão e recurso individual, disponíveis na legislação brasileira em relação à coleta e uso de dados pessoais por autoridades públicas, especialmente para fins de aplicação da lei penal e segurança nacional.

A Comissão Europeia, conforme o Draft Adequacy Decision – Brazil – LGPD – FINAL – September 2025, avaliou se as condições de acesso governamental aos dados transferidos para o Brasil atendem ao teste de “equivalência essencial” em linha com o Artigo 45(1) do Regulamento (UE) 2016/679 e a Carta dos Direitos Fundamentais da União Europeia. Os critérios considerados incluem:

1. Qualquer limitação ao direito à proteção de dados pessoais deve ser prevista em lei e a base legal deve definir o escopo da limitação.
2. A legislação deve estabelecer regras claras e precisas, impondo salvaguardas mínimas e sujeitando o cumprimento dessas exigências a uma supervisão independente, para garantir a proporcionalidade e a proteção contra abusos.
3. As exigências legais devem ser vinculativas para as autoridades e executáveis perante os tribunais. Os titulares devem ter a possibilidade de recorrer a um tribunal independente para acessar, retificar ou eliminar seus dados.

Quadro Legal Geral

O acesso a dados pessoais por autoridades públicas brasileiras é regido por um quadro legal abrangente:

• Princípio da Legalidade: O acesso é governado pelo princípio geral da legalidade, do qual derivam os princípios da razoabilidade, necessidade e proporcionalidade, consagrados na Constituição Federal. Os direitos e liberdades fundamentais só podem ser restringidos por lei e quando necessário para imperativos de segurança nacional, segurança pública ou outros fins de interesse público especificados em lei, devendo ser razoáveis e proporcionais.
• Habeas Data: A Constituição garante o Habeas Data como um recurso constitucional para proteger o direito de acesso, retificação e eliminação de dados pessoais mantidos por autoridades públicas ou em conjuntos de dados públicos. Qualquer pessoa, independentemente da nacionalidade, pode iniciar uma ação de Habeas Data.
• Leis Específicas: Leis como o Marco Civil da Internet (exigindo ordem judicial prévia para acesso a dados online) e a Lei de Interceptação Telefônica (com medidas específicas para dados de telecomunicações) regulam o acesso a dados. Na área de segurança nacional, a Lei que estabelece o Sistema Brasileiro de Inteligência prevê medidas para acesso lícito a dados.
• Aplicação Parcial da LGPD: A LGPD aplica-se parcialmente ao tratamento de dados pessoais por autoridades públicas, incluindo para fins de aplicação da lei e segurança nacional. Os princípios e objetivos da LGPD se aplicam, e a ANPD pode emitir opiniões técnicas e exigir Avaliações de Impacto à Proteção de Dados (DPIA) para essas atividades.
• Controle Judicial: Indivíduos podem invocar seus direitos constitucionais perante o Supremo Tribunal Federal (STF) e buscar reparação perante órgãos de supervisão independentes (como a ANPD) e tribunais.

Acesso e Uso por Autoridades Públicas Brasileiras para Fins de Aplicação da Lei Penal

A legislação brasileira impõe limitações ao acesso e uso de dados pessoais para fins de aplicação da lei penal, com mecanismos de supervisão e recurso que estão em conformidade com os requisitos da UE.

• Ordem Judicial Prévia: Como regra geral, o acesso a dados pessoais para fins de aplicação da lei penal requer uma ordem judicial prévia, emitida por autoridade judicial competente. Excepcionalmente, a polícia e o Ministério Público podem acessar dados de pessoas sob investigação incluídos em registros públicos (dados de qualificação pessoal, filiação e endereço).
• Autoridades Competentes: As autoridades autorizadas a acessar dados com ordem judicial incluem a Polícia Civil, Polícia Federal, Ministério Público (estadual e federal), Juízes e Tribunais, e Comissões Parlamentares de Inquérito.
• Tipos de Acesso com Ordem Judicial (Art. 3-B do Código Penal): interceptação de comunicações, quebra de sigilos fiscal/bancário/de dados/telefônico, busca e apreensão domiciliar, acesso a informações secretas, e outras medidas que restrinjam direitos fundamentais do investigado.
• Interceptação de Comunicações: A confidencialidade das comunicações é um direito fundamental. A interceptação é uma medida subsidiária e excepcional, permitida apenas com ordem judicial prévia e em casos específicos, quando não houver outros meios de investigação. A Lei de Interceptação Telefônica estabelece condições rigorosas, como ausência de outras provas, e limita o período da autorização a 15 dias, prorrogável. Conteúdo não relacionado à investigação é considerado “inutilizável”. Para comunicações online, o Marco Civil da Internet também exige ordem judicial para acesso ao conteúdo e dados de conexão.
• Quebra de Sigilos (Fiscal, Bancário, de Dados): A proteção constitucional para a confidencialidade desses dados é robusta. A quebra de sigilo fiscal e bancário é excepcional e só pode ocorrer por ordem judicial e para a investigação ou persecução de crimes específicos listados (terrorismo, tráfico, crimes contra o sistema financeiro/administração pública/tributário, lavagem de dinheiro, organização criminosa). O não cumprimento dessa limitação constitui crime.
• Buscas e Apreensões: A Constituição Federal estabelece que buscas e apreensões só podem ocorrer em circunstâncias excepcionais, previstas em lei e com base em ordem judicial. Exceções incluem flagrante delito, desastre natural e socorro. Jurisprudência do STF impede buscas baseadas em “denúncias anônimas” ou “comportamento suspeito” sem mandado.
• Acesso a Informações Confidenciais: A Lei de Acesso à Informação (LAI) define “informação confidencial” como aquela temporariamente restrita por ser essencial à segurança da sociedade e do Estado. O acesso a essas informações para fins penais segue as mesmas exigências de ordem judicial e excepcionalidade.
• Uso Posterior da Informação: A LGPD se aplica ao compartilhamento de dados pessoais entre órgãos públicos, incluindo aqueles entre agências de aplicação da lei e inteligência. O STF decidiu que o compartilhamento deve ter finalidade legítima, específica e explícita, ser compatível, minimizado e cumprir a LGPD. O compartilhamento internacional de dados é regido por instrumentos de direito internacional, com o Ministério da Justiça e Segurança Pública atuando como autoridade central.
• Supervisão para Aplicação da Lei Penal: As atividades das autoridades são supervisionadas pelo Judiciário (que autoriza e impõe penalidades), pelo Ministério Público (com controle externo sobre as atividades policiais) e pela ANPD (em relação a certos requisitos da LGPD).
• Recurso para Aplicação da Lei Penal: O sistema oferece diversas vias judiciais e administrativas para recurso, incluindo indenização por danos (materiais e morais, conforme Constituição e LGPD), Habeas Data e reclamações à ANPD. O STF, em 2020, em decisão histórica (ADI 6387), reconheceu a proteção de dados como direito fundamental, suspendendo uma ordem executiva que previa o compartilhamento de dados de telecomunicações.

Acesso e Uso por Autoridades Públicas Brasileiras para Fins de Segurança Nacional

O acesso e uso de dados para fins de segurança nacional também são caracterizados por regras claras e salvaguardas.

