Schrems II.

Schrems II è la sentenza della CGUE del 2020 che ha invalidato l'EU-US Privacy Shield e ha introdotto il requisito della Transfer Impact Assessment. Ogni trasferimento verso un paese terzo richiede ora un'analisi documentata della normativa locale in materia di sorveglianza e delle misure supplementari. Sostituito nella pratica dall'EU-US Data Privacy Framework (2023), ma la disciplina della TIA è rimasta in vigore.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Il punto di vista di Cyber Academy

Schrems II è la sentenza della CGUE del 2020 che ha invalidato l'EU-US Privacy Shield e ha introdotto il requisito della Transfer Impact Assessment. Ogni trasferimento verso un paese terzo richiede ora un'analisi documentata della normativa locale in materia di sorveglianza e delle misure supplementari. Sostituito nella pratica dall'EU-US Data Privacy Framework (2023), ma la disciplina della TIA è rimasta in vigore.

Cosa ha deciso davvero la sentenza

Schrems II è la sentenza della Corte di giustizia dell'Unione europea, pronunciata nel luglio 2020 nella causa Data Protection Commissioner v Facebook Ireland e Maximillian Schrems, che ha ridisegnato il modo in cui i dati personali lasciano lo Spazio economico europeo. Sono accadute due cose contemporaneamente.

In primo luogo, la Corte ha invalidato il Privacy Shield UE-USA, l'accordo di adeguatezza che aveva consentito a migliaia di imprese di trasferire dati verso importatori statunitensi certificati, perché il diritto statunitense in materia di sorveglianza non offriva alle persone dell'Unione una protezione sostanzialmente equivalente a quella garantita all'interno dell'Unione e non concedeva loro alcun ricorso giurisdizionale effettivo. In secondo luogo, ed è la parte che resta, la Corte non ha annullato le clausole contrattuali tipo. Le ha mantenute valide ma vi ha aggiunto una condizione: l'esportatore non può limitarsi a firmare le clausole e disinteressarsene.

Quella condizione è il cuore della questione. La Corte ha affermato che gli esportatori di dati devono verificare, caso per caso, se il diritto e la prassi del paese di destinazione consentano effettivamente all'importatore di rispettare le garanzie contrattuali. Quando non è così, l'esportatore deve aggiungere misure supplementari o interrompere il trasferimento. Il contratto da solo non basta se un governo straniero può imporre l'accesso in un modo che le clausole non possono impedire.

La valutazione d'impatto del trasferimento nella pratica

La disciplina creata da Schrems II è la valutazione d'impatto del trasferimento, o TIA. È l'analisi documentata che trasforma la sentenza in un controllo ripetibile. Un professionista che svolge una TIA segue una sequenza riconoscibile anziché un parere giuridico estemporaneo.

  • Mappare il trasferimento. Individuare quali dati vanno dove, le categorie di persone interessate, l'importatore, eventuali trasferimenti successivi e il meccanismo giuridico su cui ci si basa, di solito le SCC.
  • Valutare il diritto e la prassi di destinazione. Esaminare il regime di sorveglianza e di accesso governativo nel paese importatore e giudicare se compromette la protezione che lo strumento di trasferimento dovrebbe fornire. È l'analisi del diritto in materia di sorveglianza che la Corte ha richiesto.
  • Individuare le misure supplementari. Quando il diritto locale è problematico, decidere quali garanzie tecniche, contrattuali od organizzative aggiuntive colmino il divario. La crittografia robusta con chiavi detenute soltanto nel SEE, la pseudonimizzazione e il trattamento frazionato sono le misure tecniche che le autorità di controllo indicano più spesso.
  • Documentare e decidere. Registrare il ragionamento, concludere se il trasferimento può proseguire e fissare un fattore scatenante di revisione affinché la valutazione sia riesaminata quando il diritto o l'accordo cambia.

Dove si colloca oggi

Nel 2023 la Commissione europea ha adottato il Data Privacy Framework UE-USA, una nuova decisione di adeguatezza che, per le organizzazioni statunitensi certificate, ripristina una via per trasferire dati senza TIA per quello specifico corridoio. È stato concepito per rispondere alle preoccupazioni sul ricorso e sulla proporzionalità che hanno fatto cadere il Privacy Shield, compreso un meccanismo di riesame indipendente per le persone dell'Unione. Così, in termini quotidiani, la lacuna del Privacy Shield aperta da Schrems II è stata colmata per gli Stati Uniti, a condizione che l'importatore sia certificato secondo il nuovo quadro e che il trasferimento resti nel suo ambito.

Ciò che non è scomparso è il metodo più ampio. I trasferimenti verso paesi privi di decisione di adeguatezza si basano ancora sulle SCC o su altri strumenti dell'articolo 46, e ciascuno di essi necessita ancora di una TIA. Gli orientamenti del Comitato europeo per la protezione dei dati sulle misure supplementari restano il manuale pratico. Il modo corretto di leggere Schrems II nel 2026 non è dunque come una storia morta del Privacy Shield, ma come il momento in cui il rischio di trasferimento è diventato qualcosa che si valuta e si documenta, trasferimento per trasferimento, anziché eliminare spuntando una casella di adeguatezza.

Due concetti vicini meritano di essere tenuti distinti. Una decisione di adeguatezza è la Commissione che afferma che un intero paese offre una protezione equivalente, il che elimina la necessità di garanzie aggiuntive. Le SCC sono uno strumento contrattuale che si usa quando non c'è una decisione di adeguatezza, e Schrems II è precisamente la sentenza che ha detto che le SCC vengono con il compito di una TIA in allegato.

Frequently asked questions

01Schrems II ha vietato i trasferimenti di dati verso gli Stati Uniti?

No. Ha invalidato l'accordo di adeguatezza del Privacy Shield, ma i trasferimenti potevano comunque proseguire in base alle SCC con una valutazione d'impatto del trasferimento e misure supplementari. Dal 2023 il Data Privacy Framework UE-USA offre una nuova via di adeguatezza per gli importatori statunitensi certificati.

02Le clausole contrattuali tipo sono ancora valide dopo Schrems II?

Sì. La Corte ha confermato le SCC. Ciò che ha aggiunto è il dovere di verificare, caso per caso, se il paese di destinazione consenta effettivamente all'importatore di rispettarle, e di aggiungere misure supplementari o interrompere il trasferimento quando non è così.

03Che cos'è una valutazione d'impatto del trasferimento?

È l'analisi documentata che Schrems II ha reso necessaria: mappare il trasferimento, valutare il diritto in materia di sorveglianza e di accesso governativo della destinazione, decidere quali misure supplementari sono necessarie e registrare la conclusione. È ormai un controllo standard in qualsiasi trasferimento basato sulle SCC.

04Il Data Privacy Framework UE-USA rende Schrems II irrilevante?

Non per l'obbligo più ampio. Il quadro ripristina una via di adeguatezza per le organizzazioni statunitensi certificate, eliminando la TIA per quello specifico corridoio, ma i trasferimenti verso qualsiasi paese non adeguato richiedono ancora una TIA. La disciplina di valutazione creata da Schrems II resta in vigore.

05Che cosa conta come misura supplementare?

Garanzie tecniche, contrattuali od organizzative che colmano il divario lasciato da un diritto di destinazione debole. Le autorità di controllo indicano più spesso la crittografia robusta con chiavi conservate nel SEE, la pseudonimizzazione e il trattamento frazionato o multipartito come misure tecniche efficaci.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.