A Datenschutzbehörde (DSB) da Áustria é a autoridade supervisora principal para os casos apresentados pela NOYB — None of Your Business — a organização de defesa da privacidade fundada por Max Schrems. A NOYB apresentou mais de 1.000 reclamações estratégicas de GDPR desde 2018, e a DSB tratou 422 delas entre 2022 e 2024. Compreender a aplicação da DSB significa entender a litígios estratégicos que remodelaram a legislação de transferência de dados da UE duas vezes.
NOYB e a DSB: Um Padrão de Aplicação Estratégica
Schrems I (2015): A reclamação de Max Schrems sobre as transferências de dados do Facebook da UE para os EUA invalidou, em última análise, o framework Safe Harbor usado por mais de 4.000 empresas.
Schrems II (2020): O desafio subsequente de Schrems invalidou o Privacy Shield da UE para os EUA, afetando mais de 5.000 empresas e desencadeando uma renegociação de emergência resultando no atual Data Privacy Framework da UE para os EUA (2023).
Schrems III Antecipado (2025-2026): A NOYB apresentou desafios à decisão de adequação do DPF, argumentando que a Seção 702 do FISA continua incompatível com o GDPR. Uma referência ao CJEU é antecipada.
78% dos casos de aplicação da DSB envolvem transferências de dados ou integrações de terceiros — esse foco centrado na transferência é a característica definidora da aplicação austríaca.
A Decisão do Google Analytics da DSB
A decisão da DSB sobre o Google Analytics em janeiro de 2022 estabeleceu o padrão para toda a aplicação de transferências subsequente:
- Endereços IP são dados pessoais. Mesmo IPs truncados combinados com dados de sessão permitem reidentificação no banco de dados do Google.
- Acesso de fornecedores dos EUA = transferência. Quando engenheiros dos EUA podem acessar dados de usuários da UE (para suporte, manutenção ou compulsão legal), esse acesso constitui uma transferência de dados sob o GDPR.
- SCCs sem TIA adequada = violação. Cláusulas Contratuais Padrão sem uma Avaliação de Impacto de Transferência demonstrando que a lei de vigilância dos EUA não as anula são insuficientes.
A DSB constatou que o operador do site austríaco — não o Google — era o controlador de dados responsável pela transferência ilegal. Este princípio afeta todos os negócios da UE que incorporam scripts de terceiros.
Medidas Técnicas Suplementares: O Que Realmente Funciona
Após o Schrems II, o EDPB emitiu orientações sobre medidas técnicas suplementares necessárias quando as SCCs sozinhas são insuficientes. A DSB aplica essa orientação:
Criptografia com chaves mantidas na UE: Se os dados pessoais da UE forem criptografados antes da transferência para os EUA, e as chaves de descriptografia forem mantidas exclusivamente por detentores de chaves baseados na UE, os dados são efetivamente anônimos para fins de transferência sob o GDPR — as autoridades dos EUA não podem compelir o acesso a dados que não podem ler.
Pseudonimização antes da transferência: Se os dados transferidos contiverem apenas identificadores pseudônimos (chave de reidentificação mantida na UE), os dados transferidos não são "dados pessoais" para a transferência.
Processamento local: Dados que nunca saem da infraestrutura hospedada na UE evitam completamente os requisitos de transferência. Apenas estatísticas agregadas e verdadeiramente anonimizadas são transferidas.
A DSB constatou que organizações que usam fornecedores de SaaS dos EUA para processamento de dados pessoais da UE devem implementar essas medidas ou demonstrar que os dados estão genuinamente anonimizados.
O Risco do Schrems III para Organizações que Usam Fornecedores dos EUA
Organizações que dependem exclusivamente do Data Privacy Framework da UE para os EUA (DPF) para transferências de dados dos EUA enfrentam um risco específico: se o desafio da NOYB ao CJEU for bem-sucedido — como aconteceu com o Safe Harbor (2015) e o Privacy Shield (2020) — as organizações devem imediatamente buscar mecanismos alternativos de transferência.
Organizações que utilizam medidas técnicas suplementares (criptografia com chaves mantidas na UE, genuína anonimização antes da transferência) estão protegidas do risco de invalidação do DPF. A transferência tecnicamente não ocorre se os dados forem genuinamente anonimizados ou criptografados com chaves que o fornecedor dos EUA não pode acessar.
Para operações austríacas especificamente: análises de sites usando ferramentas dos EUA (Google Analytics, Mixpanel, Amplitude), sistemas de CRM com empresas-mãe dos EUA (Salesforce, HubSpot) e infraestrutura em nuvem com acesso administrativo acessível dos EUA criam exposição à aplicação da DSB. A mitigação é garantir que os dados pessoais nesses sistemas sejam ou verdadeiramente anonimizados antes de chegarem aos sistemas do fornecedor, ou criptografados com chaves mantidas exclusivamente pelo controlador da UE.
Fontes: