*Por Ricardo Alves, advogado, sócio e responsável pela gestão de tecnologia e segurança da informação do escritório Fragata e Antunes Advogados
No último dia 28 de janeiro, o Dia Internacional da Proteção de Dados completou 20 anos. Criada em 2006, a data marca a consolidação da proteção de dados pessoais como um direito fundamental e como um elemento central das relações econômicas e digitais. Duas décadas depois, o tema deixou de ocupar um espaço periférico no debate jurídico e passou a influenciar diretamente decisões estratégicas de negócios, políticas públicas e o desenvolvimento tecnológico.
Siga o canal do Correio no WhatsApp e receba as principais notícias do dia no seu celular
A escolha do dia 28 de janeiro não é casual: ela remete à assinatura, em 28 de janeiro de 1981, da Convenção 108 do Conselho da Europa, primeiro tratado internacional juridicamente vinculante dedicado à proteção de dados pessoais no contexto do tratamento automatizado de informações. Criado, inicialmente, como um marco europeu, o Dia Internacional da Proteção de Dados passou a ser celebrado globalmente a partir de 2006, com o objetivo de reforçar a centralidade da privacidade e da proteção de dados como direitos fundamentais diante do avanço tecnológico e da digitalização crescente das relações sociais e econômicas.
A celebração deste ano ocorreu em um contexto especialmente simbólico para o Brasil. O recente reconhecimento mútuo de adequação em proteção de dados entre o Brasil e a União Europeia confirma que a Lei Geral de Proteção de Dados oferece um nível de proteção considerado essencialmente equivalente ao do GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados, em tradução livre, da União Europeia). Trata-se de um avanço institucional relevante, que simplifica as transferências internacionais de dados entre as duas jurisdições e reforça a credibilidade do regime brasileiro no cenário global.
Na prática, o acordo elimina, como regra geral, a necessidade de instrumentos contratuais específicos para viabilizar fluxos de dados entre Brasil e União Europeia, reduzindo burocracias e aumentando a segurança jurídica. Para muitas empresas, isso representa alívio operacional e previsibilidade regulatória. A experiência prática, no entanto, mostra que esse é apenas um dos capítulos do desafio contemporâneo da proteção de dados.
Antes mesmo do reconhecimento de adequação, era comum que empresas multinacionais buscassem soluções para manter fluxos globais de dados sem fragmentar contratos ou para criar regimes paralelos apenas para o Brasil. Em um trabalho recente que acompanhei, a discussão começou justamente por aí: compreender se instrumentos europeus seriam suficientes para legitimar transferências envolvendo o Brasil à luz das regras então vigentes da ANPD.
Rapidamente, porém, o debate se deslocou. A preocupação central deixou de ser apenas a transferência internacional, passando a envolver o uso de decisões automatizadas e modelos algorítmicos para avaliar usuários, prevenir fraudes e, em determinados casos, encerrar relações contratuais. O foco deixou de ser o instrumento jurídico e passou a ser a governança.
Esse movimento não é isolado. A expansão do uso de inteligência artificial e de decisões automatizadas colocou a proteção de dados no centro de discussões sobre transparência, explicabilidade, responsabilidade e direitos fundamentais. A LGPD admite decisões automatizadas, inclusive no contexto pré-contratual, mas exige salvaguardas claras, informação adequada ao titular e a possibilidade de revisão humana quando solicitada. Esses requisitos ganham ainda mais relevância quando decisões são tomadas em escala e produzem efeitos concretos sobre as pessoas.
O reconhecimento de adequação entre Brasil e União Europeia resolve um problema importante, mas não reduz a complexidade do cenário regulatório. As obrigações materiais da LGPD permanecem integralmente aplicáveis, assim como a necessidade de atenção a fluxos envolvendo países sem decisão de adequação, como os Estados Unidos. Mais do que isso, cresce a importância de alinhar contratos, políticas de privacidade, práticas operacionais e modelos de negócio a uma lógica consistente de governança de dados.
Vinte anos após a criação do Dia Internacional da Proteção de Dados, fica claro que o tema evoluiu. Proteger dados pessoais, hoje, significa também estabelecer limites responsáveis para o uso da inteligência artificial, garantir decisões automatizadas legítimas e preservar a confiança em ambientes digitais cada vez mais complexos. A proteção de dados deixou de ser um exercício formal de conformidade e passou a ser uma questão estrutural de governança e estratégia.
O acordo entre Brasil e União Europeia é um marco relevante e merece ser celebrado. Mas ele também reforça uma mensagem essencial: o futuro da proteção de dados não está apenas nas fronteiras entre países, e sim na forma como organizações lidam com dados, tecnologia e pessoas em um mundo cada vez mais orientado por algoritmos.