Pular para o conteúdo
OS Domains
Regulation

Schrems II resolvido por construção: UE-UE sem transferência.

A OS Domains mantém o tratamento de e-mail transfronteiriço conforme ao Schrems II por padrão com roteamento só-UE: o conteúdo da mensagem, os dados do destinatário e os logs ficam dentro do EEE nos pontos de presença que o cliente escolhe, operados por uma sociedade austríaca sem matriz estadunidense na cadeia corporativa. Os únicos fluxos transfronteiriços são os PoP opcionais dos EUA ou do Panamá e um pequeno conjunto de suboperadores estadunidenses, cada um coberto por uma de quatro Transfer Impact Assessments vigentes com medidas suplementares documentadas (TLS 1.3, AES-256, pseudonimização) e o módulo de Cláusulas Contratuais-Tipo correspondente. O Data Privacy Framework é tratado como mecanismo secundário atrás das CCT mais uma TIA vigente, de modo que uma futura invalidação muda o papelório e não a entregabilidade. Para o remetente brasileiro, a transferência Brasil-UE se cobre por SCC sob o artigo 33 da LGPD sem depender de um framework instável.

A decisão C-311/18 do TJUE (Schrems II, julho 2020) invalidou o Privacy Shield e obrigou a avaliar caso a caso as transferências de dados pessoais fora da UE. O novo Data Privacy Framework de 2023 não fechou o debate: Schrems III está pendente de resolução e pode invalidá-lo. OS Domains resolve o problema por construção: somos sociedade austríaca sem filial estadunidense, com datacenters exclusivamente na UE, sem sujeição ao CLOUD Act nem ao FISA 702.

Para empresas brasileiras com usuários europeus ou clientes UE que exigem due diligence, isto significa: não há transferência internacional sob o Capítulo V do GDPR, o TIA é trivial, as SCC não aplicam e o risco de instabilidade jurídica futura do DPF fica eliminado. A documentação necessária para seu DPO ou auditor está pré-empacotada.

Em resumo

  • O modo só-UE mantém conteúdo, dados de destinatário e logs dentro do EEE; a entidade operadora é austríaca sem matriz estadunidense, que é o que o teste do CLOUD Act de posse, custódia ou controle segue.
  • Quatro Transfer Impact Assessments vigentes cobrem cada fluxo transfronteiriço: a entidade estadunidense da Cloudflare, a matriz estadunidense da Stripe e os PoP opcionais de Dallas e Panamá, atualizadas a cada ano e diante de qualquer mudança legal material.
  • Módulo 2 (controlador a operador) e Módulo 3 (operador a operador) das CCT sob a Decisão (UE) 2021/914 incorporados no DPA; as cláusulas revogadas de 2010 não são usadas.
  • As medidas suplementares respondem à FISA Seção 702, à EO 12333 e ao CLOUD Act diretamente: TLS 1.3 em trânsito, AES-256 em repouso e pseudonimização onde o tratamento permite.
  • O Data Privacy Framework é mantido como mecanismo secundário e redundante atrás das CCT e de uma TIA vigente, porque dois dos três pontes UE-EUA anteriores (Safe Harbor, Privacy Shield) caíram após cerca de cinco anos cada.
Números-chave
Decisão TJUE
C-311/18 (jul 2020)
Privacy Shield
Invalidado
DPF (Data Privacy Framework)
Em vigor desde 2023
Nossa posição
UE-UE sem transferência

O que disse o Schrems II e quais são as suas consequências práticas?

Em 16 de julho de 2020 o Tribunal de Justiça da União Europeia proferiu a decisão C-311/18 (Schrems II) que invalidou o Privacy Shield, mecanismo de adequação que permitia transferir dados pessoais da UE para os EUA desde 2016. A decisão confirmou a validade das Cláusulas Contratuais Padrão (SCC) como mecanismo de transferência, mas adicionou a obrigação de avaliar caso a caso se a legislação do país de destino oferece proteção equivalente ao GDPR (Transfer Impact Assessment, TIA). Para os EUA, os programas de vigilância sob FISA 702 e Executive Order 12333 foram apontados como incompatíveis com o nível de proteção essencialmente equivalente exigido pelo artigo 45 do GDPR. A consequência prática: qualquer transferência de dados pessoais para um fornecedor com vinculação estadunidense exige garantias adicionais documentadas.

Por que o Schrems II importa para empresas brasileiras?

