Parecer do Comitê Europeu de Proteção de Dados: Minuta de Decisão de Adequação da UE para o Brasil – LGPD LGPD

Em 5 de setembro de 2025, a Comissão Europeia publicou sua minuta de decisão reconhecendo que o Brasil assegura um nível adequado de proteção de dados pessoais nos termos do Artigo 45 do Regulamento Geral de Proteção de Dados (“GDPR”). Na sequência, em 4 de novembro de 2025, o Comitê Europeu de Proteção de Dados (“EDPB”) divulgou o seu Parecer 28/2025 avaliando a minuta. O Parecer examina a Lei Geral de Proteção de Dados (“LGPD”), a Agência Nacional de Proteção de Dados (“ANPD”) e as salvaguardas aplicáveis aos dados pessoais transferidos da UE.

O EDPB concluiu que o arcabouço brasileiro de proteção de dados, em especial a LGPD e as regulações emitidas pela ANPD, está amplamente alinhado à GDPR e à jurisprudência do Tribunal de Justiça da União Europeia. A ANPD também declarou que trabalha na emissão de uma decisão de adequação reconhecendo a União Europeia, com expectativa de apresentação até o final de 2025.

O reconhecimento mútuo simplificaria os fluxos de dados entre Brasil e UE, reconheceria a equivalência de seus regimes de proteção de dados e ofereceria vantagens competitivas a ambos os lados.

O EDPB acolheu positivamente o alinhamento geral do arcabouço brasileiro ao GDPR, mas identificou áreas que requerem esclarecimentos adicionais, monitoramento e revisão contínua.   Os principais pontos são:

• RIPD (DPIA) e responsabilização (accountability): Verificar a efetiva realização de RIPDs para tratamentos de alto risco sob a LGPD e a inclusão de teste claro de necessidade e proporcionalidade. Esclarecer, na prática, como as regras da LGPD interagem quanto à limitação de armazenamento.
• Sigilo comercial e industrial: Monitorar como a limitação da LGPD relativa a “segredos comercial e industrial” afeta a informação e o direito de acesso dos titulares, bem como a capacidade da ANPD de obter informações, especialmente quando empresas invocam sigilo em contextos de supervisão ou incidentes.
• Incidentes e violações de segurança: Alinhar a Minuta de Decisão ao regulamento da ANPD sobre notificação de incidentes de segurança, quanto a prazos e conteúdo, e monitorar impactos quando alegações de segredo comercial limitem o detalhamento compartilhado com titulares ou com a ANPD.
• Transferências posteriores (onward transfers): Esclarecer que as derrogações previstas na LGPD são de caráter verdadeiramente excepcional. Confirmar que os titulares são informados sobre riscos em países terceiros em transferências baseadas em consentimento.   Garantir que deveres de transparência se apliquem independentemente do mecanismo de transferência; observar eventuais lacunas em regras corporativas vinculantes em comparação à prática da UE e avaliar se leis estrangeiras podem comprometer as proteções.
• Governança e supervisão: Explicar melhor o papel do Conselho Nacional e sua interação com a ANPD. Esclarecer vias de reparação para indivíduos e monitorar consistência e proporcionalidade na atuação sancionadora e de enforcement da ANPD.
• Tratamento para fins de aplicação da lei: Esclarecer a aplicabilidade da LGPD ao tratamento de dados na esfera penal e os poderes da ANPD sobre tais autoridades. Descrever condições de acesso a dados básicos de assinantes/registro e salvaguardas, e monitorar o acesso a dados de comunicações retidos.
• Âmbito da segurança nacional e o Sistema Brasileiro de Inteligência: Descrever com mais precisão o que “segurança nacional” abrange no direito brasileiro. Esclarecer como funcionam as isenções da LGPD para fins de segurança nacional e explicar as regras de compartilhamento de dados do Sistema Brasileiro de Inteligência, inclusive se acordos internacionais de inteligência afetam transferências posteriores e salvaguardas.
• Monitoramento e revisão contínuos: Comprometer-se com revisões periódicas com participação do EDPB e acompanhar de perto desenvolvimentos legais e regulatórios que possam impactar a decisão de adequação.

Próximos Passos

A análise do EDPB é uma etapa padrão no processo de adequação. Espera-se que a Comissão Europeia incorpore os esclarecimentos do EDPB, busque a aprovação dos Estados‑Membros e, se referendada, adote a decisão com um ciclo de revisão definido, colocando-a em vigor.  

Se confirmada formalmente, o Brasil passará a integrar o grupo de países reconhecidos pela UE como providos de proteção adequada de dados pessoais, e a decisão poderá também abrir caminho para reconhecimentos bilaterais adicionais.