Paridade de Privacidade entre Brasil e União Europeia

No dia 5 de setembro de 2025, a Comissão Europeia publicou a versão preliminar da decisão de adequação que reconhece que o nível de proteção de dados pessoais assegurado pelo Brasil é equivalente ao da legislação europeia (draft), especialmente no que tange às transferências internacionais de dados.

Esse avanço representa a fase final do processo decisório na União Europeia e, quando concluído, permitirá que os dados circulem de forma livre e segura entre Brasil e UE, sem necessidade de medidas adicionais de salvaguarda.

Do lado brasileiro, a ANPD finaliza o exame técnico da adequação europeia e, após avaliação jurídica, encaminhará a proposta para deliberação do Conselho Diretor, conforme as disposições previstas no Regulamento de Transferência Internacional de Dados. A adoção dessa decisão trará benefícios para cidadãos e empresas, como maior confiança, fortalecimento dos direitos dos titulares, simplificação das operações internacionais e melhora da competitividade no mercado global.

O presidente da ANPD, Waldemar Gonçalves, ressaltou que as negociações evidenciam o interesse mútuo em harmonizar quadros jurídicos e regulatórios para assegurar trocas internacionais de dados mais efetivas, preservando os direitos dos titulares e estimulando relações comerciais com a União Europeia.

A próxima etapa da UE inclui obtenção de parecer do EDPB (European Data Protection Board) e aprovação por um comitê de representantes dos Estados-membros. Caso finalizada com sucesso, o Brasil se juntará a outros 16 países já considerados adequados pela Comissão Europeia, como Reino Unido, Canadá, Japão, Coreia do Sul, Argentina e Uruguai.

É importante destacar que esse processo é o mais amplo e complexo já conduzido pela União Europeia para reconhecer a adequação de proteção de dados, e pode consolidar o Brasil como referência.

Transferências internacionais de dados sob a LGPD e Resolução CD/ANPD nº 19/2024

Panorama geral das transferências internacionais sob a ótica da LGPD

A LGPD (Lei nº 13.709/2018) permite a transferência internacional de dados pessoais sob determinadas bases legais, como:

• Transferência para países que oferecem nível de proteção adequado.
• Uso de cláusulas contratuais padronizadas (Standard Contractual Clauses – SCCs) ou autorizadas pela ANPD.
• Garantias adicionais, como mecanismos de certificação, uso de códigos de conduta ou políticas de privacidade.
• Consentimento específico do titular, entre outras hipóteses.

Resolução CD/ANPD nº 19/2024

A Resolução CD/ANPD nº 19, de 23 de agosto de 2024, aprova o Regulamento de Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais, conforme os artigos 33 a 36 da LGPD. O texto estabelece procedimentos e regras para reconhecer a adequação de países ou organismos internacionais, além de disciplinar mecanismos contratuais para a realização de transferências internacionais de dados pessoais.

Principais aspectos do Regulamento:

• • Reconhecimento de adequação: possibilita que a ANPD reconheça formalmente países ou organismos internacionais com nível de proteção de dados equiparável ao exigido pela LGPD
    Serviços e Informações do Brasil.
  • Cláusulas-padrão contratuais: são cláusulas pré-aprovadas pela ANPD que garantem salvaguardas mínimas para transferência de dados a países com nível de proteção diferente do brasileiro. A incorporação integral e sem alterações dessas cláusulas aos contratos deveria ocorrer até 23 de agosto de 2025, 12 meses após sua publicação.
  • Cláusulas contratuais específicas: em casos excepcionais em que não seja viável utilizar as cláusulas-padrão, o controlador pode propor cláusulas feitas sob medida, que devem garantir nível de proteção equivalente ao previsto na LGPD e devem ser previamente aprovadas pela ANPD.
  • Normas corporativas globais (Binding Corporate Rules – BCRs): regulam transferências dentro de um mesmo grupo empresarial com caráter vinculante e também devem ser previamente aprovadas pela ANPD – Exemplos, empresas globais, com filiais em diversos países cujos dados circulam entre matriz e filiais por diversos sistemas e finalidades.

Como as empresas devem proceder na prática, quando necessitarem transferir dados para o exterior

Empresas que realizam transferências internacionais de dados (uso de soluções de Startups fora do país, por exemplo) devem seguir os seguintes passos básicos:

• Identificar a base legal adequada conforme a LGPD e a Resolução CD/ANPD nº 19/2024.
• Caso o país destinatário não seja reconhecido como adequado, adotar cláusulas contratuais específicas aprovadas pela ANPD ou estabelecer garantias apropriadas (certificação, políticas rigorosas, etc.).
• Elaborar ou atualizar os contratos com fornecedores ou parceiros estrangeiros, incorporando cláusulas de proteção de dados consistentes com os requisitos da ANPD.
• Implementar medidas técnicas e organizacionais para proteger os dados transferidos (criptografia, controles de acesso, auditorias).
• Registrar e documentar todo o processo de transferência, incluindo decisões, medidas adotadas, avaliações de risco e consentimentos.
• Auditar continuamente as políticas e medidas de fornecedores, não limitando o due-dilligence apenas ao momento de contratação.
• Apoiar a rede de fornecedores e parceiros no aumento de seus níveis de maturidade e preparação em relação à privacidade e proteção de dados.
• Comunicar adequadamente os titulares de dados, garantindo que saibam quando seus dados são transferidos, para quais operadores e sob quais condições.

Essa abordagem não apenas garante conformidade com a LGPD, mas também prepara o terreno para operações globais eficientes, especialmente em cenários como a esperada decisão de adequação da União Europeia.

A divulgação da versão preliminar da decisão de adequação da União Europeia é um marco significativo no fortalecimento da proteção de dados e na cooperação internacional, trazendo perspectiva positiva para operações transfronteiriças entre Brasil e UE.

Enquanto isso, empresas brasileiras devem assegurar que suas transferências internacionais estejam em consonância com a LGPD e com as exigências da Resolução CD/ANPD nº 19/2024, adotando práticas robustas e transparentes que garantam segurança jurídica, tecnológica e confiança dos titulares.

O DPO na definição de SCCs e BCRs

A Macher Tecnologia como sua consultoria para a LGPD, Privacidade e Proteção de Dados

A Macher Tecnologia é uma consultoria brasileira especializada em projetos de adequação à LGPD, DPO-as-a-Service e cibersegurança, atuando com times multidisciplinares e hands-on formados por advogados parceiros, gerentes de projeto, especialistas em TI, governança, cybersecurity e gestão de riscos.

Além dos serviços de diagnóstico, mapeamento e implementação de políticas, a Macher Tecnologia desenvolveu ferramentas próprias, como o DPO Helper — uma plataforma SaaS que organiza fluxos de trabalho, registros de tratamento (ROPA), análise de riscos, gestão de políticas e solicitações dos titulares para PMEs. Com isso, garante maior agilidade, segurança e evidência de conformidade.

A empresa também oferece serviços em segurança da informação (ISO 27001/27002, NIST, SOC2), auditorias, suporte à implementação de medidas técnicas e operacionais, programas de conscientização, e consultoria contínua para empresas que desejam evoluir sua maturidade em privacidade e segurança — seja para o mercado nacional ou internacional.

Com uma abordagem inovadora, a Macher Tecnologia auxilia empresas na implementação de estratégias eficazes de conformidade com LGPD e GDPR, fornecendo consultoria, treinamento e ferramentas tecnológicas para gestão de riscos e proteção de dados corporativos.

Entre em contato e saiba como podemos ajudar sua organização hoje mesmo!

Converse com nossos consultores agora!