O que disse o Schrems II e quais são as suas consequências práticas?
Em 16 de julho de 2020 o Tribunal de Justiça da União Europeia proferiu a decisão C-311/18 (Schrems II) que invalidou o Privacy Shield, mecanismo de adequação que permitia transferir dados pessoais da UE para os EUA desde 2016. A decisão confirmou a validade das Cláusulas Contratuais Padrão (SCC) como mecanismo de transferência, mas adicionou a obrigação de avaliar caso a caso se a legislação do país de destino oferece proteção equivalente ao GDPR (Transfer Impact Assessment, TIA). Para os EUA, os programas de vigilância sob FISA 702 e Executive Order 12333 foram apontados como incompatíveis com o nível de proteção essencialmente equivalente exigido pelo artigo 45 do GDPR. A consequência prática: qualquer transferência de dados pessoais para um fornecedor com vinculação estadunidense exige garantias adicionais documentadas.
Por que o Schrems II importa para empresas brasileiras?
Mesmo sendo empresa brasileira, Schrems II afeta seu negócio em três cenários: (1) você tem usuários europeus cujos dados precisam transitar; (2) você usa um provedor estadunidense para infraestrutura crítica e seus clientes europeus exigem due diligence sobre transferências; (3) sua empresa-mãe ou subsidiária está na UE e precisa documentar a cadeia de fornecedores. Adicionalmente, a LGPD brasileira tem regras similares: o artigo 33 sobre transferência internacional exige que o país receptor ofereça grau de proteção adequado ou que haja mecanismos contratuais específicos (cláusulas-padrão da ANPD, normas corporativas vinculantes). A ANPD ainda não reconheceu os EUA como adequação, situação paralela à da CE pós-Schrems II.
Onde está o Data Privacy Framework em 2026?
O framework que restaurou uma via de adequação para os destinatários estadunidenses certificados passou no seu primeiro teste judicial e segue sob suspeita. Em 3 de setembro de 2025 o Tribunal Geral da UE confirmou o Data Privacy Framework no recurso do político francês Philippe Latombe, e em 31 de outubro de 2025 Latombe recorreu dessa decisão ao Tribunal de Justiça da UE, onde em meados de 2026 não há data de audiência marcada. Um recurso separado e mais amplo da noyb, o grupo por trás do Schrems I e do Schrems II, está anunciado mais do que protocolado, e Max Schrems argumentou em público que as mudanças que a atual administração estadunidense introduziu nos órgãos de supervisão independentes que sustentam o framework —incluindo a destituição de membros encarregados do mecanismo de reparação— poderiam levar a Comissão Europeia a suspender o acordo por conta própria antes de qualquer caso chegar ao Tribunal. O framework se apoia na Executive Order 14086, que limita a inteligência de sinais a doze objetivos enumerados, introduz um teste de proporcionalidade e levanta uma Data Protection Review Court; a fragilidade é que um mecanismo de supervisão criado e dotado por ação executiva pode ficar sem dotação da mesma maneira. A nossa postura trata o framework como um mecanismo secundário e redundante, nunca o primário, porque as Cláusulas Contratuais-Tipo junto a uma Transfer Impact Assessment vigente são a camada que sobrevive a uma invalidação do framework, e o remetente que construiu sobre essa camada não corre risco na semana em que cai a próxima decisão.
Como nos encaixamos: UE-UE sem transferência transfronteiriça.
A OS Domains GmbH é sociedade de direito austríaco constituída em Viena. A infraestrutura física, o pessoal, a entidade jurídica e as contas bancárias estão na União Europeia. Não temos matriz, filial nem operação funcional nos Estados Unidos. Os dados pessoais que tratamos como operador para nossos clientes residentes na UE não saem do Espaço Econômico Europeu. Em termos jurídicos: não há transferência internacional sob o Capítulo V do GDPR, portanto as garantias adicionais do artigo 46 não aplicam. Para clientes brasileiros com usuários europeus, isto simplifica radicalmente a documentação contratual: o TIA é trivial (não aplica), as SCC não são necessárias e o risco associado à instabilidade jurídica futura do DPF fica eliminado.
