A decisão de adequação da Comissão Europeia para o Brasil

December 11, 2025

‍

A proteção de dados pessoais tornou-se uma pauta central no cenário jurídico e tecnológico global. Com a crescente digitalização da economia e a interconexão de dados através das fronteiras, a harmonização de legislações e o reconhecimento da equivalência na proteção de dados entre diferentes países são passos fundamentais para garantir a segurança jurídica e a fluidez das relações comerciais. A recente decisão da União Europeia de reconhecer o Brasil como um país com um nível de proteção de dados pessoais “essencialmente equivalente” ao seu próprio arcabouço legal representa um marco significativo nesse sentido para o país.

Em 4 de setembro de 2025, a Comissão Europeia publicou um documento relatando a versão preliminar da decisão de adequação do Brasil, declarando que o país assegura nível de proteção de dados pessoais equivalente ao previsto na legislação europeia para fins de transferência internacional de dados. Abaixo, vamos detalhar os fundamentos e implicações dessa decisão, analisando os pilares que sustentam o sistema brasileiro de proteção de dados, desde seu arcabouço constitucional até os mecanismos de fiscalização e execução, bem como o acesso e uso de dados por autoridades públicas, alcançando o impacto dessa decisão e o papel contínuo das autoridades de proteção de dados.

‍

O Arcabouço Constitucional do Brasil

A base para a proteção dos direitos fundamentais no Brasil reside em sua Constituição Federal de 1988, um documento abrangente que estabelece os direitos e garantias individuais dos cidadãos. A evolução da sociedade e a crescente importância dos dados pessoais no ambiente digital levaram a uma atualização fundamental deste arcabouço.

A proteção da privacidade e dos dados pessoais é intrínseca aos direitos fundamentais brasileiros. Nesse sentido, é notável a inclusão do inciso LXXIX ao Artigo 5º, por meio da Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Esta emenda elevou a proteção de dados pessoais ao status de direito fundamental explícito, garantindo-o não apenas em ambientes digitais, mas em todas as suas manifestações. Conforme o portal do Governo Federal, essa inclusão reforça o compromisso do Brasil com a privacidade e a proteção de dados, alinhando-se às tendências globais. A mudança no texto constitucional é um pilar robusto para a segurança jurídica e para a proteção dos indivíduos em face das novas tecnologias. A amplitude da proteção constitucional brasileira vai além de seus cidadãos.

Isso demonstra um compromisso abrangente com os direitos humanos, garantindo que qualquer pessoa, independentemente de sua nacionalidade ou residência, possa invocar as proteções constitucionais em solo brasileiro e, em alguns casos, mesmo no exterior. Adicionalmente, a adesão do Brasil a tratados internacionais reforça sua estrutura de direitos. O país ratificou a Convenção Americana sobre Direitos Humanos, conhecida como o “Pacto de San José”, em 1992. Esta Convenção, em seu Artigo 11, garante o direito à privacidade e, no Artigo 8, protege o direito a um julgamento justo. O Brasil também reconheceu a autoridade vinculante da Corte Interamericana de Direitos Humanos, permitindo que suas decisões influenciem a aplicação de direitos, inclusive no contexto de atividades de autoridades públicas relacionadas à segurança e defesa.

A inclusão da proteção de dados como direito fundamental na Constituição e a adesão a convenções internacionais são demonstrações claras de que o Brasil estabelece uma base sólida e ampla para a privacidade e a segurança de dados, elementos cruciais para a equiparação com os padrões europeus.

‍

O Arcabouço de Proteção de Dados do Brasil

A base legislativa para a proteção de dados pessoais no Brasil é a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018. Esta legislação representa um avanço significativo, sendo amplamente inspirada no Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) da União Europeia e estabelecendo um conjunto robusto de princípios, direitos e obrigações para o tratamento de dados pessoais.

