La Unión Europea y Brasil se reconocen mutuamente un nivel adecuado de protección de datos personales

La Comisión Europea ha emitido, el 26-1-2026, la Decisión de Ejecución UE 2026/179,¹ que reconoce que Brasil «garantiza un nivel adecuado de protección de datos personales», según el Reglamento (UE) 2016/679,² de protección de datos (RGPD).

Esta decisión:

• permite que las transferencias internacionales de datos personales desde la Unión Europea hacia Brasil no tengan necesidad de mecanismos adicionales de garantía,
• simplifica, así, el cumplimiento normativo para responsables y encargados del tratamiento,
• se basa en el artículo 45 del RGPD, y
• exime de la necesidad de autorización previa y otras garantías adicionales, como cláusulas contractuales tipo o normas corporativas vinculantes.

Resumimos el contenido de la decisión.

Evaluación del efecto en la protección de datos personales

La Comisión, en esta decisión:

• sostiene que esta evaluación debe incluir tanto las normas aplicables a los importadores de datos como las limitaciones y garantías para el acceso a los datos personales por las autoridades;
• subraya que, en Brasil, la privacidad y la protección de datos están reconocidos como derechos fundamentales y que estas protecciones se aplican, por ejemplo, con la adhesión de Brasil a la Convención Americana sobre Derechos Humanos y el reconocimiento de la jurisdicción de la Corte Interamericana.

Sobre esta base, la Comisión concluye que «el marco jurídico de Brasil aplicable a los datos personales transferidos» cumple con el criterio de «equivalencia esencial», como ha interpretado el Tribunal de Justicia de la Unión Europea en esta materia.

Garantías del sistema brasileño de protección de datos

La Ley General de Protección de Datos de Brasil, de 2018:

• recoge un conjunto de garantías aplicables a todas las personas, con independencia de su nacionalidad o lugar de residencia,
• define principios de tratamiento ajustados a los del RGPD, como la buena fe, la transparencia, la limitación de la finalidad y la minimización de datos,
• determina un conjunto de fundamentos de licitud para el tratamiento comparable al previsto en el RGPD, y
• regula el consentimiento como base de legitimación y exige que sea inequívoco, específico e informado de forma clara y revocable.

Normas posteriores refuerzan esta ley y la ha consolidado la Autoridad Nacional de Protección de Datos de Brasil (ANPD).

Conclusiones de la Comisión Europea

La Comisión determina, como se ha dicho, que el marco jurídico aplicable a las transferencias internacionales de datos presenta similitudes con el de la Unión Europea.

Asimismo, destaca el compromiso de Brasil en esta materia, menciona la participación de la autoridad brasileña en foros internacionales de privacidad y el papel de Brasil en iniciativas de Naciones Unidas sobre el derecho a la privacidad.

Por ello, la Comisión concluye que estos hechos aseguran un nivel adecuado de protección de los datos personales para las transferencias internacionales desde la Unión Europea a Brasil.

La Comisión prevé, como en otras decisiones de adecuación, mecanismos de seguimiento y revisión periódica para verificar que el nivel de protección en Brasil se mantiene en el tiempo.