• Lei do Sistema Brasileiro de Inteligência (SISBIN): As atividades de inteligência são regidas pela Lei do SISBIN (Lei nº 9.883/1999), que estabelece que o sistema deve cumprir e preservar os direitos e garantias individuais, a Constituição, tratados e convenções internacionais, garantindo os princípios de necessidade e proporcionalidade.
• Conceito de Segurança Nacional: O conceito de segurança nacional é delineado por uma lei de 2021 que modificou o Código Penal, estabelecendo uma lista exaustiva de “crimes” contra a segurança nacional, como crimes contra a soberania nacional, instituições democráticas, funcionamento de instituições democráticas durante o processo eleitoral e funcionamento de serviços essenciais. A liberdade de expressão e a atividade jornalística são expressamente excluídas como crimes.
• Acesso a Dados: Os dados acessados e analisados para prevenir esses crimes são aqueles obtidos pelas autoridades membros do SISBIN no contexto de suas operações e em conformidade com as condições descritas para a aplicação da lei penal (ou seja, com autorização judicial para uma finalidade claramente definida). O SISBIN é composto por órgãos públicos, com a Agência Brasileira de Inteligência (ABIN) como corpo central. A ABIN recebe informações dos membros do SISBIN, mas não as coleta por conta própria. O STF (ADI 6529) esclareceu que o compartilhamento de dados com a ABIN deve observar propósitos de interesse público, procedimentos formais e autorização judicial.
• Proteção da Informação: O tratamento de dados no SISBIN deve proteger as informações do acesso de pessoas não autorizadas e deve obedecer à legislação sobre sigilo profissional e segurança, proteção de dados pessoais e segurança da informação, incluindo a LGPD.
• Supervisão para Segurança Nacional: As atividades das autoridades de segurança nacional são supervisionadas pelo Poder Executivo (garantindo que os objetivos e políticas estejam alinhados com as demandas sociais), pelo Poder Legislativo (através da Comissão Mista de Controle das Atividades de Inteligência – CCAI, que monitora a conformidade com a Constituição e os direitos individuais) e pela ANPD (em relação à aplicação parcial da LGPD). O Judiciário também atua na adjudicação de ações contra autoridades públicas.
• Recurso para Segurança Nacional: O sistema oferece diversas vias judiciais e administrativas para recurso, incluindo ações judiciais por danos, Habeas Data e reclamações à ANPD. A CCAI também pode receber e investigar reclamações de cidadãos sobre violações de direitos por órgãos de inteligência. O acesso a recurso é garantido para brasileiros e estrangeiros.

Em síntese, as leis brasileiras estabelecem um quadro rigoroso para o acesso e uso de dados pessoais por autoridades públicas, tanto para aplicação da lei penal quanto para segurança nacional, com inúmeras salvaguardas e mecanismos de supervisão e recurso que visam garantir a proporcionalidade e a proteção dos direitos fundamentais dos indivíduos. Essa estrutura é fundamental para o reconhecimento da equivalência com as exigências da União Europeia.

Efeito da Decisão e Ação das Autoridades de Proteção de Dados

A decisão da Comissão Europeia de reconhecer o Brasil como um país que garante um nível adequado de proteção de dados é um desenvolvimento de grande relevância, com impactos profundos nas relações entre a União Europeia e o Brasil. Essa decisão é a culminação de uma análise exaustiva do arcabouço jurídico e prático brasileiro.

A Comissão Europeia, após uma análise aprofundada, conclui que a República Federativa do Brasil, por meio da LGPD, assegura um nível de proteção de dados pessoais transferidos da União Europeia que é essencialmente equivalente ao garantido pelo Regulamento (UE) 2016/679.

Além disso, a Comissão Europeia considera que os mecanismos de supervisão e as vias de recurso na legislação brasileira permitem que possíveis infrações às regras de proteção de dados por controladores e operadores sejam identificadas e tratadas na prática, oferecendo recursos legais aos titulares para obter acesso, retificação ou eliminação de seus dados. No que diz respeito às interferências de interesse público (aplicação da lei penal e segurança nacional) por autoridades públicas brasileiras, a Comissão avalia que elas são limitadas ao estritamente necessário para atingir o objetivo legítimo em questão, e que existe proteção legal eficaz contra tais interferências.