Desde sua promulgação, a LGPD tem sido fortalecida e clarificada por meio de legislações subsequentes. Um passo crucial foi a criação da Autoridade Nacional de Proteção de Dados (ANPD) pela Lei nº 13.853/2019, que posteriormente foi transformada em uma autoridade independente pela Lei nº 14.460/2022. Essa independência confere à ANPD maior autonomia para desempenhar seu papel regulatório e fiscalizador, essencial para a efetividade da lei. O portal do Governo Federal ressalta a importância da ANPD para fiscalizar e regulamentar a aplicação da LGPD, destacando sua transformação em uma autarquia independente para maior autonomia.

A ANPD desempenha um papel proativo na interpretação e aplicação da LGPD, emitindo regulamentos vinculativos e orientações para diversos aspectos da lei, como o regime de sanções, a notificação de incidentes de segurança e a interpretação de bases legais, como o legítimo interesse. Essa atuação constante da ANPD é fundamental para a adaptação e aprimoramento contínuo do arcabouço legal.

No cenário internacional, a ANPD tem se engajado ativamente na promoção da proteção de dados. Em 2023, tornou-se membro da Global Privacy Assembly, ao lado de autoridades de proteção de dados da União Europeia, e participa como observadora do Comitê da Convenção 108 do Conselho da Europa. O Brasil também tem liderado avanços nas Nações Unidas sobre o direito à privacidade, cointroduzindo resoluções sobre o direito à privacidade na era digital, que condenam a vigilância e interceptação arbitrárias de comunicações e a coleta ilícita de dados pessoais, e instam os estados a criar mecanismos de supervisão independentes. Isso demonstra o alinhamento do Brasil às melhores práticas e debates globais sobre proteção de dados.

A estrutura e os componentes principais do arcabouço legal brasileiro são bastante similares aos da União Europeia, baseando-se não apenas em obrigações legais domésticas e direitos constitucionais, mas também em obrigações do direito internacional, como a adesão à Convenção Americana sobre Direitos Humanos.

‍

Alcance Material e Territorial da LGPD

A LGPD possui um alcance de aplicação abrangente, aplicando-se a qualquer operação de tratamento de dados pessoais realizada em território brasileiro, independentemente dos meios utilizados. Sua aplicabilidade territorial é definida de forma similar ao GDPR, cobrindo:

Atividades de tratamento realizadas no território nacional.
Atividades de tratamento que visam oferecer bens ou serviços a indivíduos localizados no Brasil.
Dados pessoais coletados em território brasileiro.

Adicionalmente, a LGPD abrange o tratamento de dados de pessoas naturais que se encontrem no território nacional, incluindo o monitoramento de comportamento, independentemente de onde os dados sejam processados. A jurisprudência do Supremo Tribunal Federal (STF) também garante que as proteções constitucionais de direitos fundamentais se apliquem a qualquer pessoa, independentemente de sua nacionalidade ou residência.

‍

Definições de Dados Pessoais e Tratamento

A LGPD estabelece definições claras para seus termos centrais:

Dados Pessoais: “informação relacionada a pessoa natural identificada ou identificável” (Art. 5º, I). O “titular dos dados” é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (Art. 5º, V).

Dados Pseudonimizados: informações que não podem identificar direta ou indiretamente um indivíduo sem o uso de informações adicionais são consideradas dados pessoais sob a LGPD (Art. 13).

Dados Anonimizados: informações que não podem ser associadas a um indivíduo por meios razoáveis e técnicos disponíveis. Dados anonimizados são excluídos do escopo da LGPD, exceto quando o processo de anonimização puder ser revertido por “esforços razoáveis” (Art. 5º e Art. 12). A abordagem da LGPD à anonimização e às salvaguardas para reidentificação é similar à da UE.

Tratamento: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Art. 5º, X).

‍

Controladores e Operadores de Dados

A LGPD define claramente os papéis e responsabilidades:

Controlador: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, VI).

Operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, VII).

O operador deve conduzir o tratamento de acordo com as instruções do controlador, que é responsável por verificar a conformidade (Art. 39). Ambos devem manter um registro das operações de tratamento, especialmente quando baseadas em legítimo interesse (Art. 37). A LGPD estabelece responsabilidade solidária em casos de danos aos titulares, similar ao Capítulo IV do GDPR.

‍

Exceções a Certas Disposições da LGPD

Assim como no sistema europeu, a LGPD não se aplica a dados anonimizados (Art. 12), tratamento para fins exclusivamente particulares (domésticos) (Art. 4º, I) ou para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, assim como investigação e repressão de infrações penais (Art. 4º, III). No entanto, esta última exceção é parcial, pois os princípios e direitos fundamentais da LGPD ainda se aplicam. O Supremo Tribunal Federal confirmou que a LGPD se aplica parcialmente, exigindo que condições sejam estabelecidas para o tratamento de dados nesses contextos, instruindo a ANPD a emitir pareceres técnicos e a solicitar avaliações de impacto à proteção de dados.

Outras exceções parciais incluem o tratamento de dados para fins de pesquisa acadêmica e para fins jornalísticos e artísticos (Art. 4º, II). Para pesquisa acadêmica, a isenção é limitada e os Artigos 7º (base legal) e 11 (dados sensíveis) ainda se aplicam. A ANPD emitiu um guia orientativo para especificar as regras, confirmando a aplicação parcial da LGPD e dos princípios gerais da lei. Para pesquisa em saúde, a LGPD impõe limitações adicionais, como obrigações de segurança para bancos de dados e a proibição de transferência de dados para terceiros em certas circunstâncias (Art. 13).

Para fins jornalísticos e artísticos, a isenção é similar ao Artigo 85(2) do GDPR Europeu, cobrindo situações em que o tratamento é feito “exclusivamente” para esses propósitos. Quando houver outros fins (por exemplo, recursos humanos), a LGPD se aplica integralmente. A liberdade de expressão (Art. 5º, IX da Constituição) é equilibrada com o direito à privacidade e proteção de dados, com a possibilidade de indenização por danos, conforme interpretado pelo STF e integrado ao Marco Civil da Internet.

Por fim, a LGPD isenta do seu escopo o tratamento de dados originados fora do Brasil que não são compartilhados no país ou que provêm de um país considerado adequado sob a LGPD, desde que não sejam transferidos para outro país (Art. 4º, IV). A Regulamentação de Transferência de Dados da ANPD esclarece que o mero trânsito de dados sem processamento adicional no Brasil seria excluído, mas o acesso ou uso dos dados no país ativaria a LGPD.

Este arcabouço detalhado e em constante evolução demonstra o compromisso do Brasil em estabelecer um sistema de proteção de dados robusto e comparável aos padrões internacionais, especialmente aos da União Europeia.

‍

Salvaguardas, Direitos e Obrigações

A LGPD estabelece um conjunto abrangente de salvaguardas, direitos e obrigações que visam proteger os dados pessoais e garantir que seu tratamento seja realizado de forma ética e transparente. Esses elementos são cruciais para o reconhecimento da equivalência com o GDPR europeu.

‍

Licitude e Lealdade do Tratamento

O tratamento de dados pessoais deve ser lícito e leal. Os princípios de licitude, boa-fé e transparência, juntamente com as bases legais para o tratamento, estão garantidos nos Artigos 6º e 7º da LGPD, seguindo uma abordagem similar aos Artigos 5º e 6º do GDPR Europeu. Controladores e operadores devem tratar informações pessoais de forma lícita e de boa-fé, na medida mínima necessária para o propósito especificado, cobrindo dados que sejam relevantes, proporcionais e não excessivos em relação à finalidade.

As bases legais para o tratamento de dados pessoais, conforme o Artigo 7º da LGPD, incluem:

Consentimento do titular;
Necessidade para a execução de contrato ou procedimentos preliminares;
Cumprimento de obrigação legal ou regulatória;
Proteção da vida ou incolumidade física do titular ou terceiro;
Tratamento pela administração pública para execução de políticas públicas;
Legítimo interesse do controlador ou terceiro, ressalvados os direitos fundamentais do titular;
Realização de estudos por órgãos de pesquisa, com anonimização sempre que possível;
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
Proteção da saúde, exclusivamente em procedimento realizado por profissionais de saúde; e
Proteção ao crédito.

‍

Critérios para o Consentimento

O consentimento é uma das bases legais mais importantes e é rigorosamente regulamentado. O Artigo 8º da LGPD estabelece requisitos formais para a obtenção de consentimento válido, alinhando-se aos Artigos 4(11) e 7 do GDPR Europeu:

Deve ser expresso (por escrito ou por outro meio que demonstre a manifestação de vontade), inequívoco, claro e positivo. Consentimentos tácitos ou por omissão são inválidos;
Deve ser para “finalidades determinadas”, sendo nulas as autorizações genéricas;
Deve ser informado de maneira transparente, clara e inequívoca;
Se incluído em um contrato mais amplo, deve estar em cláusula destacada;
É inválido se contiver conteúdo enganoso ou abusivo;
O controlador deve informar sobre quaisquer mudanças na finalidade, tipo/duração do tratamento, identidade do controlador, ou compartilhamento de dados;
Pode ser revogado a qualquer momento pelo titular, de forma gratuita; e
O controlador tem o ônus da prova de que o consentimento foi obtido licitamente.

Em situações em que o consentimento seria a base legal apropriada, a LGPD estabelece que o requisito de consentimento é dispensado se os dados pessoais foram tornados “manifestamente públicos pelo titular” (Art. 7º, § 4º). No entanto, mesmo neste caso, os controladores e operadores não estão isentos de cumprir as demais obrigações da LGPD, e o tratamento deve ser para uma finalidade “legítima e específica”, garantindo os direitos dos titulares.

‍

Critérios para o Legítimo Interesse

O legítimo interesse como base legal é abordado com cautela na LGPD. O Artigo 7º, IX, estabelece que o tratamento com base em legítimo interesse não pode conflitar com os direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais, similar ao Artigo 6(1)(f) do GDPR Europeu.

O Artigo 10 da LGPD impõe condições adicionais: o tratamento deve ser “estritamente necessário” para a finalidade pretendida, e os controladores devem implementar medidas para garantir a transparência de suas atividades. O legítimo interesse só pode ser invocado em “situações particulares”.

A ANPD publicou um “Guia de Legítimo Interesse” que detalha as condições para seu uso. Ele esclarece que o legítimo interesse não pode ser usado para dados sensíveis e fornece um modelo para o teste de ponderação de direitos e liberdades fundamentais. Três condições devem ser atendidas para que um interesse seja considerado legítimo:

Compatibilidade com o sistema jurídico brasileiro: não deve ser proibido por lei e não pode contradizer disposições legais ou princípios.
Referência a uma situação específica: deve ser baseado em situações concretas, claras e precisas, com interesses bem definidos, e não abstratos ou especulativos.
Propósito específico e explícito: o propósito do tratamento deve ser claro e preciso, delimitando o escopo e permitindo a ponderação dos interesses com os direitos e expectativas legítimas dos titulares.

‍

Tratamento de Categorias Especiais de Dados

A LGPD prevê salvaguardas específicas para “dados pessoais sensíveis”, definidos no Artigo 5º, II, como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.” A jurisprudência brasileira expandiu essa definição para cobrir outros tipos de informações que possam ser usadas para discriminar indivíduos, incluindo registros criminais, seguindo o princípio da não discriminação (Art. 6º, IX).

O tratamento de dados sensíveis exige consentimento “específico e destacado” do titular (Art. 11, I). Na ausência de consentimento, o tratamento é permitido em hipóteses específicas, como cumprimento de obrigação legal/regulatória, execução de políticas públicas, proteção da vida ou incolumidade física, exercício de direitos, proteção da saúde, pesquisa (com anonimização), e prevenção de fraudes/segurança em sistemas eletrônicos (Art. 11, II).

‍

Limitação da Finalidade

Os dados pessoais devem ser coletados para uma finalidade específica e compatível com o propósito do tratamento. O Artigo 6º, I, da LGPD estabelece que os dados devem ser tratados para “propósitos legítimos, específicos, explícitos e informados ao titular”, sem possibilidade de tratamento posterior “incompatível” com a finalidade original.

Qualquer atividade de tratamento deve ser compatível com os propósitos comunicados ao titular (Art. 6º, II). A ANPD esclarece que, para o tratamento para outra finalidade ser compatível, deve haver um vínculo entre as finalidades e serem consideradas as “legítimas expectativas” dos titulares.

‍

Qualidade e Minimização dos Dados

Os dados devem ser exatos e, quando necessário, atualizados. Devem ser adequados, relevantes e não excessivos em relação às finalidades para as quais são tratados. Estes princípios são garantidos na LGPD pelos princípios da “qualidade dos dados” (Art. 6º, III) e da “necessidade” (Art. 6º, V). O controlador e o operador devem garantir que os dados pessoais sejam precisos, claros, relevantes e atualizados, e que o tratamento seja limitado ao mínimo necessário para atingir a(s) finalidade(s) específica(s), cobrindo dados que sejam relevantes, proporcionais e não excessivos.

‍

Limitação do Armazenamento

Os dados devem, em princípio, ser mantidos apenas pelo tempo necessário para as finalidades para as quais foram tratados. O Capítulo II, Seção IV, da LGPD, dedicado ao “término do tratamento de dados”, exige que todos os dados pessoais sejam eliminados após o término do tratamento para uma finalidade definida (Art. 16). Exceções para a retenção incluem: cumprimento de obrigações legais/regulatórias, pesquisa (com anonimização), transferência a terceiros (em conformidade com a LGPD) ou uso exclusivo pelo controlador (com anonimização e proibição de acesso por terceiros)

‍

‍Segurança dos Dados

A segurança dos dados é um pilar fundamental da LGPD. Os dados pessoais devem ser tratados de forma a garantir sua segurança, incluindo proteção contra acesso não autorizado ou ilícito e contra perda, destruição ou dano acidentais. O Artigo 6º, VII, da LGPD exige o uso de “medidas técnicas e administrativas” para proteger dados pessoais contra acessos não autorizados e tratamento acidental ou ilícito. O Artigo 6º, VIII, exige a adoção de medidas para “prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.

O Artigo 44 da LGPD estabelece que o tratamento de dados é ilícito quando não atende aos padrões de segurança esperados pelo titular, sendo o nível apropriado de segurança determinado pelas circunstâncias do tratamento, o nível de risco esperado e as técnicas disponíveis. O Artigo 46 impõe a controladores e operadores a obrigação de adotar medidas de segurança desde a concepção até a execução do produto ou serviço. A ANPD pode estabelecer padrões mínimos de segurança.

A LGPD também prevê a notificação de incidentes de segurança. Conforme o Artigo 48, em caso de incidente que possa gerar risco ou dano relevante aos titulares, o controlador é obrigado a notificar a ANPD e os titulares. A notificação deve ocorrer em um prazo razoável (3 dias ou 72 horas, conforme regulamento da ANPD) e incluir informações detalhadas sobre o incidente. A abordagem é similar aos Artigos 33 e 34 do GDPR Europeu. A ANPD definiu “incidente” como “qualquer evento adverso confirmado relacionado à violação da confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais”.

