Loading…
A decisão do TJUE de 16 de julho de 2020 no caso Schrems II invalidou o Privacy Shield EU-US e deixou claro que as Cláusulas Contratuais Padrão, embora ainda válidas em princípio, não podem ser invocadas se a lei do país de destino comprometer a proteção que elas oferecem. Controladores e operadores devem conduzir uma Avaliação de Impacto de Transferência (TIA) para cada transferência.
As Recomendações 01/2020 do EDPB estabelecem uma metodologia de seis passos. Bem feita, uma TIA documenta a transferência, o regime jurídico do país de destino, as medidas suplementares aplicadas e sua conclusão — defensável em auditoria. Mal feita, é um exercício de marcar caixas que desmorona sob fiscalização.
A Estrutura de Privacidade de Dados EU-US (DPF) de 2023 restaurou a adequação para transferências a importadores americanos certificados. Mas ela não cobre todas as transferências, pode ser novamente contestada (o Schrems III já foi protocolado) e a maioria das transferências não americanas ainda depende de SCCs que exigem uma TIA.
O caso (C-311/18) derrubou o Privacy Shield e colocou os usuários de SCCs em alerta. O TJUE entendeu que:
Na prática: as SCCs sozinhas não bastam. A TIA é a evidência documental de que você fez o trabalho.
Você não pode fazer a TIA do que não conhece. Inventarie:
Use seu ROPA do Artigo 30 como ponto de partida, mas verifique em relação à infraestrutura real. Os provedores de nuvem frequentemente replicam ou fazem failover para regiões fora do EEE por padrão — isso conta como uma transferência.
O coração da TIA. Para cada país de destino, avalie:
A Recomendação 02/2020 do EDPB estabelece a estrutura das "garantias essenciais". Para transferências aos EUA, a Seção 702 da FISA e a Ordem Executiva 12333 são a preocupação central. Para países não americanos: avalie as leis do país especificamente — muitas TIAs assumem por padrão um genérico "adequado" para países de baixo risco sem exame, que é exatamente o que os reguladores sinalizam.
Três categorias. Aplique cada uma em combinação:
Gatilhos para reavaliação:
Em 10 de julho de 2023, a Comissão Europeia adotou uma decisão de adequação para a Estrutura de Privacidade de Dados EU-US (DPF). Para transferências a empresas sediadas nos EUA que se certificaram ao DPF, o efeito jurídico espelha uma decisão de adequação plena — sem SCCs, sem TIA exigida para a transferência certificada ao DPF.
Conselho prático: quando seu importador americano for certificado ao DPF, baseie-se na adequação do DPF para aquela transferência, mas mantenha as SCCs executadas em segundo plano e conduza as TIAs de qualquer forma como salvaguarda para o futuro.
Por "cenário de transferência" — normalmente por país de destino + por importador. Você pode agrupar transferências ao mesmo importador envolvendo dados semelhantes em uma única TIA. A análise da lei do país é reaproveitável entre transferências para o mesmo país.
Não — o EDPB esclareceu (Diretrizes 05/2021) que transferências sob o escopo extraterritorial do Artigo 3(2) ainda exigem conformidade com o mecanismo de transferência do Capítulo V. Não use o Artigo 3 como rota de fuga.
Juridicamente sim, mas uma transferência de dados fortemente criptografados em que o importador não tem acesso aos dados descriptografados é um exemplo clássico de medida suplementar. Muitas TIAs concluem que a transferência pode prosseguir justamente com base nisso.
Dado importante, mas não decisivo. O EDPB foi claro: a prática subjetiva não pode substituir a equivalência do regime jurídico. Documente o histórico de zero solicitações como prova de apoio, mas não fundamente a TIA nisso.
Sim — essa é a conclusão explícita da Etapa 6 do EDPB. Na prática, muitos controladores também (ou em vez disso) notificam sua Autoridade de Controle, conforme exigido pela Cláusula 14(f) das SCCs. Documente a decisão de forma rigorosa.
Elaboramos TIAs para seus cenários de transferência — com módulos das SCCs executados, medidas suplementares especificadas e análise da legislação nacional citada. Pronta para auditoria em 2 a 4 semanas por cenário.