Em setembro de 2020, o Tribunal de Justiça da União Europeia (TJUE) publicou o acórdão referente ao caso Data Protection Commissioner v. Facebook Ireland, Ltd and Maximillian Schrems (C-311/18), ou Schrems II. O acórdão invalidou o principal acordo que regulava a transferência de dados pessoais para fins comerciais entre a União Europeia (UE) e os EUA. O Schrems II foi um acórdão histórico no direito internacional da proteção de dados, mas que criou incertezas sobre a base jurídica das futuras transferências da UE para outros países. Por meio de uma extensa pesquisa bibliográfica e documental, o estudo analisou os impactos do referido acórdão sobre as bases legais de transferências internacionais de dados contidas no GDPR. O Schrems II enfatizou a necessidade de se interpretar o GDPR por meio da Carta de Direitos Fundamentais da União Europeia. Para o TJUE, os programas de vigilância ampla empregados pelo governo americano representaram interferência desproporcional aos direitos de respeito pela vida privada e familiar e de proteção de dados pessoais. Este foi um dos motivos para que o ordenamento jurídico americano não fosse considerado adequado para receber dados pessoais oriundos da UE. As bases legais contratuais foram consideradas suficientes para garantir a continuidade da proteção dos dados pessoais durante a transferência internacional, desde que medidas suplementares, não clarificadas no acórdão, fossem implementadas por controladores e processadores. As derrogações excepcionais poderiam também ser usadas como base legal para as transferências na ausência de outras pertinentes. O Schrems II consolidou o padrão de que o país destinatário dos dados pessoais oriundos da UE deve oferecer níveis de proteção essencialmente equivalentes em questões de direitos fundamentais aos do bloco. O acórdão, contudo, produz incertezas sobre sua operacionalização, sobretudo quanto à atuação de controladores e processadores na transferência.