Decisões de Adequação da UE: Lista Completa de Países e Atualizações de 2026
Nos termos do Artigo 45 do Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD), conhecido internacionalmente pela sigla em inglês GDPR, a Comissão Europeia emite uma decisão de adequação quando determina que um país fora da UE oferece um nível de proteção de dados essencialmente equivalente aos padrões da UE. Essa designação permite que os dados pessoais fluam livremente da UE para esse país, sem necessidade de salvaguardas adicionais, como as Cláusulas Contratuais-Padrão.
Uma decisão de adequação da UE é uma determinação formal da Comissão Europeia de que um país fora do Espaço Econômico Europeu (EEE) oferece um nível de proteção de dados "essencialmente equivalente" ao garantido dentro da UE. Quando um país recebe uma decisão de adequação, os dados pessoais podem fluir livremente da UE para esse país sem que as organizações precisem implementar salvaguardas adicionais, como Cláusulas Contratuais-Padrão (CCP) ou Normas Corporativas Vinculantes.
O regime de adequação está estabelecido no Artigo 45 do GDPR, que define os critérios que a Comissão deve avaliar e o procedimento para adoção, revisão e revogação. As decisões de adequação estão entre os instrumentos mais relevantes da proteção internacional de dados, pois determinam se fluxos de dados transfronteiriços contínuos são possíveis entre a UE e seus parceiros comerciais.
Este guia aborda o funcionamento da adequação, todos os países e organizações que atualmente possuem status de adequação, a revisão de 2024 das onze decisões anteriores ao GDPR, a renovação do Reino Unido em dezembro de 2025, a decisão sobre o Brasil em 2026, o Data Privacy Framework entre UE e EUA e seu histórico de litígios, e o que a adequação significa para a sua organização.
Como Funcionam as Decisões de Adequação Segundo o Artigo 45 do RGPD (GDPR)
O Artigo 45 do GDPR autoriza a Comissão Europeia a determinar que um país terceiro, um território, um ou mais setores específicos dentro de um país terceiro, ou uma organização internacional, garante um nível adequado de proteção. O padrão jurídico não é uma proteção idêntica, mas sim a "equivalência essencial" com o direito da UE.
Os Critérios de Avaliação
Ao avaliar um país para fins de adequação, a Comissão considera diversos fatores previstos no Artigo 45(2):
Estado de direito e direitos humanos: o marco jurídico geral do país, incluindo legislação sobre segurança nacional, interesse público, direito penal e acesso governamental a dados pessoais. A existência de um poder judiciário independente é um fator de grande peso.
Autoridade de supervisão independente: se o país conta com uma ou mais autoridades de proteção de dados independentes, com poderes adequados de fiscalização, incluindo a capacidade de investigar, intervir e sancionar violações. A autoridade também deve prestar assistência e orientação aos titulares de dados no exercício de seus direitos.
Compromissos internacionais: a participação do país em instrumentos internacionais de proteção de dados, como a Convenção 108 do Conselho da Europa e seu Protocolo modernizado (Convenção 108+), acordos bilaterais ou multilaterais, e outras obrigações juridicamente vinculantes.
Direitos dos titulares de dados: se os indivíduos possuem direitos efetivos e exequíveis, incluindo acesso, retificação, eliminação e restrição do tratamento, além do direito a um recurso administrativo e judicial eficaz.
Regras de transferência posterior: se o país impõe condições para transferências posteriores de dados a outros países terceiros, impedindo que a adequação se torne uma porta de entrada para fluxos de dados a jurisdições com proteções mais fracas.
O Processo de Adoção
A avaliação de adequação é um processo longo. A Comissão conduz sua análise, muitas vezes ao longo de vários anos. O Comitê Europeu para a Proteção de Dados (EDPB) emite um parecer sobre a minuta da decisão. Representantes dos Estados-membros, reunidos em um comitê de comitologia, votam para aprovar a decisão. O Parlamento Europeu e o Conselho podem solicitar que a Comissão mantenha, altere ou retire uma decisão.
Da avaliação inicial até a adoção final, o processo costuma levar de dois a quatro anos. Países que ratificaram a Convenção 108+, estabeleceram autoridades de supervisão genuinamente independentes com poder real de fiscalização, e promulgaram legislação abrangente alinhada ao GDPR, tendem a percorrer o processo mais rapidamente.
Monitoramento e Revisão Periódica
O Artigo 45(3) exige que a Comissão monitore continuamente os desenvolvimentos nos países adequados. O Artigo 45(4) exige que ela informe periodicamente o Parlamento Europeu e o Conselho sobre o funcionamento das decisões. Se a Comissão constatar que um país deixou de oferecer equivalência essencial, poderá alterar, suspender ou revogar a decisão.
