O fluxo de informação entre diferentes países representa uma característica marcante da soberania do Estado e das atividades empresariais contemporâneas, o que implica muitas vezes a necessidade de transferência de dados pessoais dos cidadãos de um país para outro. Com o objetivo de salvaguardar os interesses do bloco econômico e proteger os direitos fundamentais dos cidadãos europeus, o Tribunal de Justiça da União Europeia analisou recentemente a queixa de um advogado austríaco relativa à violação das orientações do Regulamento Geral Europeu de Proteção de Dados (RGPD), que resultou no reconhecimento da nulidade das cláusulas contratuais padrão que, até então, respaldavam atos de transferência internacional de dados pessoais da Europa para os Estados Unidos, caso que ficou conhecido como “Schrems II”. Considerando as semelhanças entre o GDPR e a LGPD, a Lei Geral de Proteção de Dados Brasileira (Lei nº 13.709/2018), havia uma possibilidade hipotética de uma decisão equivalente à proferida pelo Tribunal Europeu, com base na lei brasileira e suas possíveis consequências no contexto brasileiro. Portanto este estudo tem como objetivo investigar o caso “Schrems II” e apontar que a LGPD espelhou o arcabouço trazido pela GDPR no que diz respeito aos critérios para a transferência lícita de dados internacionalmente. Além disso, devido às regras previstas na LGPD para a transferência internacional de dados pessoais, o Brasil pode tanto vitimar quanto ser vítima de casos de revogação de cláusulas contratuais padrão, dificultando operações e relações comerciais, embora a regulamentação deste tema ainda seja necessária da autoridade competente.

The information flow between different countries represents a striking feature of State sovereignty and of contemporary businesses’ activities, which often implies the need to transfer citizen’s personal data from one country to another. Aiming to safeguard the interests of the economic block and protecting the fundamental rights of European citizens, the Court of Justice of the European Union recently analyzed the complaint of an Austrian lawyer regarding the breach of the European General Data Protection Regulation (GDPR) guidelines, which resulted in the recognition of invalidity of standard contractual clauses that, until then, supported acts of international transfer of personal data from Europe to the United States, a case that became known as “Schrems II”. Considering the similarities between GDPR and LGPD, the Brazilian General Data Protection Law (Law No. 13.709/2018), there was a hypothetical possibility of a decision equivalent to that issued by the European Court, based on the Brazilian law and its possible consequences in the Brazilian context. Therefore this study aims to investigate the “Schrems II” case and point out that LGPD mirrored the framework brought by GDPR regarding the criteria for the lawful transfer of data internationally. Furthermore, due to the rules provided for in the LGPD for the international transfer of personal data, Brazil can both victimize and be a victim of cases of revocation of standard contractual clauses, hindering operations and commercial relations, although the regulation of this topic is still needed from the competent Authority.

El flujo de información entre diferentes países representa una característica llamativa de la soberanía de los Estados y de las actividades empresariales contemporáneas, que muchas veces implica la necesidad de transferir datos personales de los ciudadanos de un país a otro. Con el objetivo de salvaguardar los intereses del bloque económico y proteger los derechos fundamentales de los ciudadanos europeos, el Tribunal de Justicia de la Unión Europea analizó recientemente la denuncia de un abogado austriaco sobre la violación de las directrices del Reglamento General Europeo de Protección de Datos (GDPR), lo que derivó en el reconocimiento de la nulidad de las cláusulas contractuales tipo que, hasta entonces, sustentaban actos de transferencia internacional de datos personales desde Europa a Estados Unidos, caso que pasó a conocerse como “Schrems II”. Considerando las similitudes entre el GDPR y la LGPD, la Ley General de Protección de Datos de Brasil (Ley nº 13.709/2018), existía una posibilidad hipotética de una decisión equivalente a la dictada por el Tribunal Europeo, basada en la ley brasileña y sus posibles consecuencias en el contexto brasileño. Así, este estudio tiene como objetivo investigar el caso “Schrems II” y señalar que la LGPD refleja el marco traído por el GDPR con respecto a los criterios para la transferencia legal de datos a nivel internacional. Además, debido a las normas previstas en la LGPD para la transferencia internacional de datos personales, Brasil puede ser víctima o ser la causa de casos de revocación de cláusulas contractuales tipo, obstaculizando operaciones y relaciones comerciales, aunque la regulación de este tema sigue siendo necesario por parte de la autoridad competente.