‍

Transparência

A transparência é fundamental para que os titulares dos dados possam exercer seus direitos. O Artigo 6º, VI, da LGPD estabelece que os titulares devem receber informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados e os respectivos agentes de tratamento, ressalvado o “segredo comercial e industrial”.

O Artigo 9º da LGPD lista as informações a serem fornecidas aos titulares, incluindo: propósito específico do tratamento, tipo e duração do tratamento, identificação e contato do controlador, informações sobre possível compartilhamento de dados, responsabilidades dos agentes de tratamento e direitos dos titulares. A limitação relacionada ao “segredo comercial e industrial” é interpretada à luz da Lei de Acesso à Informação (LAI), que prioriza a divulgação de informações, com exceções justificadas para proteger segredos de negócios sem impedir o cumprimento da lei.

‍

Direitos Individuais

A LGPD, em seu Capítulo III, estabelece os direitos dos titulares de forma similar aos Artigos 15 a 22 do GDPR Europeu. O exercício de todos os direitos é gratuito e os titulares devem ser informados sobre eles. Quaisquer violações dos direitos dos titulares são consideradas infrações “médias” ou “graves” pela ANPD, sujeitas aos mais altos níveis de sanções e multas. A ANPD tem recebido um número crescente de reclamações e solicitações de indivíduos, especialmente após a introdução de uma plataforma modernizada para envio de pedidos.

Os principais direitos incluem:

Direito de Acesso e Informação (Art. 9º e Art. 18, II): Obter informações sobre o tratamento de seus dados a qualquer momento, incluindo a identidade do controlador, propósito, compartilhamento, duração e seus próprios direitos. O acesso deve ser fornecido “imediatamente, em formato simplificado” ou “em 15 dias, por meio de declaração clara e completa” (Art. 19).
Direito de Retificação (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados.
Direito de Eliminação/Exclusão (Art. 18, IV e VI): Solicitar a eliminação de dados desnecessários, excessivos, tratados com consentimento (quando revogado) ou ilicitamente.
Direito de Oposição/Restrição (Art. 15 e Art. 18, IV): Opor-se ao tratamento baseado em outras bases legais que não o consentimento, em caso de não conformidade com a LGPD, ou solicitar o bloqueio do tratamento quando os dados forem desnecessários, excessivos ou tratados de forma não conforme.
Direito à Portabilidade (Art. 19, § 3º): Solicitar uma cópia eletrônica de seus dados para uso por outras entidades, quando os dados foram tratados com base em consentimento ou contrato.
Direitos em Relação à Decisão Automatizada (Art. 20): Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses, com direito a informações claras sobre os critérios e procedimentos utilizados. O “segredo comercial e industrial” não pode ser motivo para recusar o atendimento.

Legislações específicas, como a Lei do Habeas Data e a Lei do Processo Administrativo Federal, fortalecem os direitos de acesso e informação quando se trata de dados tratados por autoridades públicas.

‍

Transferências Internacionais de Dados

A LGPD, em seu Capítulo V, estabelece um rigoroso quadro para as transferências internacionais de dados pessoais, complementado por um Regulamento vinculativo da ANPD sobre o tema. As regras se aplicam a todo o tratamento abrangido pela LGPD, independentemente dos meios técnicos, localização geográfica dos dados ou presença física do controlador/operador.

As transferências internacionais de dados só são permitidas sob três condições cumulativas:

Devem ser realizadas para finalidades legítimas, específicas e explícitas, informadas ao titular, sem possibilidade de tratamento posterior incompatível.
Devem basear-se em uma base legal válida conforme a LGPD (Art. 7º ou Art. 11 para dados sensíveis).
Deve ser utilizado um mecanismo de transferência válido.

Os mecanismos de transferência incluem:

Decisão de Adequação: A ANPD pode adotar uma decisão de adequação para um terceiro país ou organização internacional, considerando critérios similares aos da UE, como a legislação geral e setorial, a natureza dos dados, a proteção dos direitos dos titulares, medidas técnicas/organizacionais de segurança e a existência de uma autoridade supervisora independente. A ANPD está atualmente trabalhando em uma decisão de adequação para a União Europeia.
Garantias de Conformidade: Os controladores podem assegurar a conformidade através de:
- Cláusulas contratuais específicas.
- Cláusulas Contratuais Padrão (CCP) aprovadas pela ANPD. A ANPD já adotou um conjunto de cláusulas modelo modulares que cobrem requisitos de proteção de dados.
- Normas Corporativas Vinculantes (BCR – Binding Corporate Rules), sujeitas à aprovação prévia da ANPD e com requisitos de validade detalhados.
- Selos, certificações e códigos de conduta aprovados pela ANPD.
Outras bases para transferência: Necessidade para cooperação jurídica internacional, proteção da vida ou incolumidade física, autorização da ANPD, compromisso de cooperação internacional, execução de política pública/obrigação legal, consentimento do titular (com informação prévia da natureza do tratamento), ou cumprimento de obrigação legal/regulatória para contrato/exercício de direitos em processos.

O Regulamento de Transferência de Dados da ANPD enquadra estritamente o uso dessas bases para garantir a continuidade da proteção, assegurando que as transferências internacionais sejam realizadas em conformidade com os princípios e direitos do titular, mantendo o nível de proteção da LGPD.

‍

**Prestação de Contas (Accountability)**

O princípio da prestação de contas, ou accountability, exige que as entidades que tratam dados implementem medidas técnicas e organizacionais adequadas para cumprir suas obrigações de proteção de dados e demonstrar essa conformidade à autoridade competente. O Artigo 6º, IX, da LGPD estabelece que o controlador e o operador devem adotar medidas “eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais”.

Para garantir a accountability, o Artigo 50 da LGPD permite a adoção de regras internas e modelos de governança, incluindo a gestão de reclamações e solicitações dos titulares, observando obrigações de segurança e mitigação de riscos.

A LGPD também exige a nomeação de um Encarregado de Dados (DPO – Data Protection Officer) (Art. 41), que atua como elo entre o controlador, os titulares e a ANPD. A identidade do DPO deve ser publicamente divulgada. A ANPD pode isentar certas microempresas, pequenas empresas, startups e organizações sem fins lucrativos da obrigação de nomear um DPO, desde que não realizem tratamento de dados de “alto risco”. Um tratamento é considerado de alto risco se envolver, cumulativamente:

Tratamento de dados pessoais em larga escala;
Tratamento de dados que possa impactar significativamente os direitos e interesses fundamentais dos titulares. E, adicionalmente, pelo menos uma das seguintes características específicas;
1. Uso de tecnologia emergente ou inovadora;
2. Vigilância ou controle de áreas acessíveis ao público;
3. Processos de decisão unicamente automatizados; e
4. Tratamento de dados sensíveis ou de crianças e adolescentes.

A ANPD emitiu um regulamento sobre o papel do DPO, que detalha suas atribuições e reforça a obrigação de independência, acesso à alta gerência e atuação com ética e integridade. A fiscalização da ANPD tem priorizado o cumprimento das disposições sobre o DPO, com aplicação de sanções em casos de não conformidade.

As Avaliações de Impacto à Proteção de Dados (DPIA – ata Protection Impact Assessment) são outra ferramenta importante de accountability. O Artigo 38 da LGPD permite que a ANPD solicite um DPIA, que deve incluir uma descrição do tratamento, medidas, salvaguardas e mecanismos para mitigar riscos.

Em suma, o arcabouço de salvaguardas, direitos e obrigações da LGPD é abrangente, detalhado e em constante apr

LINKEDIN FEED

Fechar

In view of our commitment with privacy, we have created this Privacy Statement, which aims to provide information about how we collect, store and process personal data submitted by users through our website.‍

LICKS ATTORNEYS' COMPLIANCE BLOG