Autoridades endurecem, tribunais flexibilizam: o futuro das transferências internacionais de dados na UE

A política da União Europeia para transferências internacionais de dados vive um momento de forte tensão. De um lado, autoridades de proteção de dados — especialmente a autoridade irlandesa (DPC) — vêm adotando uma postura cada vez mais rígida, tratando qualquer risco potencial de acesso por governos estrangeiros como inaceitável. Essa visão, conhecida como a “falácia do risco zero”, ganhou força com a multa de 530 milhões de euros aplicada ao TikTok em 2025, baseada na possibilidade de acesso remoto a dados europeus por funcionários na China.

De outro lado, tribunais nacionais, sobretudo na Alemanha, têm seguido uma direção oposta. Em decisões recentes, cortes em Colônia, Traunstein e Bonn rejeitaram abordagens absolutistas e passaram a exigir análises concretas de risco, levando em conta a viabilidade técnica, a probabilidade real de acesso e as necessidades operacionais de infraestruturas globais. Esses tribunais reconhecem que o GDPR não exige a eliminação total de riscos, mas sim sua gestão proporcional.

O caso do Tribunal Regional de Bonn marca um ponto de inflexão ao admitir explicitamente que conflitos entre obrigações do GDPR e leis de sigilo dos Estados Unidos podem justificar, em situações específicas, a limitação de direitos como o acesso a dados. Ao fazê-lo, o tribunal introduziu um elemento geopolítico no debate, sugerindo que o alinhamento estratégico da UE com determinados países influencia a forma como as transferências de dados são avaliadas.

O resultado é um cenário jurídico cada vez mais fragmentado: autoridades administrativas reforçam controles rígidos, enquanto tribunais abrem espaço para exceções pragmáticas moldadas por realidades técnicas e políticas. Para empresas que operam globalmente, isso gera insegurança jurídica e padrões de conformidade divergentes.

O artigo conclui que a União Europeia terá de decidir se sua estratégia global de dados será guiada por princípios rígidos, pela viabilidade operacional ou por considerações geopolíticas. Sem uma orientação clara do Tribunal de Justiça da UE, o risco é a consolidação de um regime de proteção de dados desigual e imprevisível.