Por: Renata Tosin e Kesia Bizerra de Jesus
Introdução
A entrada em vigor da Lei Geral de Proteção de Dados Pessoais – Lei Federal nº 13.709/2018 (LGPD), em 2020, marcou a consolidação de regras sobre o tratamento de dados pessoais no Brasil. Com o tempo, a aplicação concreta da lei revelou que parcela significativa das operações envolvia transferências internacionais de dados, inclusive em práticas rotineiras, como o uso de serviços de computação em nuvem com servidores localizados no exterior. Nesse contexto, a ANPD aprovou, em agosto de 2024[1], a Resolução CD/ANPD nº 19, que regulamentou a transferência internacional de dados e estabeleceu mecanismos específicos para legitimar essas operações. Ainda assim, a exigência de salvaguardas adicionais continuava a impor entraves operacionais, atrasos e insegurança jurídica, impactando negativamente a competitividade das organizações brasileiras.
Em janeiro de 2026, a ANPD publicou a Resolução CD/ANPD nº 32/2026[2], que reconheceu a equivalência do nível de proteção entre a LGPD e o General Data Protection Regulation (GDPR), consolidando o reconhecimento recíproco de adequação entre Brasil e União Europeia, reduzindo, em regra, a necessidade de salvaguardas contratuais adicionais e fortalecendo a segurança jurídica nas operações bilaterais, com relevantes reflexos no comércio exterior brasileiro. A convergência normativa entre a LGPD e o GDPR não se limita a aspectos formais. Ambas as normativas compartilham fundamentos axiológicos comuns, como a centralidade da pessoa natural, a proteção da privacidade e o controle do titular sobre seus dados pessoais. Tal reconhecimento tende a reduzir custos regulatórios e incertezas jurídicas para empresas brasileiras e europeias que operam em cadeias globais de valor. Antes da decisão de adequação, organizações brasileiras enfrentavam obstáculos significativos, sendo compelidas a adotar instrumentos contratuais complexos e, muitas vezes, incompatíveis com a realidade operacional de determinados setores econômicos. Essa simplificação fortalece a atratividade do Brasil como destino seguro para operações que envolvam tratamento de dados pessoais.
Os reflexos dessa decisão tornam-se ainda mais evidentes quando analisados à luz do comércio exterior brasileiro. O Brasil alcançou, em 2025, recorde histórico de exportações, superando US$ 349 bilhões[3], resultado que evidencia a crescente inserção do país no mercado internacional. As operações de comércio exterior, contudo, envolvem elevado volume de dados pessoais, como informações de representantes legais, trabalhadores, prestadores de serviço e dados contratuais, entre outros, frequentemente armazenados e compartilhados por meio de sistemas digitais e arquivos em nuvem. A burocracia inerente aos procedimentos aduaneiros, fiscais e regulatórios intensifica o fluxo e a complexidade do tratamento dessas informações.
Nesse contexto mais amplo, a proteção de dados deixa de ser apenas uma pauta regulatória e passa a integrar a estratégia de competitividade internacional das empresas brasileiras. A capacidade de demonstrar conformidade e segurança no tratamento de dados pessoais influencia diretamente a viabilidade de parcerias, a fluidez de transações e a inserção do Brasil em cadeias globais de valor cada vez mais digitalizadas.
Antes do reconhecimento de adequação, a ausência dessa decisão impunha dificuldades práticas às empresas brasileiras exportadoras e importadoras, sobretudo àquelas que mantêm relações comerciais com parceiros europeus. Com o reconhecimento da equivalência, tais transferências passam a encontrar respaldo direto na LGPD, especialmente nas hipóteses previstas em seu artigo 33, bem como nas disposições regulamentares expedidas pela ANPD, conferindo maior previsibilidade e eficiência às operações de comércio exterior. Na prática, isso elimina a necessidade de recorrer a salvaguardas contratuais como as cláusulas-padrão, simplificando operações internacionais.
A decisão de adequação entre a União Europeia e o Brasil, contudo, não deve ser compreendida como um ponto de chegada, mas como um compromisso contínuo e dinâmico. Ainda que o reconhecimento da equivalência represente relevante avanço regulatório, ele não exime as organizações públicas e privadas do cumprimento rigoroso e permanente das obrigações previstas na LGPD. A efetividade dessa adequação depende, na prática, da consolidação de medidas concretas de governança, tais como o mapeamento contínuo das atividades de tratamento de dados pessoais, a elaboração e atualização dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), dos Legitimate Interest Assessments (LIA) e a adequada fundamentação das bases legais.
Persistem, ademais, desafios relevantes relacionados à operacionalização da conformidade, especialmente em setores que realizam tratamento intensivo de dados e em operações transnacionais complexas. A evolução tecnológica, o uso crescente de soluções em nuvem, a automação de processos e o compartilhamento massivo de informações exigem das organizações postura proativa, investimentos contínuos em segurança da informação e maturidade institucional na gestão de riscos à privacidade.
A decisão de adequação com a União Europeia também projeta expectativas quanto à ampliação do reconhecimento do Brasil por outros ordenamentos jurídicos relevantes no cenário global. A convergência com regimes de proteção de dados de países e regiões estratégicas, como aqueles influenciados por legislações setoriais norte-americanas, a exemplo do California Consumer Privacy Act (CCPA) e do California Privacy Rights Act (CPRA), tende a exigir novos esforços de articulação pela via regulatória e de práticas operacionais, além do aprimoramento dos mecanismos de governança corporativa em privacidade.
Destaca-se, ainda, a China, principal parceiro comercial do Brasil há mais de uma década, com fluxo intenso e crescente de bens, serviços, investimentos e operações digitais. A relevância econômica da relação sino-brasileira torna o debate sobre transferências internacionais de dados particularmente sensível e estratégico. A Lei Chinesa de Proteção de Informações Pessoais (Personal Information Protection Law – PIPL), em vigor desde novembro de 2021, é frequentemente apontada como alinhada, em diversos aspectos, aos padrões globais de proteção de dados, inclusive ao GDPR e à LGPD. Todavia, o regime chinês apresenta características substancialmente distintas, ancoradas no princípio da soberania cibernética e na centralidade da segurança nacional como valores estruturantes.
Diante desse panorama, o reconhecimento da equivalência deve ser interpretado como um vetor de fortalecimento institucional e de inserção estratégica do Brasil na economia digital global. Ao mesmo tempo, impõe-se como responsabilidade institucional contínua, cuja observância é condição para a manutenção da confiança internacional e dos benefícios jurídicos e econômicos decorrentes da decisão de adequação, sob pena de comprometimento dela decorrentes.
[1] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-19-de-23-de-agosto-de-2024-580095396
[2] https://www.in.gov.br/web/dou/-/resolucao-n-32-de-26-de-janeiro-de-2026-683334547
[3] https://www.gov.br/mdic/pt-br/assuntos/noticias/2026/janeiro/exportacoes-brasileiras-alcancam-us-349-bi-em-2025-e-batem-recorde-historico