Mesmo sendo empresa brasileira, Schrems II afeta seu negócio em três cenários: (1) você tem usuários europeus cujos dados precisam transitar; (2) você usa um provedor estadunidense para infraestrutura crítica e seus clientes europeus exigem due diligence sobre transferências; (3) sua empresa-mãe ou subsidiária está na UE e precisa documentar a cadeia de fornecedores. Adicionalmente, a LGPD brasileira tem regras similares: o artigo 33 sobre transferência internacional exige que o país receptor ofereça grau de proteção adequado ou que haja mecanismos contratuais específicos (cláusulas-padrão da ANPD, normas corporativas vinculantes). A ANPD ainda não reconheceu os EUA como adequação, situação paralela à da CE pós-Schrems II.

Onde está o Data Privacy Framework em 2026?

O framework que restaurou uma via de adequação para os destinatários estadunidenses certificados passou no seu primeiro teste judicial e segue sob suspeita. Em 3 de setembro de 2025 o Tribunal Geral da UE confirmou o Data Privacy Framework no recurso do político francês Philippe Latombe, e em 31 de outubro de 2025 Latombe recorreu dessa decisão ao Tribunal de Justiça da UE, onde em meados de 2026 não há data de audiência marcada. Um recurso separado e mais amplo da noyb, o grupo por trás do Schrems I e do Schrems II, está anunciado mais do que protocolado, e Max Schrems argumentou em público que as mudanças que a atual administração estadunidense introduziu nos órgãos de supervisão independentes que sustentam o framework —incluindo a destituição de membros encarregados do mecanismo de reparação— poderiam levar a Comissão Europeia a suspender o acordo por conta própria antes de qualquer caso chegar ao Tribunal. O framework se apoia na Executive Order 14086, que limita a inteligência de sinais a doze objetivos enumerados, introduz um teste de proporcionalidade e levanta uma Data Protection Review Court; a fragilidade é que um mecanismo de supervisão criado e dotado por ação executiva pode ficar sem dotação da mesma maneira. A nossa postura trata o framework como um mecanismo secundário e redundante, nunca o primário, porque as Cláusulas Contratuais-Tipo junto a uma Transfer Impact Assessment vigente são a camada que sobrevive a uma invalidação do framework, e o remetente que construiu sobre essa camada não corre risco na semana em que cai a próxima decisão.

Como nos encaixamos: UE-UE sem transferência transfronteiriça.

A OS Domains GmbH é sociedade de direito austríaco constituída em Viena. A infraestrutura física, o pessoal, a entidade jurídica e as contas bancárias estão na União Europeia. Não temos matriz, filial nem operação funcional nos Estados Unidos. Os dados pessoais que tratamos como operador para nossos clientes residentes na UE não saem do Espaço Econômico Europeu. Em termos jurídicos: não há transferência internacional sob o Capítulo V do GDPR, portanto as garantias adicionais do artigo 46 não aplicam. Para clientes brasileiros com usuários europeus, isto simplifica radicalmente a documentação contratual: o TIA é trivial (não aplica), as SCC não são necessárias e o risco associado à instabilidade jurídica futura do DPF fica eliminado.

A nossa Transfer Impact Assessment para os suboperadores com presença nos EUA.

Para os nossos suboperadores com contato estadunidense (Cloudflare para edge e DDoS, Stripe para pagamentos, PagerDuty para alertas internos), a nossa TIA avalia: a aplicabilidade da Seção 702 da FISA (o operador se encaixa na definição de "electronic communications service provider"; é o tipo de dado de interesse para inteligência estrangeira?), a aplicabilidade da Executive Order 12333 (o operador roteia por instalações sujeitas a coleta upstream?) e a exposição ao CLOUD Act (entidade com sede nos EUA sujeita a ordens de produção extraterritoriais estadunidenses). Para cada um identificamos medidas suplementares: criptografia em trânsito (TLS 1.3) e em repouso (AES-256) para que uma coleta massiva só obtenha texto cifrado; pseudonimização onde se aplica; cadeias contratuais com NDA e compromissos de relatório de transparência. A conclusão da TIA respalda o uso continuado desses suboperadores com as medidas suplementares documentadas. Os clientes podem revisar as nossas TIA sob NDA em [email protected].

Os rebrandings de nuvem soberana eliminam a questão?

Cada hyperscaler estadunidense oferece agora algo que chama de soberano. A AWS levou a sua European Sovereign Cloud à disponibilidade geral em Brandemburgo em 15 de janeiro de 2026, com entidades jurídicas alemãs separadas, operações só com residentes na UE, uma autoridade de certificação raiz independente e um compromisso contratual de que o pessoal de fora da UE não tem acesso técnico. O Google opera um modelo de fideicomisso com a T-Systems custodiando chaves na Alemanha e uma entidade S3NS separada na França, e a Microsoft mantém o seu EU Data Boundary. Cada um é um esforço de engenharia real, e cada um compartilha o mesmo núcleo não resolvido: as entidades operadoras seguem sendo propriedade de uma matriz estadunidense, então o teste do CLOUD Act de posse, custódia ou controle continua apontando para a matriz independentemente de onde os dados residam ou de quem opere o console. Uma promessa contratual de uma subsidiária de propriedade estadunidense é uma resposta forte para muitos compradores e uma resposta incompleta para uma contratação que exige um provedor não sujeito ao direito de um terceiro país com alcance extraterritorial. A nossa resposta é estrutural antes de ser contratual. A sociedade está constituída na Áustria sem matriz estadunidense na cadeia corporativa, o modo só-UE desabilita os pontos de presença de Dallas e Panamá, e a configuração de suboperadores exclui operações só-estadunidenses onde existe uma alternativa UE. Essa configuração tira o terceiro país da cadeia, em vez de meramente reduzir a exposição na parte do e-mail, que é uma afirmação distinta e mais forte diante de uma autoridade de controle.

O que vai no seu DPIA quando o e-mail é o operador?

Uma avaliação de impacto à proteção de dados para um provedor de e-mail se reduz a um conjunto curto e respondível de perguntas, e o resultado mais limpo é aquele em que a maioria se resolve em que não há transferência. Primeiro, localize onde os dados repousam e quem opera a infraestrutura: com o modo só-UE, o conteúdo da mensagem, os dados do destinatário e os logs ficam no Espaço Econômico Europeu nos pontos de presença que você escolheu. Segundo, identifique de quem é a propriedade do operador, porque o que o CLOUD Act segue é a propriedade e não a geografia, e um operador constituído na UE sem matriz estadunidense fecha essa linha de perguntas. Terceiro, nomeie a base jurídica de qualquer fluxo que de fato saia do EEE: uma decisão de adequação onde se aplique, ou Cláusulas Contratuais-Tipo respaldadas por uma Transfer Impact Assessment vigente onde não. Quarto, enumere as medidas suplementares —TLS 1.3 em trânsito, AES-256 em repouso, pseudonimização dos identificadores de destinatário onde o tratamento permitir— que cobrem a lacuna que a avaliação detectar. Quinto, registre a cadeia de suboperadores e a opção de residência escolhida. Quando um cliente roda o modo só-UE com suboperadores UE, a parte do e-mail não implica nenhuma transferência do Capítulo V a avaliar, que é a seção mais curta e menos discutível que um DPIA pode ter. Entregamos um pacote de suporte de TIA e os anexos do DPA pertinentes sob NDA, para que a avaliação seja preenchida com fatos documentados em vez de garantias do provedor.

Quando o roteamento só-UE não basta?

O roteamento só-UE satisfaz a maioria dos requisitos de residência de dados, e algumas regras nacionais vão além e proíbem que os dados saiam de um Estado-membro específico. A Alemanha aplica expectativas mais estritas aos dados federais e do setor público através do marco do BSI, a França acrescenta os requisitos da ANSSI e a qualificação SecNumCloud sobre cargas sensíveis, e reguladores setoriais específicos somam as suas próprias restrições. Para esses casos, as contas Enterprise podem fixar todos os dados e o processamento a um único país da UE escolhido entre Áustria, Alemanha, França, Países Baixos, Irlanda, Bélgica, Itália ou Espanha, com o conjunto de suboperadores estreitado em consequência. A troca honesta é a resiliência. Uma âncora a um só país limita o failover aos pontos de presença dentro desse país, então o plano de recuperação se escreve contra essa restrição em vez de dar a entender uma redundância transfronteiriça que a regra proíbe. Documentamos esse limite no contrato e não depois de um incidente, porque uma autoridade que descobre um teto de resiliência durante uma recuperação é uma autoridade que se sente enganada. O requisito de soberania vem primeiro e a arquitetura o segue, que é a ordem que um comprador do setor público ou regulado espera ver e a ordem que os seus próprios auditores vão conferir.

