Já sabe como é que esta decisão vai impactar o seu programa de privacidade?
No passado dia 26 de janeiro de 2026, a Comissão Europeia emitiu uma decisão sobre o nível de adequação do Brasil referente à proteção de dados pessoais. Os dados pessoais podem, agora, circular entre o Espaço Económico Europeu (“EEE”) e o Brasil sem a necessidade de garantias adicionais. Isto é, como se fosse uma transferência de dados entre dois países que integram o EEE.
O que é uma decisão de adequação?
As transferências internacionais de dados pessoais consistem na comunicação, divulgação, transferência, transmissão, cedência ou qualquer outro tipo de tratamento de dados pessoais entre um país que integre o EEE e um país terceiro.
Para que estas transferências sejam licitas é necessário que se preencham um conjunto de condições previstas no Regulamento Geral de Proteção de Dados (“RGPD”). Estas visam assegurar que não é comprometido o nível de proteção dos titulares dos dados, conferido pelo RGPD.
As decisões de adequação são uma destas condições. Através destas é reconhecido aos países terceiros à União Europeia (“UE”) um nível de proteção de dados similar àquele praticado no Espaço Económico Europeu (“EEE”).
As decisões de adequação podem, assim, ser interpretadas como uma autorização de carácter geral para que sejam realizadas transferências de dados pessoais para os países terceiros que beneficiem das mesmas. Estas transferências passam a poder decorrer, como qualquer outra transferência de dados pessoais entre países do EEE.
Que impacto pode ter esta decisão de adequação?
Esta decisão de adequação surge no contexto de uma parceria mais ampla para promover o comércio entre a UE e a América do Sul, onde se inclui o Brasil.
Prevê-se que esta decisão de adequação venha a impulsionar o comércio digital entre os países europeus e o Brasil, tendo impacto em todas as empresas que transmitam dados entre um continente e o outro, independentemente da sua dimensão.
A decisão de adequação agora proferida será revista dentro de quatro anos, podendo ser atualizada ou revogada pela Comissão Europeia, caso surja essa necessidade.
Com a entrada em vigor desta decisão, passam a estar em vigor cerca de 17 decisões de adequação, para: Andorra; Argentina; Brasil; Canadá (organizações comerciais), Ilhas Faroé; Guernsey; Israel; Ilha de Man; Japão; Jersey; Nova Zelândia; República da Coreia; Suíça; Reino Unido; Estados Unidos da América (organizações comerciais que integrem o EU-US Data Privacy Framework); Uruguai. Para além destes países, foi ainda emitida uma decisão de adequação para o Instituto Europeu de Patentes (“EPOrg”), que é uma organização intergovernamental, sediada em Munique.
Qual o impacto desta decisão de adequação nos programas de privacidade das empresas europeias?
Esta decisão de adequação terá impacto em todos os programas de privacidade em que já exista a transferência de dados pessoais para o Brasil, incluindo nos grupos de empresas em que existam empresas sediadas no Brasil, bem como naquelas empresas que ainda não transferem dados para o Brasil, mas que estão a planear fazê-lo num futuro próximo.
Quanto àquelas entidades que já estão a transferir dados para o Brasil, recomenda-se a revisão das condições utilizadas para a realização das transferências internacionais (ex: cláusulas contratuais-tipo ou regras vinculativas aplicáveis às empresas). Adicionalmente, recomenda-se a revisão e atualização dos Acordos de Tratamento de Dados, de eventuais Avaliações de Impacto sobre a Proteção de Dados (“DPIAs”), bem como das Avaliações de Impacto das Transferências Internacionais (“TIAs”), associadas às atividades de tratamento em questão. Neste âmbito, registos de atividades de tratamento devem ser revistos em conformidade.
No caso das transferências entre entidades do mesmo grupo, para além das recomendações acima que, também, poderão ser aplicáveis, recomenda-se a revisão e atualização dos Acordos Intergrupo.
Quanto às entidades que ainda não transferem dados para o Brasil, mas que o pretendem fazer num futuro próximo, esta decisão de adequação facilita de forma considerável todo o processo de compliance com as normas de proteção de dados. No entanto, continuará a ser necessário realizar um Acordo de Tratamento de Dados, bem como um TIA. Eventualmente, poderá, também, ser necessário realizar um DPIA, consoante a atividade de tratamento e os procedimentos internos implementados na empresa para avaliar atividades de tratamento (realização de DPIA e “pré-DPIA”). Aquando do início da atividade de tratamento, deve ser atualizado o registo de atividades de tratamento da empresa.
Conclusão
O compliance com a proteção de dados é um processo contínuo, que não está apenas dependente das empresas e das entidades com quem se relacionam, mas também da legislação local e internacional, bem como dos avanços tecnológicos.
A manutenção de um programa de privacidade robusto e sofisticado, permite responder de forma mais célere e eficiente às muitas alterações que vão impactando o sector.
Se por um lado, esta decisão de adequação vem facilitar as transferências de dados pessoais para o Brasil, implica, também, um trabalho de revisão e atualização dos programas de privacidade existentes para que os processos decorram da forma mais eficiente possível.
Neste âmbito, a assessoria externa às equipas de proteção de dados pode revelar-se um elemento chave para permitir uma adaptação mais célere das organizações à nova realidade, sem implicar o desvio dos recursos humanos internos, dos objetivos já definidos e das tarefas diárias decorrentes da manutenção do programa de privacidade.
por Ana Bastos e Diogo Moreira Ramos, Área de Prática – TMT – Privacidade e Cibersegurança
