Dia Internacional da Proteção de Dados: uma data cada vez mais relevante

Contexto histórico 

O dia 28 de janeiro é celebrado internacionalmente como o Data Protection Day (anteriormente Data Privacy Day), traduzido no Brasil como Dia Internacional da Proteção de Dados. A data remonta à assinatura, em 28 de janeiro de 1981, da Convenção 108 do Conselho da Europa, o primeiro instrumento internacional juridicamente vinculante dedicado expressamente à proteção de dados pessoais e à privacidade no tratamento automatizado de informações. A Convenção 108 inspirou legislações em diversas partes do mundo, consolidando princípios que hoje são referenciais globais para a proteção de dados e direitos digitais.

Com o avanço da economia digital, da coleta massiva de dados em ambientes online e da crescente utilização de tecnologias como inteligência artificial, o escopo do que compreendemos por “privacidade” foi ampliado. Hoje, o Dia Internacional da Proteção de Dados é uma ocasião para reforçar a importância da proteção de dados pessoais como extensão da garantia de privacidade, da dignidade humana e dos direitos civis no ambiente digital global. A data serve tanto para celebrar conquistas regulatórias quanto para refletir sobre riscos emergentes e lacunas que ainda precisam de atenção pública e governamental.

A evolução do conceito 

Desde a Convenção 108, o entendimento internacional sobre proteção de dados evoluiu substancialmente. A noção de privacidade deixou de ser apenas um princípio abstrato ou um direito individual isolado para ganhar status de direito fundamental em muitas jurisdições, incorporando garantias legais, mecanismos de governança, fiscalização institucional e obrigações específicas para agentes públicos e privados que tratam dados pessoais. 

Com a crescente digitalização da economia e da vida social, aumentou a necessidade de frameworks legais robustos que deem segurança jurídica a indivíduos, organizações e governos, ao mesmo tempo em que permitem a inovação em ambientes digitais. Essa evolução impulsionou legisladores a desenvolverem normas que não apenas restrinjam práticas nocivas, mas que também estabeleçam princípios como transparência, responsabilização, minimização de dados e proteção por design, consolidando a proteção de dados como elemento central nas políticas públicas e corporativas de todo o mundo. 

Autoridades e suas legislações ao redor do mundo

União Europeia

O General Data Protection Regulation (GDPR) é o principal marco legal da região, em vigor desde 2018, e é aplicável a todos os países do Espaço Econômico Europeu e considerado padrão global de proteção de dados, com regras detalhadas sobre direitos dos titulares e obrigações de controladores e operadores. O European Data Protection Board (EDPB) é o órgão que harmoniza a aplicação do GDPR em toda a União Europeia, enquanto o European Data Protection Supervisor (EDPS) atua como autoridade independente de supervisão para as instituições europeias.

Brasil

No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018) é o marco jurídico que regula o tratamento de dados pessoais com foco em direitos fundamentais, transparência e segurança jurídica. A Agência Nacional de Proteção de Dados (ANPD) é responsável por promover, fiscalizar e aplicar a LGPD em território nacional, orientando organizações e cidadãos. Recentemente, a ANPD foi transformada em agência reguladora, reforçando sua autonomia e capacidade técnica de atuação.

Outras autoridades relevantes e pioneiras

Para ilustrar a diversidade global de regimes de proteção de dados, destacamos outras autoridades que têm desempenhado papéis pioneiros em diferentes regiões do mundo:

Information Commissioner’s Office (ICO) no Reino Unido é uma das autoridades mais antigas e proativas em fiscalização de proteção de dados;

Personal Information Protection Commission (PIPC) na Coréia do Sul é uma autoridade estabelecida desde 2011;

Office of the Privacy Commissioner of Canada (OPC) atua com enfoque em leis de privacidade federais e setoriais;

Data Protection Commission (DPC) na Irlanda é conhecida por sua atuação rigorosa em litígios e decisões de enforcement envolvendo grandes plataformas;

Agencia de Acceso a la Información Pública (AAIP), da Argentina, e Unidad Reguladora y de Control de Datos Personales (URCDP), do Uruguai, são exemplos na América Latina de regimes alinhados a padrões internacionais. Essas autoridades contribuem para um mosaico global de práticas e jurisprudências em proteção de dados que influenciam a harmonização internacional de normas.

Diferentes abordagens para temas centrais da proteção de dados 

A proteção de dados pessoais se consolidou como um campo regulatório global, mas as abordagens adotadas por diferentes países e blocos econômicos variam significativamente conforme valores jurídicos, modelos de governança e interesses estratégicos. Essa diversidade fica especialmente evidente quando observamos como temas específicos são tratados em distintas jurisdições:

Proteção de dados de crianças e adolescentes

No Brasil, a LGPD prevê regras específicas para o tratamento de dados pessoais de crianças e adolescentes, estabelecendo que esse tratamento deve ser realizado no melhor interesse desse público e com atenção à clareza das informações fornecidas e à autonomia progressiva dos indivíduos menores de idade, além de contar com o debate legislativo em torno do chamado ECA Digital, que amplia garantias e obrigações aplicáveis a plataformas digitais no trato com esse público nos ambientes online.

Na União Europeia, a proteção de dados de menores está contemplada no GDPR, que permite um limite de idade mínimo para o consentimento de tratamento de dados pessoais variando conforme o país (entre 13 e 16 anos), e impõe requisitos de linguagem clara e medidas de minimização de dados para serviços digitais acessados por crianças e adolescentes.

Nos Estados Unidos, a lei federal Children’s Online Privacy Protection Act (COPPA) regula a coleta de dados pessoais de crianças menores de 13 anos em serviços online, exigindo o consentimento verificável dos responsáveis e impondo restrições à publicidade direcionada a esse grupo.

Na China, a Personal Information Protection Law (PIPL), em conjunto com normas específicas sobre a proteção de dados de crianças, exige consentimento dos responsáveis e avisos específicos ao tratar dados de menores de 14 anos, refletindo uma abordagem de proteção em múltiplos níveis legais.

Em outras regiões, como no Canadá e em várias jurisdições europeias e latino-americanas, legislação local ou princípios constitucionais também impõem salvaguardas adicionais para dados de menores, exigindo consentimento parental ou definições claras de “melhor interesse” do titular quando menores estão envolvidos em ambientes digitais.

Regulação de inteligência artificial e proteção de dados

Na União Europeia, a regulação de inteligência artificial avançou para além das abordagens tradicionais de proteção de dados com a adoção do Artificial Intelligence Act (AI Act), o primeiro quadro jurídico abrangente de IA no mundo. O AI Act funciona em conjunto com o GDPR e estabelece normas horizontais para o desenvolvimento, uso e colocação no mercado de sistemas de IA, adotando uma abordagem baseada em riscos.

Nos Estados Unidos, não existe atualmente uma lei federal específica equivalente ao AI Act da União Europeia que regule de forma abrangente a inteligência artificial. O chamado AI Bill of Rights, publicado pelo Office of Science and Technology Policy da Casa Branca em 2022 como um blueprint com princípios para governança ética da IA, não tem força de lei e não foi aprovado pelo Congresso como legislação vinculante.

Em países emergentes como a Índia, novas regras de privacidade e proteção de dados buscam alinhar práticas locais a padrões internacionais, incluindo princípios de minimização e explicação de usos de dados para IA.

Na China, a regulação de IA e proteção de dados está fortemente ligada a políticas de segurança nacional e controle estatal sobre fluxos de dados, com o PIPL servindo como base para governança de dados pessoais e interoperabilidade com normas de segurança cibernética.

Proteção de dados em segurança pública

Em muitos países, a proteção de dados pessoais no contexto de segurança pública está sujeita a exceções legais, mas sempre com mecanismos de controle e proporcionalidade de acordo com normas constitucionais e princípios de direitos humanos. No Brasil, a LGPD prevê hipóteses específicas de tratamento de dados pessoais para segurança pública, investigação criminal e execução penal, mas enfatiza limites e controles institucionais.

Na União Europeia, regimes específicos de proteção de dados relativos à segurança pública coexistem com o GDPR, buscando equilibrar direitos fundamentais e necessidades estatais. Em outras jurisdições, como nos Estados Unidos, a proteção de dados em termos de segurança pública está fragmentada entre leis federais e estaduais. Em países como a China, o uso de dados pessoais para segurança e monitoramento social é integrado a amplo arcabouço legal de segurança cibernética e proteção estatal.

Transparência de dados ambientais

A transparência em dados ambientais e a proteção de dados pessoais envolvem um equilíbrio entre acesso a informações públicas relevantes e preservação da privacidade individual. Na União Europeia, o acesso a dados ambientais frequentemente é condicionado por salvaguardas de proteção de dados, enquanto em países como o Brasil tal equilíbrio está sendo construído à medida que emendas constitucionais e jurisprudências graduam direitos à informação e privacidade.