A nossa Transfer Impact Assessment para os suboperadores com presença nos EUA.
Para os nossos suboperadores com contato estadunidense (Cloudflare para edge e DDoS, Stripe para pagamentos, PagerDuty para alertas internos), a nossa TIA avalia: a aplicabilidade da Seção 702 da FISA (o operador se encaixa na definição de "electronic communications service provider"; é o tipo de dado de interesse para inteligência estrangeira?), a aplicabilidade da Executive Order 12333 (o operador roteia por instalações sujeitas a coleta upstream?) e a exposição ao CLOUD Act (entidade com sede nos EUA sujeita a ordens de produção extraterritoriais estadunidenses). Para cada um identificamos medidas suplementares: criptografia em trânsito (TLS 1.3) e em repouso (AES-256) para que uma coleta massiva só obtenha texto cifrado; pseudonimização onde se aplica; cadeias contratuais com NDA e compromissos de relatório de transparência. A conclusão da TIA respalda o uso continuado desses suboperadores com as medidas suplementares documentadas. Os clientes podem revisar as nossas TIA sob NDA em [email protected].
Os rebrandings de nuvem soberana eliminam a questão?
Cada hyperscaler estadunidense oferece agora algo que chama de soberano. A AWS levou a sua European Sovereign Cloud à disponibilidade geral em Brandemburgo em 15 de janeiro de 2026, com entidades jurídicas alemãs separadas, operações só com residentes na UE, uma autoridade de certificação raiz independente e um compromisso contratual de que o pessoal de fora da UE não tem acesso técnico. O Google opera um modelo de fideicomisso com a T-Systems custodiando chaves na Alemanha e uma entidade S3NS separada na França, e a Microsoft mantém o seu EU Data Boundary. Cada um é um esforço de engenharia real, e cada um compartilha o mesmo núcleo não resolvido: as entidades operadoras seguem sendo propriedade de uma matriz estadunidense, então o teste do CLOUD Act de posse, custódia ou controle continua apontando para a matriz independentemente de onde os dados residam ou de quem opere o console. Uma promessa contratual de uma subsidiária de propriedade estadunidense é uma resposta forte para muitos compradores e uma resposta incompleta para uma contratação que exige um provedor não sujeito ao direito de um terceiro país com alcance extraterritorial. A nossa resposta é estrutural antes de ser contratual. A sociedade está constituída na Áustria sem matriz estadunidense na cadeia corporativa, o modo só-UE desabilita os pontos de presença de Dallas e Panamá, e a configuração de suboperadores exclui operações só-estadunidenses onde existe uma alternativa UE. Essa configuração tira o terceiro país da cadeia, em vez de meramente reduzir a exposição na parte do e-mail, que é uma afirmação distinta e mais forte diante de uma autoridade de controle.
O que vai no seu DPIA quando o e-mail é o operador?
Uma avaliação de impacto à proteção de dados para um provedor de e-mail se reduz a um conjunto curto e respondível de perguntas, e o resultado mais limpo é aquele em que a maioria se resolve em que não há transferência. Primeiro, localize onde os dados repousam e quem opera a infraestrutura: com o modo só-UE, o conteúdo da mensagem, os dados do destinatário e os logs ficam no Espaço Econômico Europeu nos pontos de presença que você escolheu. Segundo, identifique de quem é a propriedade do operador, porque o que o CLOUD Act segue é a propriedade e não a geografia, e um operador constituído na UE sem matriz estadunidense fecha essa linha de perguntas. Terceiro, nomeie a base jurídica de qualquer fluxo que de fato saia do EEE: uma decisão de adequação onde se aplique, ou Cláusulas Contratuais-Tipo respaldadas por uma Transfer Impact Assessment vigente onde não. Quarto, enumere as medidas suplementares —TLS 1.3 em trânsito, AES-256 em repouso, pseudonimização dos identificadores de destinatário onde o tratamento permitir— que cobrem a lacuna que a avaliação detectar. Quinto, registre a cadeia de suboperadores e a opção de residência escolhida. Quando um cliente roda o modo só-UE com suboperadores UE, a parte do e-mail não implica nenhuma transferência do Capítulo V a avaliar, que é a seção mais curta e menos discutível que um DPIA pode ter. Entregamos um pacote de suporte de TIA e os anexos do DPA pertinentes sob NDA, para que a avaliação seja preenchida com fatos documentados em vez de garantias do provedor.
