Glossario · Diritto UE sul trasferimento dei dati Schrems I (Schrems v. Data Protection Commissioner (Causa C-362/14, 2015))
Sentenza CGUE del 2015 che ha invalidato il quadro Safe Harbor USA-UE dopo le rivelazioni di Edward Snowden, riscontrando che le leggi USA sulla sorveglianza impedivano una protezione adeguata dei dati personali UE.
## Cos'è stato concretamente Schrems I
Schrems I è l'abbreviazione della sentenza del 2015 **Schrems v. Data Protection Commissioner (Causa C-362/14)** della Corte di giustizia dell'Unione europea (CGUE). La Corte ha invalidato il **quadro Safe Harbor USA-UE** — il meccanismo di trasferimento dati che, dal 2000, aveva consentito alle aziende USA di ricevere dati personali UE autocertificandosi conformi agli standard di privacy UE.
Il caso è stato portato avanti dall'attivista austriaco per la privacy **Maximilian Schrems**, la cui sfida al trasferimento dei propri dati personali da Facebook agli USA ha innescato la sentenza.
## Il contesto storico
Nel **giugno 2013**, l'appaltatore della NSA **Edward Snowden** ha fatto trapelare documenti che rivelavano la sorveglianza USA di massa dei dati di comunicazione, anche tramite programmi come PRISM che ottenevano dati dalle principali aziende tecnologiche USA.
L'argomentazione di Schrems era diretta: il quadro Safe Harbor presupponeva una protezione adeguata USA dei dati UE, ma le rivelazioni di Snowden hanno chiarito che le leggi USA sulla sorveglianza (Sezione 702 FISA, Ordine esecutivo 12333) non fornivano alcuna protezione significativa per le persone non-USA. Pertanto la base di Safe Harbor era falsa.
La CGUE ha concordato.
## Cosa ha effettivamente stabilito la CGUE
La sentenza dell'ottobre 2015 ha stabilito che:
1. La decisione di adeguatezza Safe Harbor della Commissione europea era **invalida**
2. Le autorità nazionali di protezione dei dati hanno **potere indipendente** di indagare sulle pretese di trasferimento anche quando esiste una decisione di adeguatezza
3. Gli interessati UE devono avere un **ricorso giudiziario effettivo** per l'accesso di sorveglianza — che il diritto USA non forniva
4. L'accesso di sorveglianza deve essere **proporzionato** — i programmi USA che raccoglievano dati in massa non lo erano
La sentenza ha annullato Safe Harbor immediatamente, creando caos per le migliaia di aziende USA che vi facevano affidamento per i trasferimenti di dati UE.
## Cosa è seguito a Schrems I
### Privacy Shield (2016)
L'UE e gli USA hanno negoziato un quadro successore: il **Privacy Shield**. Ha rafforzato alcune disposizioni di Safe Harbor (ruolo di Ombudsperson, impegni scritti dalle agenzie di intelligence USA sui limiti di accesso). Entrato in vigore a luglio 2016.
### Schrems II (2020)
Schrems ha contestato il Privacy Shield sulle stesse basi. La CGUE ha stabilito in **Schrems II (Causa C-311/18, 2020)** che il Privacy Shield era *anch'esso* invalido perché persisteva la stessa questione fondamentale: il diritto USA sulla sorveglianza forniva protezione inadeguata.
Vedi [Schrems II](/it/glossary/schrems-ii/) per il secondo caso.
### EU-US Data Privacy Framework (2023)
Dopo Schrems II, l'UE e gli USA hanno negoziato un altro successore: l'[EU-US Data Privacy Framework](/it/glossary/data-privacy-framework/), entrato in vigore a luglio 2023. Schrems ha indicato di voler contestare anche questo su basi sostanzialmente simili.
## Perché Schrems I conta ancora
### 1. Ha stabilito il modello giuridico
Schrems I ha creato il quadro analitico ancora utilizzato: quando i trasferimenti di dati UE dipendono da meccanismi di adeguatezza o equivalenti, tali meccanismi devono essere valutati rispetto alle leggi sulla sorveglianza effettive del paese terzo — non rispetto a impegni cartacei.
### 2. Ha consentito l'applicazione del GDPR
Schrems I ha stabilito che le autorità di protezione dei dati hanno potere investigativo indipendente. Ciò è diventato importante quando il GDPR è entrato in vigore nel 2018.
### 3. Ha creato il problema strutturale
La questione strutturale identificata da Schrems I — che le leggi USA sulla sorveglianza non possono soddisfare l'adeguatezza UE senza riforma legale — è persistita attraverso tre quadri successivi (Safe Harbor → Privacy Shield → EU-US DPF). Senza riforma USA della sorveglianza, ciò probabilmente continua.
### 4. Ha plasmato l'industria tecnologica europea
Schrems I, II e la tensione sottostante hanno creato una domanda continua di alternative residenti UE e sotto giurisdizione UE alla tecnologia USA — gran parte di ciò che BetterInEurope cataloga.
## Cosa significa Schrems I nella pratica
Per le aziende europee oggi:
### La catena dei casi
Quando valuti se puoi trasferire dati personali a provider USA, stai navigando la catena che Schrems I ha avviato: Safe Harbor invalidato → Privacy Shield invalidato → EU-US DPF (attuale, vulnerabile a sfide).
### La domanda più profonda
Schrems I ha chiarito che il trasferimento dati USA-UE è fondamentalmente una questione sulla riforma USA della sorveglianza, non solo di carte. Finché esistono FISA 702 e CLOUD Act, i quadri costruiti sopra restano strutturalmente vulnerabili.
### Perché conta 'residente UE, sotto giurisdizione UE'
Le aziende che sono genuinamente europee (non solo filiali UE-operanti di società USA) evitano l'intero problema della linea Schrems. Non sono soggette a CLOUD Act o FISA 702.
## Implicazioni pratiche
Per la maggior parte degli acquirenti tecnologici europei:
- **Schrems I è storia**, ma le sue conseguenze plasmano le decisioni attuali
- **L'EU-US DPF è la legge attuale**, ma le sfide della linea Schrems sono in corso
- **Le alternative europee genuine** aggirano del tutto la questione
- **I Transfer Impact Assessment** ([TIA](/it/glossary/transfer-impact-assessment/)) sono richiesti quando i trasferimenti continuano
Il percorso più semplice verso una conformità duratura è scegliere provider per cui la domanda non si pone.
Ti è stato utile?
Grazie per il tuo feedback!