As leis de vigilância às quais a avaliação tem que responder.

A Transfer Impact Assessment é tão atual quanto as leis que analisa, e essas leis não param de se mover. A Seção 702 da Foreign Intelligence Surveillance Act, a disposição que o Tribunal achou desproporcional no Schrems II, foi reautorizada em 2024, que é justamente o tipo de desenvolvimento fático posterior a 2023 que se espera que um futuro recurso contra o marco de adequação cite. A Executive Order 12333 governa a coleta de inteligência fora do marco da 702, incluindo a coleta upstream a nível de rede, e o CLOUD Act permite às autoridades estadunidenses compelir a produção de provedores com sede nos EUA independentemente de onde os dados estejam armazenados. Juntas, são a razão pela qual a parte estadunidense de qualquer avaliação sai adversa para dados pessoais massivos e sem pseudonimização roteados através de um provedor de propriedade estadunidense. As nossas medidas suplementares respondem exatamente a esses estatutos: criptografia forte o bastante para que a coleta upstream só obtenha texto cifrado, pseudonimização que rompe o vínculo entre um identificador e uma pessoa onde o tratamento permite, e um padrão que mantém os dados dentro do EEE para que a pergunta nem sequer surja. Atualizamos a avaliação a cada ano e diante de qualquer mudança legal material, porque uma avaliação que nomeia um estatuto revogado ou que perde uma reautorização é pior do que nenhuma.

Três frameworks, três invalidações: a taxa-base com a qual planejar.

O Data Privacy Framework é a terceira tentativa de uma ponte de adequação UE-EUA. O Safe Harbor se manteve de 2000 até o Tribunal derrubá-lo em 2015, o Privacy Shield vigorou de 2016 a 2020, e o framework atual está em vigor desde 2023. Dois dos três duraram em torno de cinco anos antes de um recurso liderado por Schrems terminá-los sobre a mesma objeção de fundo: a lei de vigilância estadunidense alcançando dados pessoais da UE sem limites proporcionais nem um mecanismo de reparação genuinamente independente. Planejar como se o terceiro fosse a exceção é uma aposta contra um padrão claro. Nós planejamos para a taxa-base, que é a razão pela qual o mecanismo duradouro sob cada conta são as Cláusulas Contratuais-Tipo mais uma avaliação vigente, com o framework tratado como uma conveniência que pode não sobreviver ao contrato que se apoia nele.

Como resolvemos

As capacidades específicas que importam para este caso.

01

Constituição 100% UE

OS Domains GmbH é sociedade austríaca com número de registro FN 562847 v, VAT ATU76428904 e matriz também europeia. Sem filial nem operação funcional nos Estados Unidos.

02

Não sujeitos ao CLOUD Act

Como sociedade sem vinculação corporativa com EUA, não estamos obrigados a cumprir ordens de tribunais estadunidenses sobre dados de clientes. Qualquer pedido transfronteiriço é canalizado via MLAT (assistência judicial penal internacional).

03

Não sujeitos ao FISA 702

FISA 702 obriga "electronic communication service providers" estadunidenses. Como entidade austríaca sem filial estadunidense, não entramos na definição e não somos compelíveis para entrega de dados sob esta seção.

04

Datacenters em 7 PoPs UE

Viena, Frankfurt, Amsterdam, Londres (pós-Brexit com cláusula UE-UK), Estrasburgo. A alocação a PoP é transparente e configurável; no plano Enterprise pode ser fixada a um país específico (country residency).

05

Sem cláusula MLAT obrigatória

Os Mutual Legal Assistance Treaties são a via padrão internacional de cooperação judicial. Qualquer pedido de autoridade não-UE passa pela Promotoria austríaca e é avaliado contra o direito UE antes de qualquer acesso a dados.

06

TIA simplificado

Para clientes UE, o Transfer Impact Assessment do fornecedor em cenários onde precisam acreditar nível UE puro é trivial: não há transferência internacional, não há TIA necessário. Documentação pronta para auditoria.

Desafios comuns

O que costuma dar errado e como resolvemos.

Quando um cliente UE quer replicar fora da UE

Alguns clientes UE querem replicar dados em datacenter LATAM por latência ou para clientes locais. Isto reintroduz a transferência internacional. No plano Enterprise mantemos as opções de PoP de Dallas e Panamá, mas a documentação muda: aparece TIA específico para essa transferência, SCC com a entidade receptora, e revisão do DPA. Não é impossível, apenas requer camada adicional de documentação.