Países com Decisões de Adequação da UE
Em 2026, a Comissão Europeia havia emitido decisões de adequação para 17 países, territórios e organizações. A lista inclui tanto decisões anteriores ao GDPR (adotadas originalmente sob a Diretiva de Proteção de Dados de 1995 e mantidas em vigor pelo Artigo 45(9) do GDPR) quanto decisões adotadas desde a entrada em vigor do GDPR, em maio de 2018.
Decisões de Adequação Anteriores ao GDPR (Era da Diretiva)
Essas decisões foram adotadas sob a Diretiva 95/46/CE, antes de o GDPR entrar em vigor em 25 de maio de 2018. Elas permanecem em vigor enquanto não forem revogadas ou modificadas.
Andorra (adotada em outubro de 2010): a Lei Qualificada de Proteção de Dados Pessoais de Andorra, de 2003, e sua autoridade de supervisão independente (APDA) fundamentaram a conclusão de adequação. A revisão da Comissão em janeiro de 2024 confirmou que a adequação continua justificada.
Argentina (adotada em junho de 2003): a Lei de Proteção de Dados Pessoais da Argentina (Lei 25.326) e a Agência de Acesso à Informação Pública (AAIP) constituem a base da adequação. A Argentina continua sendo o único país sul-americano com adequação da UE fora do Brasil.
Canadá (adotada em dezembro de 2001, parcial): a adequação do Canadá limita-se às organizações sujeitas à Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) em suas atividades comerciais. O tratamento pelo setor público, organizações não sujeitas à PIPEDA, e a legislação provincial não reconhecida como substancialmente semelhante à PIPEDA, ficam fora do escopo da decisão.
Ilhas Faroé (adotada em março de 2010): um território autônomo do Reino da Dinamarca, com legislação própria de proteção de dados.
Guernsey (adotada em novembro de 2003): dependência da Coroa britânica com legislação de proteção de dados alinhada ao UK GDPR após o Brexit.
Ilha de Man (adotada em abril de 2004): dependência da Coroa britânica com regime independente de proteção de dados sob o Information Commissioner's Office (Ilha de Man).
Israel (adotada em janeiro de 2011): a Lei de Proteção da Privacidade de Israel, de 1981, e a Autoridade de Proteção da Privacidade forneceram o marco regulatório. Israel vem trabalhando na modernização de sua legislação de privacidade para aproximá-la dos padrões do GDPR.
Jersey (adotada em maio de 2008): dependência da Coroa britânica com legislação própria de proteção de dados e autoridade de supervisão (ODPA).
Nova Zelândia (adotada em dezembro de 2012): a Lei de Privacidade da Nova Zelândia e o Escritório do Comissário de Privacidade forneceram a base para a adequação. A Nova Zelândia promulgou uma Lei de Privacidade significativamente modernizada em novembro de 2020.
Suíça (adotada em julho de 2000): uma das primeiras decisões de adequação. A Suíça promulgou uma Lei Federal de Proteção de Dados revisada (revFADP), em vigor desde 1º de setembro de 2023, que moderniza seu marco regulatório para alinhá-lo mais estreitamente ao GDPR. A Comissão tem monitorado se a revFADP reforça a posição de adequação da Suíça.
Uruguai (adotada em agosto de 2012): a Lei de Proteção de Dados do Uruguai (Lei 18.331) e a Unidade Reguladora e de Controle de Dados Pessoais (URCDP) sustentaram a conclusão de adequação.
Decisões de Adequação Posteriores ao GDPR
Japão (adotada em janeiro de 2019): a primeira decisão de adequação adotada sob o GDPR. A Lei de Proteção de Informações Pessoais do Japão (APPI) foi complementada por salvaguardas adicionais negociadas especificamente com a UE, incluindo regras mais rígidas sobre dados sensíveis, transferências posteriores e direitos individuais. A Comissão concluiu sua primeira revisão em abril de 2023, concluindo que a adequação permanecia justificada, dado o alinhamento contínuo da APPI com os princípios do GDPR.
República da Coreia (Coreia do Sul) (adotada em dezembro de 2021): a Lei de Proteção de Informações Pessoais da Coreia do Sul (PIPA), substancialmente alterada em 2020, e a Comissão de Proteção de Informações Pessoais (PIPC) sustentaram a conclusão. A Coreia assumiu compromissos adicionais quanto ao acesso governamental a dados para fins de aplicação da lei e segurança nacional.
Reino Unido (adotada em junho de 2021, renovada em dezembro de 2025): a decisão de adequação do Reino Unido é tratada em detalhe em seção própria abaixo.
Estados Unidos (DPF) (adotada em julho de 2023): a decisão de adequação aplica-se apenas a organizações americanas certificadas sob o Data Privacy Framework (DPF) entre a UE e os EUA. Não existe uma conclusão geral de adequação para os Estados Unidos. Transferências para organizações americanas não certificadas ainda exigem CCP ou outras salvaguardas.
Brasil (adotada em 26 de janeiro de 2026): a decisão de adequação mais recente e mais abrangente até hoje, e o primeiro arranjo de adequação mútua. Ver seção detalhada abaixo.
Organização Europeia de Patentes (adotada em 15 de julho de 2025): a primeira decisão de adequação já adotada para uma organização internacional. Isso permite fluxos de dados fluidos entre entidades da UE e a OEP, apoiando a transformação digital do processo de concessão de patentes.
A Revisão de Janeiro de 2024 das Onze Decisões Pré-GDPR
Em 15 de janeiro de 2024, a Comissão Europeia publicou seu relatório sobre a primeira revisão periódica do funcionamento das onze decisões de adequação adotadas sob a Diretiva 95/46/CE (documento SWD(2024) 3 final, que acompanha a comunicação da Comissão COM/2024/7). As onze decisões revisadas foram: Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Ilha de Man, Israel, Jersey, Nova Zelândia, Suíça e Uruguai.
Conclusão: Todas as Onze Continuam a Oferecer Adequação
A conclusão geral da Comissão foi que todos os onze países e territórios continuam a oferecer um nível adequado de proteção de dados e que nenhuma das decisões precisa ser retirada ou alterada neste momento.
Observações Específicas por País
A revisão não foi uma mera formalidade. A Comissão identificou áreas específicas que exigem monitoramento contínuo:
Para a Argentina, a Comissão observou a necessidade de o país concluir seu processo de reforma legislativa para modernizar sua lei de proteção de dados de 2000, aproximando-a dos padrões do GDPR, e recomendou a nomeação de um novo dirigente para a autoridade de supervisão AAIP.
Para Israel, a Comissão observou a reforma legislativa em curso para atualizar a Lei de Proteção da Privacidade e apontou que o escopo e a profundidade dessa reforma seriam relevantes para uma futura avaliação de adequação.
Para o Canadá, a Comissão destacou o processo em curso de reforma da PIPEDA (Projeto de Lei C-27) e observou que a implementação da reforma afetaria futuras revisões de adequação.
Para a Nova Zelândia, a Comissão observou o impacto positivo das reformas de 2020 da Lei de Privacidade e elogiou o bom funcionamento da autoridade de supervisão independente do país.
A Comissão confirmou que as decisões de adequação para Guernsey, Ilha de Man, Jersey, Ilhas Faroé, Andorra, Suíça e Uruguai continuam operando de maneira satisfatória, ao mesmo tempo em que recomendou a manutenção de um monitoramento próximo dos desenvolvimentos regulatórios em cada jurisdição.
A Decisão de Adequação do Reino Unido: Cláusula de Caducidade, Prorrogação e Renovação de Dezembro de 2025
A decisão de adequação do Reino Unido tem um histórico mais complexo do que qualquer outra decisão de adequação, devido à cláusula de caducidade específica inserida no momento de sua adoção original.
A Decisão Original de 2021 e a Cláusula de Caducidade
A Comissão adotou a decisão de adequação do Reino Unido em 28 de junho de 2021, pouco antes de expirar o acordo-ponte previsto no Acordo de Comércio e Cooperação entre a UE e o Reino Unido. Ao contrário de qualquer outra decisão de adequação, a decisão do Reino Unido continha uma cláusula de caducidade de quatro anos, que a faria expirar automaticamente em 27 de junho de 2025, salvo renovação. A cláusula foi inserida porque a Comissão queria ter a possibilidade de reavaliar o marco de proteção de dados do Reino Unido à medida que este evoluísse de forma independente do direito da UE após o Brexit.
A Prorrogação Técnica de Junho de 2025
À medida que se aproximava a data de expiração de 27 de junho de 2025, a Comissão ainda não havia concluído seu processo formal de renovação. Em 24 de junho de 2025, a Comissão adotou uma breve prorrogação técnica das decisões de adequação do Reino Unido baseadas tanto no GDPR quanto na LED, preservando os fluxos de dados enquanto a avaliação de renovação era finalizada.
A Renovação de 19 de Dezembro de 2025
Em 19 de dezembro de 2025, a Comissão renovou formalmente as decisões de adequação do Reino Unido, tanto sob o GDPR quanto sob a Diretiva de Aplicação da Lei (LED). As decisões renovadas têm vigência de seis anos, expirando em 27 de dezembro de 2031. A Comissão comprometeu-se a realizar uma revisão intermediária após quatro anos, trabalhando em estreita colaboração com o EDPB.
A Comissão concluiu que o Reino Unido continua a oferecer proteção de dados essencialmente equivalente, apesar de diversas mudanças legislativas desde 2021. Entre elas, destaca-se a promulgação pelo Reino Unido do Data (Use and Access) Act 2025 (DUAA), que recebeu sanção real em 19 de junho de 2025. O DUAA substituiu o projeto de Data Protection and Digital Information Bill, que continha divergências mais significativas em relação aos padrões do GDPR. A Comissão avaliou o DUAA e constatou que o marco regulatório geral do Reino Unido permanecia essencialmente equivalente.
Parecer do EDPB e Condições de Monitoramento
O EDPB adotou seu parecer sobre as minutas das decisões de adequação do Reino Unido em outubro de 2025. Embora tenha recebido a renovação positivamente, o EDPB solicitou à Comissão que garantisse um monitoramento efetivo de diversas áreas, incluindo a exceção de imigração às regras de proteção de dados do Reino Unido, a UK-US Data Bridge e suas implicações para as transferências posteriores de dados da UE para os EUA, e o risco de divergência futura à medida que o marco regulatório do Reino Unido continua a evoluir de forma independente.
A renovação significa que, pelo período de seis anos até dezembro de 2031, as organizações podem transferir dados pessoais livremente entre a UE e o Reino Unido sob as decisões de adequação. Organizações que dependem da adequação do Reino Unido devem manter-se atentas às condições de monitoramento e manter planos de contingência com CCP caso a Comissão decida não renovar novamente em 2031.
Brasil: A Mais Nova Decisão de Adequação (Janeiro de 2026)
Em 26 de janeiro de 2026, a Comissão Europeia adotou a Decisão de Execução (UE) 2026/179, reconhecendo que o marco da LGPD brasileira oferece proteção de dados adequada nos termos do Artigo 45 do GDPR. Na mesma data, a autoridade nacional de proteção de dados do Brasil (ANPD) adotou a Resolução CD/ANPD nº 32, reconhecendo mutuamente que a UE oferece proteção adequada nos termos da Lei Geral de Proteção de Dados (LGPD) brasileira.
O Que Torna a Decisão sobre o Brasil Diferente
A decisão sobre o Brasil se destaca das decisões de adequação anteriores em diversos aspectos:
Reconhecimento mútuo: ambos os lados reconheceram simultaneamente a adequação um do outro, criando um arranjo genuinamente bilateral. A Resolução ANPD nº 32 espelha a decisão da UE, permitindo fluxos de dados livres em ambas as direções.
Escopo setorial mais amplo: ao contrário do Canadá (apenas atividades comerciais) e dos EUA (apenas organizações certificadas pelo DPF), a adequação do Brasil abrange transferências tanto do setor público quanto do setor privado, tornando-a o arranjo de adequação mais abrangente já adotado sob o GDPR.
Exceção para segurança: a decisão não se aplica a transferências realizadas exclusivamente para fins de defesa nacional, segurança do Estado ou investigação criminal, em consonância com as próprias exceções previstas na LGPD nessas áreas.
Cronograma de revisão: a decisão está sujeita a uma revisão formal a cada quatro anos, com a Comissão trabalhando em estreita colaboração com a ANPD no monitoramento contínuo.
Contexto: O Marco de Proteção de Dados do Brasil
O Brasil promulgou sua Lei Geral de Proteção de Dados (LGPD) em 2018, com vigência a partir de setembro de 2020. A LGPD espelha de perto a estrutura e os princípios do GDPR, abrangendo bases legais para o tratamento, direitos dos titulares de dados, notificação de incidentes de segurança e requisitos para encarregados de proteção de dados. A ANPD foi criada como autoridade de supervisão independente e emitiu regulamentações sobre mecanismos de transferência internacional de dados e notificação de incidentes de segurança que aproximaram ainda mais o marco brasileiro dos padrões da UE.
A UE publicou uma minuta de decisão de adequação em setembro de 2025, após um processo de avaliação iniciado vários anos antes. A decisão final foi adotada em 26 de janeiro de 2026.
O Data Privacy Framework entre a UE e os EUA
O Data Privacy Framework (DPF) entre a UE e os EUA foi adotado como decisão de adequação em 10 de julho de 2023, após intensas negociações entre a Comissão e o governo Biden. O DPF substituiu o Privacy Shield, invalidado pelo Tribunal de Justiça da União Europeia (TJUE) no caso Schrems II, em julho de 2020.
Como Funciona o DPF
Diferentemente das decisões de adequação aplicáveis a países inteiros, o DPF é um esquema de autocertificação. As organizações americanas certificam voluntariamente sua conformidade com os Princípios do DPF por meio da Administração de Comércio Internacional (ITA), em dataprivacyframework.gov. As organizações certificadas concordam em cumprir os Princípios do DPF e em se submeter à fiscalização da FTC e do Departamento de Transporte. Indivíduos da UE podem buscar reparação por meio de um Tribunal de Revisão de Proteção de Dados (DPRC), estabelecido pela Ordem Executiva 14086, para reclamações relacionadas a atividades de inteligência de sinais dos EUA.
A Primeira Revisão Anual de Outubro de 2024
Em 9 de outubro de 2024, a Comissão publicou seu relatório sobre a primeira revisão periódica do DPF entre a UE e os EUA (COM(2024) 451 final). A reunião de revisão ocorreu em Washington, D.C., entre 18 e 19 de julho de 2024.
Principais conclusões: a Comissão constatou que o DPF vinha funcionando conforme previsto em seu primeiro ano, com forte participação de pequenas e médias empresas (70% das empresas certificadas são PMEs) e representação significativa do setor de TIC (47% das certificações). As autoridades americanas confirmaram que não houve mudanças relevantes no marco jurídico de segurança nacional ou de aplicação da lei durante o primeiro ano do DPF.
Litígio: O Caso Latombe (Setembro de 2025)
O DPF enfrentou seu primeiro desafio judicial no processo T-553/23, Philippe Latombe v. Comissão Europeia, perante o Tribunal Geral da União Europeia. Em 3 de setembro de 2025, o Tribunal Geral rejeitou a ação, confirmando que os Estados Unidos garantem um nível adequado de proteção para os dados pessoais transferidos sob o DPF. O Tribunal constatou que as atividades de inteligência de sinais dos EUA estão sujeitas à supervisão judicial do DPRC, cujas decisões são finais e vinculantes, satisfazendo o padrão de equivalência essencial estabelecido no caso Schrems II.
A decisão pode ser objeto de recurso perante o TJUE. A NOYB (None of Your Business), organização de defesa da privacidade fundada por Max Schrems, indicou que está acompanhando os desenvolvimentos e pode apresentar um novo desafio, mais amplo, em separado.
Incerteza Política Contínua
A estabilidade de longo prazo do DPF enfrenta riscos políticos decorrentes das ações do governo Trump em 2025. As principais preocupações incluem:
PCLOB: em janeiro de 2025, o governo Trump destituiu os membros democratas do Privacy and Civil Liberties Oversight Board, deixando o órgão sem quórum. O PCLOB desempenha papel de supervisão sobre o marco de vigilância dos EUA que sustenta as salvaguardas do DPF.
Independência da FTC: uma ordem executiva sobre responsabilização de agências, editada em fevereiro de 2025, gerou preocupações quanto à independência suficiente da FTC para fazer cumprir os compromissos do DPF junto às organizações certificadas.
Diversas autoridades europeias de proteção de dados, incluindo a Datatilsynet da Noruega, a DSK da Alemanha e a Datatilsynet da Dinamarca, emitiram orientações recomendando que as organizações desenvolvam planos de contingência para mecanismos alternativos de transferência. Organizações que dependem do DPF devem manter atualizados os arranjos de CCP como reserva.
Como as Decisões de Adequação São Revogadas ou Contestadas
O histórico dos marcos de transferência de dados entre a UE e os EUA ilustra a fragilidade dos arranjos baseados em adequação e as consequências da revogação.
Schrems I: Safe Harbor (2015)
Em outubro de 2015, o TJUE invalidou o marco Safe Harbor (processo C-362/14, Schrems v. Data Protection Commissioner), após revelações sobre programas de vigilância em massa dos EUA divulgadas por Edward Snowden. O Tribunal constatou que a decisão de adequação do Safe Harbor, adotada pela Comissão, não oferecia proteção essencialmente equivalente, pois a legislação americana permitia o acesso em massa a dados pessoais sem supervisão judicial adequada.
Schrems II: Privacy Shield (2020)
Em julho de 2020, o TJUE invalidou o marco Privacy Shield (processo C-311/18, Data Protection Commissioner v. Facebook Ireland) pelos mesmos motivos essenciais: a legislação de vigilância dos EUA não oferecia aos titulares de dados direitos exequíveis nem um recurso judicial efetivo equivalente aos padrões da UE. O Tribunal também confirmou que as Cláusulas Contratuais-Padrão permanecem válidas, mas que os exportadores de dados devem realizar Avaliações de Impacto de Transferência antes de utilizá-las.
Consequências Práticas da Revogação
Quando uma decisão de adequação é invalidada, a base jurídica para as transferências desaparece imediatamente. Após o caso Schrems II:
- Mais de 5.300 empresas americanas que dependiam do Privacy Shield como único mecanismo de transferência tiveram que implementar salvaguardas alternativas em prazo curto.
- Organizações da UE descobriram que precisavam renegociar contratos com centenas de prestadores de serviço.
- Autoridades de proteção de dados iniciaram ações de fiscalização contra transferências para os EUA que careciam de base jurídica válida.
Não existe garantia de período de transição quando a adequação é revogada. As organizações devem tratar a adequação como uma camada da sua estratégia de transferência, e não como a única camada, mantendo arranjos de CCP atualizados sempre que decisões de adequação afetarem fluxos de dados críticos.
Adequação Parcial e Setorial
O GDPR permite expressamente a adequação para "um ou mais setores específicos" dentro de um país. Duas decisões atuais ilustram como a adequação parcial funciona na prática.
Canadá: Apenas Atividades Comerciais
A adequação do Canadá aplica-se apenas às organizações sujeitas à PIPEDA em suas atividades comerciais. O tratamento realizado por órgãos governamentais, dados tratados sob legislação provincial não reconhecida como substancialmente semelhante à PIPEDA, e tratamentos não comerciais, ficam fora do escopo da decisão.
Os esforços de reforma da proteção de dados do Canadá vêm ocorrendo há vários anos. O Projeto de Lei C-27 (Consumer Privacy Protection Act) substituiria a PIPEDA por um marco modernizado, caso seja promulgado.
Estados Unidos: Apenas Organizações Certificadas pelo DPF
A decisão de adequação dos EUA é a mais limitada em escopo. Abrange apenas organizações que se autocertificaram ativamente sob o DPF por meio da ITA. Não existe uma conclusão geral de adequação para os Estados Unidos como país. Transferências para organizações americanas não certificadas devem contar com CCP, Normas Corporativas Vinculantes, ou outro mecanismo previsto no Artigo 46 do GDPR.
Avaliações de Adequação Pendentes
Com a adesão do Brasil em 2026, a fila de candidatos de curto prazo à adequação diminuiu, mas diversos países permanecem em diferentes estágios de discussão ou avaliação.
Taiwan: a Lei de Proteção de Dados Pessoais de Taiwan e suas emendas planejadas despertaram o interesse da UE, especialmente no contexto do fortalecimento dos laços econômicos e tecnológicos entre a UE e Taiwan. Uma decisão de adequação para Taiwan seria politicamente sensível, dada a dinâmica no estreito de Taiwan, mas sua sólida base legislativa a torna uma candidata crível.
Quênia: o Quênia promulgou uma Lei de Proteção de Dados abrangente em 2019, criou um Comissário de Dados e vem trabalhando para alinhar seu marco regulatório aos padrões internacionais. A adequação para países da África Subsaariana continua sendo uma possibilidade de longo prazo.
Índia: a Índia promulgou o Digital Personal Data Protection Act de 2023 (DPDPA), criando um novo marco de supervisão (Data Protection Board). As discussões entre Índia e UE sobre adequação ainda são incipientes, com o acesso governamental e as exceções de segurança nacional representando obstáculos significativos.
Países que ratificaram a Convenção 108+, estabeleceram autoridades de supervisão genuinamente independentes com orçamento adequado de fiscalização e histórico consistente, e promulgaram legislação abrangente com princípios comparáveis aos do GDPR, estão em melhor posição. O escopo das exceções de segurança nacional tem sido historicamente o fator mais difícil de satisfazer para países com grandes agências de inteligência.
O Que a Adequação Significa para as Empresas
Os Benefícios
Para organizações que transferem dados pessoais a países adequados, o benefício prático é uma simplificação significativa. Sem CCP, sem Avaliações de Impacto de Transferência, sem Normas Corporativas Vinculantes. O exportador precisa apenas confirmar que o destino está listado como adequado no momento da transferência.
Isso reduz custos jurídicos, agiliza a integração de fornecedores, elimina a necessidade de renegociar acordos de tratamento de dados ao adicionar fornecedores em jurisdições adequadas, e remove a sobrecarga de conformidade de manter bibliotecas de CCP.
As Limitações
A adequação não substitui outras exigências do GDPR. A organização exportadora ainda precisa ter uma base legal para o tratamento, cumprir os princípios de minimização de dados e limitação de finalidade, e respeitar os direitos dos titulares de dados. A adequação apenas elimina a exigência de uma salvaguarda de transferência adicional, prevista no Artigo 46.
A organização receptora no país adequado também deve cumprir a própria legislação de proteção de dados desse país. As decisões de adequação não convertem as obrigações do GDPR da UE na legislação do país de destino.
Gerenciando o Risco de Dependência
Considerando que dois marcos de adequação dos EUA já foram invalidados e que a decisão sobre o Reino Unido exigiu renovação com condições de monitoramento, as decisões de adequação devem ser tratadas como úteis, mas não incondicionais. As organizações devem:
- Manter arranjos paralelos de CCP para quaisquer fluxos de dados a países onde a estabilidade da adequação seja incerta, particularmente os EUA sob o DPF.
- Acompanhar as revisões periódicas da Comissão e os pareceres do EDPB em busca de sinais de que a adequação está sob pressão.
- Monitorar os desenvolvimentos legislativos em países adequados que possam levar seus marcos regulatórios abaixo do limiar de equivalência essencial.
Este conteúdo constitui informação jurídica geral, não consultoria jurídica. Organizações que dependem de decisões de adequação para transferências internacionais de dados devem consultar um advogado para orientação específica à sua situação.
Frequently Asked Questions
O que é uma decisão de adequação da UE?
Uma decisão de adequação da UE é uma determinação formal da Comissão Europeia, nos termos do Artigo 45 do GDPR, de que um país fora da UE oferece proteção de dados essencialmente equivalente aos padrões da UE. Quando um país possui status de adequação, os dados pessoais podem fluir livremente da UE para esse país sem que as organizações precisem de salvaguardas adicionais, como Cláusulas Contratuais-Padrão ou Normas Corporativas Vinculantes. O padrão é a equivalência essencial, não a proteção idêntica.
Quais países possuem decisões de adequação da UE em 2026?
Em 2026, 17 países, territórios e organizações possuem adequação: Andorra, Argentina, Brasil (janeiro de 2026), Canadá (apenas setor comercial), Ilhas Faroé, Guernsey, Ilha de Man, Israel, Japão, Jersey, Nova Zelândia, República da Coreia, Suíça, Reino Unido (renovado em dezembro de 2025 até dezembro de 2031), Estados Unidos (apenas para organizações certificadas pelo DPF), Uruguai e Organização Europeia de Patentes (julho de 2025). Diversas dessas decisões foram adotadas sob a Diretiva de 1995 e permanecem em vigor pelo Artigo 45(9) do GDPR.
A decisão de adequação do Reino Unido foi renovada?
Sim. A decisão de adequação original do Reino Unido trazia uma cláusula de caducidade de quatro anos, com expiração em 27 de junho de 2025. Em 24 de junho de 2025, a Comissão adotou uma prorrogação técnica para preservar os fluxos de dados enquanto a avaliação de renovação era concluída. Em 19 de dezembro de 2025, a Comissão renovou formalmente as decisões de adequação do Reino Unido, baseadas tanto no GDPR quanto na LED, por mais seis anos, até 27 de dezembro de 2031, após avaliar o Data (Use and Access) Act 2025 do Reino Unido.
O que foi a revisão de janeiro de 2024 das decisões de adequação?
Em 15 de janeiro de 2024, a Comissão publicou seu relatório sobre a primeira revisão periódica das onze decisões de adequação adotadas sob a Diretiva de Proteção de Dados de 1995 (abrangendo Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Ilha de Man, Israel, Jersey, Nova Zelândia, Suíça e Uruguai). A Comissão concluiu que todas as onze continuam a oferecer proteção adequada. O relatório incluiu recomendações específicas por país, destacando a necessidade de a Argentina concluir sua reforma legislativa e de o Canadá avançar na reforma da PIPEDA.
O que é a decisão de adequação sobre o Brasil?
Em 26 de janeiro de 2026, a Comissão Europeia adotou a Decisão de Execução (UE) 2026/179, reconhecendo que o marco da LGPD brasileira oferece proteção de dados adequada. O Brasil adotou simultaneamente a Resolução ANPD nº 32, reconhecendo mutuamente a adequação da UE nos termos da LGPD. A decisão se destaca por seu amplo escopo (abrangendo tanto o setor público quanto o privado) e por seu caráter mútuo. As transferências estão sujeitas a exceções relacionadas à defesa nacional e à segurança do Estado, em consonância com a LGPD.
O que é o Data Privacy Framework entre a UE e os EUA e ele ainda é válido?
O Data Privacy Framework (DPF) entre a UE e os EUA, adotado em julho de 2023, é uma decisão de adequação que abrange apenas organizações americanas que se autocertificam por meio da Administração de Comércio Internacional. Ele sobreviveu ao seu primeiro desafio judicial quando o Tribunal Geral da União Europeia rejeitou o processo T-553/23 em setembro de 2025. No entanto, a destituição dos membros do PCLOB pelo governo Trump e as dúvidas sobre a independência da FTC geraram incerteza quanto à estabilidade de longo prazo do DPF. Diversas autoridades europeias de proteção de dados recomendaram a manutenção de arranjos de CCP como reserva.
O que acontece se uma decisão de adequação for revogada?
Quando uma decisão de adequação é invalidada ou revogada, a base jurídica para as transferências de dados desaparece imediatamente. Não há garantia de período de transição. As organizações devem implementar mecanismos alternativos de transferência, principalmente Cláusulas Contratuais-Padrão, ou suspender as transferências. A invalidação do Privacy Shield no caso Schrems II, em 2020, afetou mais de 5.300 empresas americanas certificadas que dependiam dele como único mecanismo de transferência.
Qual é a diferença entre adequação e Cláusulas Contratuais-Padrão?
As decisões de adequação permitem transferências de dados sem formalidades adicionais, pois a Comissão já avaliou o marco jurídico do país de destino. As Cláusulas Contratuais-Padrão (CCP) são salvaguardas contratuais que as próprias organizações devem implementar, junto com Avaliações de Impacto de Transferência, ao transferir dados para países sem adequação. A adequação é mais simples na prática, porém menos estável; as CCP oferecem mais controle, mas exigem mais infraestrutura de conformidade. Saiba mais em nosso guia sobre Cláusulas Contratuais-Padrão.
Quais países podem receber decisões de adequação da UE a seguir?
Taiwan, Índia e Quênia são discutidos como possíveis candidatos futuros. O Digital Personal Data Protection Act de 2023 da Índia estabeleceu uma nova base jurídica para a candidatura, mas as disposições sobre acesso governamental continuam sendo um obstáculo. O forte alinhamento legislativo de Taiwan e seus laços econômicos com a UE fazem dele um candidato crível a longo prazo. Países que ratificaram a Convenção 108+, estabeleceram autoridades de supervisão independentes e promulgaram legislação abrangente alinhada ao GDPR estão em melhor posição.
Sources and References
- Artigo 45 do GDPR: Texto Integral do Regulamento(eur-lex.europa.eu).gov
- Comissão Europeia: Visão Geral das Decisões de Adequação(commission.europa.eu).gov
- Comunicado de Imprensa da CE: Revisão de 11 Decisões de Adequação Existentes, Janeiro de 2024(ec.europa.eu).gov
- SWD(2024) 3 final: Relatório sobre a Primeira Revisão do Funcionamento de Onze Decisões de Adequação(commission.europa.eu).gov
- Comunicado de Imprensa da CE: Comissão Renova as Decisões de Adequação do Reino Unido, Dezembro de 2025(ec.europa.eu).gov
- Parecer 26/2025 do EDPB sobre as Decisões de Adequação do Reino Unido(edpb.europa.eu).gov
- Decisão de Execução (UE) 2026/179: Adequação do Brasil(eur-lex.europa.eu).gov
- Comunicado de Imprensa da CE: Decisão de Adequação Mútua entre UE e Brasil, Janeiro de 2026(ec.europa.eu).gov
- Decisão de Execução (UE) 2025/1382: Adequação da OEP(eur-lex.europa.eu).gov
- COM(2024) 451 final: Primeira Revisão Periódica do DPF entre UE e EUA(commission.europa.eu).gov
- Referenciais de Adequação do EDPB(edpb.europa.eu).gov
- Convenção 108 do Conselho da Europa e Protocolo(coe.int).gov
- Data Privacy Framework entre UE e EUA: Busca de Participantes(dataprivacyframework.gov).gov
- Decisão de Adequação do Japão 2019/419(eur-lex.europa.eu).gov
- Decisão de Adequação da Coreia 2022/254(eur-lex.europa.eu).gov
- Decisão de Adequação do Reino Unido 2021/1772(eur-lex.europa.eu).gov
- Decisão de Adequação dos EUA (DPF) 2023/1795(eur-lex.europa.eu).gov
- Primeira Revisão da Decisão de Adequação do Japão pela Comissão, Abril de 2023(commission.europa.eu).gov