Por: Renata Tosin e Kesia Bizerra de Jesus
A entrada em vigor da Lei Geral de Proteção de Dados Pessoais – Lei Federal nº 13.709/2018 (LGPD), em 2020 marcou a consolidação de regras sobre o tratamento de dados pessoais no Brasil. Com o tempo, a aplicação concreta da lei revelou que parcela significativa das operações envolviam a transferência internacional de dados, inclusive em práticas rotineiras, a exemplo do uso de serviços de computação em nuvem com servidores localizados no exterior. Nesse contexto, a ANPD aprovou em agosto de 2024[1] a Resolução CD/ANPD nº 19, que regulamentou a Transferência Internacional de Dados e estabeleceu mecanismos específicos para legitimar essas operações. Ainda assim, a exigência de salvaguardas adicionais continuava a impor entraves operacionais, atrasos e insegurança jurídica, impactando a competitividade das organizações brasileiras.
Em janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026[2], quereconheceu a equivalência normativa entre a LGPD e o General Data Protection Regulation (GDPR), consolidando o reconhecimento recíproco de adequação entre Brasil e União Europeia, reduzindo significativamente a necessidade de salvaguardas contratuais adicionais e fortalecendo a segurança jurídica nas operações entre Brasil e União Europeia, com relevantes reflexos no comércio exterior brasileiro. A convergência normativa entre a LGPD e o GDPR não se limita a aspectos formais. Ambas normativas compartilham fundamentos axiológicos comuns, como a centralidade da pessoa natural, a proteção da privacidade e o controle do titular sobre seus dados pessoais. A equivalência reconhecida tende a reduzir custos regulatórios e incertezas jurídicas para empresas brasileiras e europeias que operam em cadeias globais de valor. Antes da decisão de adequação, organizações brasileiras enfrentavam obstáculos significativos, sendo compelidas a adotar instrumentos contratuais complexos e, muitas vezes, incompatíveis com a realidade operacional de determinados setores econômicos. Essa simplificação fortalece a atratividade do Brasil como destino seguro para operações que envolvam tratamento de dados pessoais.
Os reflexos dessa decisão tornam-se ainda mais evidentes quando analisados à luz do comércio exterior brasileiro. O Brasil alcançou, em 2025, recorde histórico de exportações, superando US$ 349 bilhões[3], resultado que evidencia a crescente inserção do país no mercado internacional. As operações de comércio exterior, contudo, envolvem elevado volume de dados pessoais como informações de representantes legais, trabalhadores, prestadores de serviço, dados contratuais entre outros, frequentemente armazenados e compartilhados por meio de sistemas digitais e arquivos em nuvem. A burocracia inerente aos procedimentos aduaneiros, fiscais e regulatórios intensifica o fluxo e a complexidade do tratamento desses dados.
Nesse cenário, a proteção de dados deixa de ser apenas uma pauta regulatória e passa a integrar a estratégia de competitividade internacional das empresas brasileiras. A capacidade de demonstrar conformidade e segurança no tratamento de dados pessoais influencia diretamente a viabilidade de parcerias, a fluidez de transações e a inserção do Brasil em cadeias globais de valor cada vez mais digitalizadas.
Nesse contexto, a ausência de uma decisão de adequação impunha dificuldades práticas às empresas brasileiras exportadoras e importadoras, sobretudo àquelas que mantêm relações comerciais com parceiros europeus. Com o reconhecimento da equivalência, tais transferências passam a encontrar respaldo direto na LGPD, especialmente nas hipóteses previstas em seu artigo 33, bem como nas disposições regulamentares expedidas pela ANPD, conferindo maior previsibilidade e eficiência às operações de comércio exterior. Na prática, isso elimina a necessidade de recorrer a salvaguardas contratuais como as cláusulas-padrão, simplificando operações internacionais.
Por fim, a decisão de adequação entre a União Europeia e o Brasil não deve ser compreendida como um ponto de chegada, mas como um compromisso contínuo e dinâmico. Ainda que o reconhecimento da equivalência represente relevante avanço regulatório, ele não exime as organizações públicas e privadas do cumprimento rigoroso e permanente das obrigações previstas na LGPD. A efetividade dessa adequação depende, na prática, da consolidação de medidas concretas de governança, tais como o mapeamento contínuo das atividades de tratamento de dados pessoais, a elaboração e atualização dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), Legitimate Interest Assessments (LIA) e a adequada fundamentação das bases legais.
Persistem, ademais, desafios relevantes relacionados à operacionalização da conformidade, especialmente em setores que realizam tratamento intensivo de dados e em operações transnacionais complexas. A evolução tecnológica, o uso crescente de soluções em nuvem, a automação de processos e o compartilhamento massivo de informações exigem das organizações postura proativa, investimentos contínuos em segurança da informação e maturidade institucional na gestão de riscos à privacidade.
Além disso, a decisão de adequação com a União Europeia projeta expectativas quanto à ampliação do reconhecimento do Brasil por outros ordenamentos jurídicos relevantes no cenário global. A convergência com regimes de proteção de dados de países e regiões estratégicas, como aqueles influenciados por legislações setoriais norte-americanas, a exemplo do California Consumer Privacy Act (CCPA) e do California Privacy Rights Act (CPRA), tende a exigir novos esforços de articulação para via regulatória e de práticas operacionais, além do aprimoramento dos mecanismos de governança corporativa em privacidade.
Nesse cenário, destaca-se a China, principal parceiro comercial do Brasil há mais de uma década, com fluxo intenso e crescente de bens, serviços, investimentos e operações digitais. A relevância econômica da relação sino-brasileira torna o debate sobre transferências internacionais de dados particularmente sensível e estratégico. A Lei Chinesa de Proteção de Informações Pessoais (Personal Information Protection Law – PIPL), em vigor desde novembro de 2021, é frequentemente apontada como alinhada, em diversos aspectos, aos padrões globais de proteção de dados, inclusive ao GDPR e à LGPD. Todavia, o regime chinês apresenta características substancialmente distintas, ancoradas no princípio da soberania cibernética e na centralidade da segurança nacional como valores estruturantes.
Assim, o reconhecimento da equivalência deve ser interpretado como um vetor de fortalecimento institucional e de inserção estratégica do Brasil na economia digital global. Ao mesmo tempo, impõe-se como responsabilidade institucional contínua, cuja observância é condição para a manutenção da confiança internacional e dos benefícios jurídicos e econômicos decorrentes da decisão de adequação, sob pena de comprometimento da confiança internacional e dos benefícios jurídicos, econômicos e comerciais decorrentes da decisão de adequação.
[1] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396
[2] https://www.in.gov.br/web/dou/-/resolucao-n-32-de-26-de-janeiro-de-2026-683334547
[3] https://www.gov.br/mdic/pt-br/assuntos/noticias/2026/janeiro/exportacoes-brasileiras-alcancam-us-349-bi-em-2025-e-batem-recorde-historico