Suboperadores com vinculação EUA

Alguns serviços de suporte (Stripe para pagamentos, Sentry para monitoramento de erros, certas ferramentas de email a funcionários) têm vinculação com EUA. Nossa lista pública de suboperadores documenta quais aplicam e sob que garantias (SCC, DPF, anonimização prévia). Os dados pessoais do cliente final nunca saem da UE no fluxo produtivo.

Migração desde fornecedor estadunidense

Se seu DPA atual com SendGrid, Mailgun ou Amazon SES incluiu cláusulas-padrão ou adesão ao DPF, a migração à OS Domains simplifica sua posição jurídica. Recomendamos: cancelar inscrições no DPF se ativou como medida adicional (a inscrição é voluntária e removível), atualizar o registro de atividades do artigo 30 para retirar a transferência internacional, notificar seu DPO ou Encarregado a mudança de marco jurídico.

Perguntas frequentes

As perguntas que mais recebemos.

01

OS Domains está aderida ao DPF?

Não. Como sociedade austríaca sem filial estadunidense, não podemos nem sequer aderir ao Data Privacy Framework: o DPF é mecanismo para que entidades estadunidenses certifiquem níveis de proteção em transferências UE→US. Não aplica ao contrário. Nosso marco jurídico é direito austríaco sob GDPR diretamente.

02

O que ocorre se um cliente nosso me pede dados para seu próprio TIA?

Entregamos um pacote de documentação que tipicamente inclui: certificado de inscrição mercantil austríaca, certificado de não ter filial nem sociedade matriz nos EUA, descrição da cadeia de suboperadores com localização, política de resposta a pedidos de autoridades estrangeiras, certificação ISO 27001:2022. Suficiente para que seu DPO documente que não há transferência internacional sob o Capítulo V do GDPR.

03

Como avaliam pedidos de autoridades estadunidenses?

Qualquer pedido direto de autoridade estadunidense (subpoena, National Security Letter, FISA order) é respondido negativamente por falta de jurisdição: somos sociedade austríaca, não temos representante legal estadunidense, não estamos sujeitos à jurisdição estadunidense. A autoridade estadunidense deveria canalizar o pedido via MLAT (assistência judicial penal) via Departamento de Justiça austríaco. No histórico da empresa nunca recebemos pedido direto de autoridade estadunidense.

04

E se minha empresa brasileira é subsidiária de matriz estadunidense?

Sua situação jurídica como controlador sob LGPD/GDPR depende de onde se estabelece o controlador, não de onde está a matriz. Se sua entidade brasileira é a controladora do tratamento (toma decisões independentes sobre finalidades e meios), tem obrigações LGPD plenas com independência da nacionalidade da matriz. Nossos serviços UE-UE simplificam seu cumprimento mesmo se sua matriz é estadunidense, porque eliminam a transferência internacional da sua cadeia de suboperadores.

05

Tem impacto Schrems III se for confirmado?

Se Schrems III invalida o DPF, as empresas que dependam de fornecedores estadunidenses terão que refazer sua due diligence, provavelmente migrar a fornecedores europeus. As empresas que já usam OS Domains não serão afetadas: nossa posição UE-UE é independente do DPF e de qualquer decisão de adequação com EUA. A estabilidade jurídica é um ativo intangível importante em setores regulados.

06

A LGPD brasileira tem equivalente a Schrems II?

A LGPD não tem decisão judicial equivalente, mas o artigo 33 estabelece regime similar: a transferência internacional só é permitida para países com grau adequado de proteção (reconhecido pela ANPD) ou com mecanismos contratuais específicos (cláusulas-padrão da ANPD via Resolução CD/ANPD nº 19/2024, normas corporativas vinculantes, certificações específicas). Para os EUA, a ANPD ainda não emitiu decisão de adequação, situação paralela à da CE pós-Schrems II. Empresas brasileiras que usam provedores estadunidenses operam sob mecanismos contratuais que podem se ver questionados se a ANPD adotar critério restritivo, similarmente ao TJUE.

Vamos conversar

Agende uma ligação técnica de 45 minutos com um engenheiro.

Sem SDR, sem comissão, sem rondas de qualificação. Conta o que precisa, dizemos se faz sentido, e você sai com uma recomendação de qualquer jeito.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento