Glossario · Sentenza della Corte UE Schrems II
La sentenza della Corte di giustizia europea del 2020 che ha invalidato il Privacy Shield UE-USA, rendendo i trasferimenti transatlantici di dati giuridicamente precari per le aziende europee.
## Cosa ha effettivamente stabilito Schrems II
Il 16 luglio 2020 la Corte di giustizia dell'Unione europea (CGUE) ha emesso la sentenza nella causa C-311/18, nota come Schrems II. La sentenza ha fatto due cose:
1. **Ha invalidato il Privacy Shield UE-USA** — il quadro che aveva consentito alle aziende statunitensi di autocertificarsi standard di protezione dei dati equivalenti al GDPR
2. **Ha inasprito i requisiti per le clausole contrattuali standard (SCC)** — il meccanismo contrattuale ancora consentito per i trasferimenti transatlantici di dati
Il caso è stato portato avanti da Max Schrems, l'avvocato austriaco specializzato in privacy che aveva già invalidato il predecessore del Privacy Shield (Safe Harbor) in Schrems I (2015).
## Perché il Privacy Shield è stato annullato
La CGUE ha riscontrato due problemi fondamentali con le tutele giuridiche statunitensi per i dati UE:
1. **I programmi di sorveglianza statunitensi** (in particolare la Sezione 702 del FISA e l'Ordine esecutivo 12333) consentono la sorveglianza di massa di cittadini stranieri senza una vigilanza giudiziaria equivalente agli standard UE
2. **Nessun ricorso effettivo** per i cittadini UE i cui dati erano oggetto di sorveglianza statunitense — nessun ricorso giurisdizionale paragonabile a quanto richiesto dal GDPR
La Corte ha concluso che le tutele giuridiche statunitensi non raggiungono lo standard 'sostanzialmente equivalente' richiesto dal GDPR per i trasferimenti internazionali di dati.
## Cosa significa nella pratica
Dopo Schrems II, le aziende europee che inviano dati personali negli USA hanno tre opzioni:
**1. Utilizzare clausole contrattuali standard (SCC) con garanzie aggiuntive.** Le SCC restano valide ma l'onere ricade sull'esportatore di dati (l'azienda UE) di valutare se le tutele giuridiche statunitensi siano adeguate nelle proprie circostanze specifiche. Questo Transfer Impact Assessment (TIA) è operativamente complesso.
**2. Utilizzare il trattamento solo da entità residenti nell'UE.** Evitare del tutto il trasferimento transatlantico scegliendo provider con sede UE senza legami societari statunitensi. Questa è la protezione legale più solida.
**3. Utilizzare l'EU-US Data Privacy Framework (DPF).** Adottato a luglio 2023, il DPF sostituisce il Privacy Shield con tutele rafforzate. Sostenitori della privacy, incluso Max Schrems, hanno già annunciato l'intenzione di contestare il DPF in tribunale (Schrems III).
Per la maggior parte delle aziende europee, l'opzione 2 (trattamento residente nell'UE) fornisce la postura legale più pulita. Le opzioni 1 e 3 funzionano ma comportano un'incertezza giuridica continua.
## Cosa potrebbe portare 'Schrems III'
L'EU-US Data Privacy Framework (DPF), in vigore dal 2023, è la base attuale per i trasferimenti transatlantici di dati. Modifiche chiave rispetto al Privacy Shield:
- Una nuova 'Data Protection Review Court' fornisce supervisione giudiziaria sull'accesso dell'intelligence USA ai dati UE
- Limitazioni più severe sulla raccolta di dati in massa
- Impegni specifici su proporzionalità e necessità
La sfida legale già depositata da NOYB (None Of Your Business — l'organizzazione di Schrems) sostiene che queste riforme non raggiungono ancora lo standard 'sostanzialmente equivalente' del GDPR. Una futura sentenza Schrems III potrebbe invalidare il DPF, riportando il panorama dei trasferimenti transatlantici all'incertezza post-Schrems II.
Tempistiche: una sentenza CGUE sul DPF potrebbe arrivare nel 2026-2027.
## Perché è importante per la scelta degli strumenti
Per le aziende europee che prendono decisioni sui fornitori nel 2026:
- **Il DPF è attualmente valido** ma giuridicamente incerto
- **Le SCC restano la soluzione di ripiego più sicura** ma richiedono un lavoro continuo di conformità TIA
- **I provider residenti nell'UE** evitano del tutto la questione del trasferimento
Per casi d'uso sensibili (dati sanitari, dati dei dipendenti, dati di clienti appartenenti a popolazioni vulnerabili), la via prudente è scegliere fin dall'inizio provider residenti nell'UE. Per i carichi di lavoro aziendali ordinari, i provider USA nell'ambito del DPF + SCC restano praticabili ma dovrebbero essere riesaminati periodicamente.
Schrems II non è un evento isolato: è una tensione giuridica continua che riemerge periodicamente. Trattarla come contesto di riferimento piuttosto che come crisi del momento è l'approccio operativamente solido.
Ti è stato utile?
Grazie per il tuo feedback!