Quando o roteamento só-UE não basta?
O roteamento só-UE satisfaz a maioria dos requisitos de residência de dados, e algumas regras nacionais vão além e proíbem que os dados saiam de um Estado-membro específico. A Alemanha aplica expectativas mais estritas aos dados federais e do setor público através do marco do BSI, a França acrescenta os requisitos da ANSSI e a qualificação SecNumCloud sobre cargas sensíveis, e reguladores setoriais específicos somam as suas próprias restrições. Para esses casos, as contas Enterprise podem fixar todos os dados e o processamento a um único país da UE escolhido entre Áustria, Alemanha, França, Países Baixos, Irlanda, Bélgica, Itália ou Espanha, com o conjunto de suboperadores estreitado em consequência. A troca honesta é a resiliência. Uma âncora a um só país limita o failover aos pontos de presença dentro desse país, então o plano de recuperação se escreve contra essa restrição em vez de dar a entender uma redundância transfronteiriça que a regra proíbe. Documentamos esse limite no contrato e não depois de um incidente, porque uma autoridade que descobre um teto de resiliência durante uma recuperação é uma autoridade que se sente enganada. O requisito de soberania vem primeiro e a arquitetura o segue, que é a ordem que um comprador do setor público ou regulado espera ver e a ordem que os seus próprios auditores vão conferir.
As leis de vigilância às quais a avaliação tem que responder.
A Transfer Impact Assessment é tão atual quanto as leis que analisa, e essas leis não param de se mover. A Seção 702 da Foreign Intelligence Surveillance Act, a disposição que o Tribunal achou desproporcional no Schrems II, foi reautorizada em 2024, que é justamente o tipo de desenvolvimento fático posterior a 2023 que se espera que um futuro recurso contra o marco de adequação cite. A Executive Order 12333 governa a coleta de inteligência fora do marco da 702, incluindo a coleta upstream a nível de rede, e o CLOUD Act permite às autoridades estadunidenses compelir a produção de provedores com sede nos EUA independentemente de onde os dados estejam armazenados. Juntas, são a razão pela qual a parte estadunidense de qualquer avaliação sai adversa para dados pessoais massivos e sem pseudonimização roteados através de um provedor de propriedade estadunidense. As nossas medidas suplementares respondem exatamente a esses estatutos: criptografia forte o bastante para que a coleta upstream só obtenha texto cifrado, pseudonimização que rompe o vínculo entre um identificador e uma pessoa onde o tratamento permite, e um padrão que mantém os dados dentro do EEE para que a pergunta nem sequer surja. Atualizamos a avaliação a cada ano e diante de qualquer mudança legal material, porque uma avaliação que nomeia um estatuto revogado ou que perde uma reautorização é pior do que nenhuma.
Três frameworks, três invalidações: a taxa-base com a qual planejar.
O Data Privacy Framework é a terceira tentativa de uma ponte de adequação UE-EUA. O Safe Harbor se manteve de 2000 até o Tribunal derrubá-lo em 2015, o Privacy Shield vigorou de 2016 a 2020, e o framework atual está em vigor desde 2023. Dois dos três duraram em torno de cinco anos antes de um recurso liderado por Schrems terminá-los sobre a mesma objeção de fundo: a lei de vigilância estadunidense alcançando dados pessoais da UE sem limites proporcionais nem um mecanismo de reparação genuinamente independente. Planejar como se o terceiro fosse a exceção é uma aposta contra um padrão claro. Nós planejamos para a taxa-base, que é a razão pela qual o mecanismo duradouro sob cada conta são as Cláusulas Contratuais-Tipo mais uma avaliação vigente, com o framework tratado como uma conveniência que pode não sobreviver ao contrato que se apoia nele.