Nos Estados Unidos e em outras regiões, regimes de liberdade de informação coexistem com normas de privacidade para garantir que a divulgação de dados ambientais não comprometa indevidamente informações pessoais sensíveis.

Governança de dados e soberania digital

A soberania digital, entendida como a capacidade de ditar regras próprias para armazenamento, processamento e circulação de dados dentro de fronteiras nacionais ou regionais, é um tema central no debate global. A União Europeia busca fortalecer sua soberania digital por meio de normas robustas de proteção de dados e regras para transferências internacionais sob o GDPR.

A pauta de governança de dados vive um momento de disputa, onde alguns países (especialmente do Norte Global) buscam um entendimento baseado exclusivamente em direitos individuais de privacidade e proteção de dados pessoais, e em normas e processos de adequação. Já outros países, em especial do Sul Global, além de algumas entidades da sociedade civil global, já apresentam uma abordagem holística, na qual a governança dos dados (pessoais e não-pessoais) está atrelada a ideais de justiça social e desenvolvimento socioeconômico, vinculando a proteção de dados a direitos coletivos e dentro de uma cadeia econômica existente (abordagem conhecida como “justiça de dados”). Alguns espaços internacionais já debatem essas possibilidades, como grupos de trabalho do G20 e seu ecossistema de grupos de engajamento, e o Grupo de Trabalho de Governança de Dados da Comissão de Ciência, Tecnologia, e Desenvolvimento das Nações Unidas (um desdobramento do Pacto Global Digital).

O Brasil, ao alinhar sua LGPD a padrões internacionais e, mais recentemente, com o reconhecimento de adequação mútua com a União Europeia, reforça sua inserção no cenário global de governança de dados. Regulamentações emergentes na Índia e em outras economias em desenvolvimento também refletem uma busca por modelos de soberania digital que equilibrem a proteção de direitos, inovação econômica e segurança nacional.

Adequação entre Brasil e União Europeia 

Um dos desenvolvimentos mais importantes no atual cenário de proteção de dados no Brasil é o reconhecimento mútuo de adequação entre Brasil e União Europeia, resultado de um acordo formalizado em cerimônia realizada no Palácio do Planalto no dia 27 de janeiro de 2026, que contou com representantes governamentais e as autoridades de proteção de dados de ambos os lados.

Esse acordo estabelece que Brasil e União Europeia reconhecem que seus marcos legais de proteção de dados pessoais, incluindo a LGPD e o GDPR, garantem níveis equivalentes de proteção, o que permite a transferência internacional de dados de forma direta, segura e simplificada, sem necessidade de mecanismos adicionais.

A decisão de adequação tem impactos práticos significativos: 

• Para cidadãos, ela reforça a proteção e a segurança jurídica dos seus dados pessoais quando são transferidos entre as duas jurisdições; 
• Para empresas, reduz custos e barreiras burocráticas; 
• Para a economia digital em geral, fortalece o ambiente de cooperação internacional, atração de investimentos, pesquisa e inovação;
• A decisão já está valendo e será reavaliada dentro de 4 anos.

No dia 28 de janeiro, a ANPD realiza um webinário especial sobre o tema, detalhando o que muda para o cidadão, para as empresas e para o poder público. O evento acontece a partir das 11h no YouTube da Agência, e conta com a participação de seus diretores, além de representantes da União Europeia, do governo e de entidades privadas. Bruno Bioni, codiretor da Data, também marca presença. 

Reflexão e construção 

O Dia Internacional da Proteção de Dados é uma oportunidade para refletir sobre a trajetória histórica da proteção de dados pessoais, a maturidade de regimes jurídicos ao redor do mundo e os desafios contemporâneos que ainda exigem atenção, especialmente em um ambiente digital em constante evolução. A recente celebração do acordo de adequação entre Brasil e União Europeia é um marco que simboliza a importância crescente da proteção de dados como eixo de direitos fundamentais, cooperação internacional e desenvolvimento econômico no século XXI. Nesse cenário, além do avanço dos marcos regulatórios e da cooperação internacional, é fundamental que os direitos previstos em lei sejam conhecidos e exercidos pelas pessoas na prática. Iniciativas como o Manual do Titular, desenvolvido pela Data, contribuem para esse processo ao traduzir a legislação de proteção de dados em linguagem acessível, explicando quais são os direitos das pessoas titulares de dados pessoais e como exercê-los num cotidiano cada vez mais automatizado e digital. A consolidação de uma cultura de proteção de dados passa, obrigatoriamente, pelo empoderamento informacional dos cidadãos.