Resumo executivo: Em 05/09/2025, a Comissão Europeia publicou a minuta da Decisão de Adequação (documento datado de 04/09/2025) reconhecendo que o Brasil oferece nível essencialmente equivalente ao europeu para proteção de dados. Se adotada oficialmente, transferências UE → Brasil poderão ocorrer sem mecanismos extras (como SCCs), embora o GDPR ainda possa se aplicar quando você oferta/monitora pessoas na UE. A ANPD informou que a decisão recíproca (Brasil → UE) está em fase final de análise.
O que aconteceu (e por que importa para o seu negócio)
- Minuta europeia publicada (4/5.set.2025): a Comissão Europeia concluiu, no rascunho, que o Brasil assegura nível adequado de proteção de dados para fins de transferências sob o GDPR. Isso dispensa autorizações adicionais para UE → Brasil, quando a decisão entrar em vigor.
- Movimento de reciprocidade no Brasil: a ANPD comunicou que trabalha para emitir decisão de adequação à UE, atualmente em fase final de análise técnica, antes da deliberação do Conselho Diretor.
- Contexto local: desde 23.ago.2024, a Resolução CD/ANPD nº 19 disciplina transferências internacionais e aprovou cláusulas-padrão brasileiras (CPCs/SCCs-BR) — requisitos que seguem válidos para destinos fora da UE e boas práticas contratuais.
O que muda — e o que não muda — na prática
| Tema | Antes | Depois da adequação UE → Brasil* |
| Base para transferir dados UE → BR | SCCs/TIAs, BCRs ou exceções | Adequação (sem SCCs/TIAs) |
| Base para BR → UE | CPCs-BR ou exceções | Tendência a Adequação (quando ANPD publicar) |
| GDPR se aplica a empresa no Brasil? | Sim, se oferecer/monitorar titulares na UE (Art. 3) | Sim (nada muda) |
| Risco de revisão/suspensão | — | Revisão periódica (mín. a cada 4 anos); pode ser ajustada/suspensa |
*Após adoção formal da decisão europeia.
Impactos diretos para PMEs e startups
- Vendas B2B na UE: menos “atrito de privacidade” em due diligence (sem anexar SCCs para UE → BR), acelerando ciclo de vendas.
- Eficiência operacional: simplifica operações entre squads no Brasil e na UE (analytics, suporte, shared services).
- Governança e custo: reduz trabalho jurídico em transferências UE → BR; mantém obrigações da Res. 19 para outros países.
Checklist de 10 passos (foco executivo)
- Mapeie fluxos UE ↔ BR e outros destinos (quem envia/recebe, finalidade, base legal). Priorize os que poderão migrar para adequação.
- Atualize contratos:
- UE → BR: prever cláusula-gatilho que substitui SCC por adequação na entrada em vigor da decisão.
- BR → UE: prepare aditivo simples para migrar para adequação quando a ANPD adotar a decisão.
- Revise avisos de privacidade (seções de transferência internacional e países de destino).
- RoPA: registre a base de transferência (adequação) e destino.
- Fornecedores críticos (cloud/CRM/folha/BI): confirme aderência à Res. 19 e plano de transição de mecanismos.
- Escopo GDPR: se você oferece ou monitora na UE, aplique requisitos do GDPR (cookies, DPA art. 28, DPIA, DPO quando aplicável).
- Playbook de incidentes: o controlador deve comunicar ANPD e titulares em até 3 dias úteis quando houver risco/dano relevante (prazo em dobro para pequeno porte).
- Table-top (simulado de incidente) com critério de risco/dano relevante e templates de comunicação.
- Treine vendas/jurídico/CS para responder RFPs destacando “Adequação UE → BR (quando vigente)” e seu roadmap.
- Plano B: mantenha versões de SCC/CPC arquivadas para cenários de revisão/suspensão na reavaliação quadrienal.
Perguntas frequentes (FAQ)
1) Já posso parar de usar SCCs em contratos com clientes europeus?
Ainda não. A minuta precisa ser adotada formalmente após os trâmites (parecer do EDPB e comitê). Até lá, mantenha os mecanismos atuais.
2) Quando a ANPD vai reconhecer a UE como adequada?
A ANPD informou que o processo está em fase final e seguirá para o Conselho Diretor. Sem data oficial — acompanhe os canais da ANPD.
3) Se eu vendo para a Europa, o GDPR ainda se aplica?
Sim, se você oferece/monitora titulares na UE (escopo territorial). A adequação só facilita a transferência UE → BR.
4) E as regras brasileiras de transferência internacional?
A Res. 19/2024 continua valendo (inclusive CPCs brasileiras), relevante para outros países além da UE.
5) Qual o prazo para comunicar incidentes de segurança?
3 dias úteis a partir da ciência de que o incidente afetou dados pessoais — em dobro para pequeno porte.
Erros comuns a evitar
- Desativar SCCs antes da hora. Aguarde a adoção oficial. Tenha aditivos automáticos prontos.
- Confundir adequação com “anistia GDPR”. O GDPR pode continuar aplicável ao seu produto/marketing na UE.
- Esquecer terceiros países. Fora da UE, permanecem CPCs/CPCs-BR e outras salvaguardas.
- Subestimar incidentes. Tenha processo de 3 dias testado e documentado.
Modelo de implementação em 30 dias (pronto para usar)
- Semana 1: inventário de transferências e due diligence de fornecedores estratégicos.
- Semana 2: minutas de aditivo de adequação, atualização do DPA (art. 28 GDPR) e políticas de privacidade.
- Semana 3: treinamento de vendas/CS/ jurídico/TI para RFPs europeias; table-top de incidente.
- Semana 4: auditoria de readiness e comunicação proativa a clientes/parceiros da UE sobre a transição de mecanismos.
Informações essenciais (com fontes oficiais)
- Minuta de adequação UE → Brasil: Minuta publicada em 05/09/2025 (documento datado de 04/09/2025); revisão no mínimo a cada 4 anos.
- ANPD sobre reciprocidade (Brasil → UE): processo em fase final antes da deliberação do Conselho Diretor.
- Regra brasileira de transferências (Res. 19/2024): regulamento e CPCs vigentes.
- Prazo de incidentes (Res. 15/2024): 3 dias úteis (em dobro para pequeno porte).
Próximo passo (sem juridiquês, com ética)
Se você lidera uma PME ou startup com dados fluindo entre Brasil e UE, prepare agora o seu plano de transição de mecanismos — e ganhe velocidade comercial assim que a decisão for adotada. Se fizer sentido, nosso time pode mapear seus fluxos, revisar contratos e treinar o time com foco em risco e tempo-de-mercado, sempre dentro das regras da OAB.