Efeitos Práticos da Decisão

Essa decisão tem um efeito prático imediato e significativo:

• Facilitação de Transferências Internacionais de Dados: As transferências de dados pessoais de controladores e operadores na União Europeia para controladores e operadores no Brasil podem ocorrer sem a necessidade de obter qualquer autorização adicional (Recital 223). Isso elimina a barreira burocrática e a complexidade de se recorrer a mecanismos alternativos de transferência, como Cláusulas Contratuais Padrão (SCCs) ou Regras Corporativas Vinculantes (BCRs), para cada transferência.
• Aumento da Confiança e Segurança Jurídica: A decisão reforça a confiança mútua entre as jurisdições e proporciona maior segurança jurídica para as operações que envolvem dados pessoais, conforme ressaltado pelo portal do Governo Federal em notícia sobre a aproximação da ANPD com a Comissão Europeia. Isso é particularmente benéfico para empresas que operam internacionalmente.
• Fortalecimento das Relações Comerciais: A harmonização das normas de proteção de dados facilita o comércio e a cooperação entre o Brasil e a União Europeia, promovendo um ambiente de negócios mais eficiente e transparente.
• Aplicação Direta do GDPR: A decisão não afeta a aplicação direta do Regulamento (UE) 2016/679 a entidades onde as condições de seu âmbito territorial (Artigo 3º) são cumpridas.

É importante notar que os Estados-Membros e suas autoridades são obrigados a cumprir a decisão da Comissão. No entanto, uma autoridade nacional de proteção de dados pode questionar a compatibilidade de uma decisão de adequação da Comissão com os direitos fundamentais à privacidade e proteção de dados, podendo recorrer a um tribunal nacional, que, por sua vez, pode submeter a questão ao Tribunal de Justiça da União Europeia para uma decisão preliminar.

Monitoramento, Suspensão, Revogação ou Alteração da Decisão

A decisão de adequação não é permanente e está sujeita a monitoramento contínuo e revisões periódicas.

• Monitoramento Contínuo: A Comissão Europeia deve monitorar continuamente a situação no Brasil em relação ao quadro legal e à prática real do tratamento de dados pessoais. As autoridades brasileiras são convidadas a informar a Comissão Europeia sobre desenvolvimentos materiais relevantes para a decisão.
• Revisões Periódicas: A decisão será sujeita a uma primeira revisão dentro de quatro anos após sua entrada em vigor, e revisões subsequentes ocorrerão a cada quatro anos. Essas revisões cobrirão todos os aspectos do funcionamento da decisão, incluindo a cooperação da ANPD com as autoridades de proteção de dados da UE em relação a reclamações de indivíduos, e a eficácia da supervisão e execução nas áreas de aplicação da lei penal e segurança nacional.
• Processo de Revisão: Para realizar a revisão, a Comissão Europeia se reunirá com a ANPD e, quando apropriado, com outras autoridades brasileiras responsáveis pelo acesso governamental, incluindo órgãos de supervisão. Representantes do European Data Protection Board (EDPB) podem participar. A Comissão Europeia solicitará informações abrangentes e explicações sobre qualquer informação relevante para a decisão.
• Relatório Público: Com base na revisão, a Comissão Europeia preparará um relatório público para ser submetido ao Parlamento Europeu e ao Conselho.
• Suspensão, Revogação ou Alteração: Se o nível de proteção fornecido pelo Brasil deixar de ser adequado, a Comissão Europeia informará as autoridades brasileiras e solicitará medidas apropriadas dentro de um prazo razoável. Se as autoridades brasileiras não tomarem as medidas necessárias, a Comissão Europeia iniciará o procedimento para suspender, revogar ou alterar a decisão. Isso também pode ocorrer se as autoridades brasileiras não fornecerem as informações ou esclarecimentos necessários para a avaliação do nível de proteção. Em casos de urgência, a Comissão Europeia pode adotar atos de execução para suspender, revogar ou alterar a decisão imediatamente.

O reconhecimento de adequação do Brasil pela União Europeia é um testemunho do amadurecimento e do compromisso do país com os padrões globais de proteção de dados. No entanto, exige um esforço contínuo da ANPD e de outras autoridades brasileiras para manter e aprimorar esses padrões, garantindo a interoperabilidade regulatória e a proteção dos direitos fundamentais no ambiente digital. Esta decisão não apenas valida o esforço legislativo e regulatório do Brasil, mas também abre novas portas para a colaboração internacional e o desenvolvimento das relações e negócios internacionais.