Schrems III causerà un nuovo momento di panico per i trasferimenti di dati UE–USA?

Il prossimo caso “Schrems III” del 3 settembre 2025 potrebbe invalidare l’EU–US Data Privacy Framework (DPF), interrompendo nuovamente i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti e costringendo le imprese a ricorrere a soluzioni alternative come le Clausole Contrattuali Standard e le Transfer Impact Assessments, creando un potenziale momento di panico per molte aziende.

Il 3 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) emetterà la propria sentenza nel caso Latombe vs Commissione Europea. In gioco c’è il futuro dell’EU–US Data Privacy Framework, la decisione di adeguatezza adottata nel luglio 2023 per ripristinare una base giuridica stabile ai flussi di dati transatlantici. Se il framework dovesse essere annullato, le aziende si troverebbero nuovamente ad affrontare l’incertezza regolatoria e operativa che aveva caratterizzato la decisione Schrems II del 2020. Molti parlano già di questo scenario come di un “Schrems III”.

Ricordo molto bene cosa significò l’ultima invalidazione. Nel luglio 2020, quando la CGUE annullò il Privacy Shield, mi trovavo in Sicilia con la mia famiglia, isolato in una fattoria durante la pandemia. Circondato da maiali, asini e galline, e con una connessione internet instabile, cercavo di rassicurare i clienti che temevano di dover sospendere immediatamente i loro trasferimenti verso fornitori tecnologici statunitensi. Allo stesso tempo, insieme al mio collega Tommaso Ricci e al team globale di DLA Piper, stavamo costruendo il nostro strumento di legal tech TRANSFER, prevedendo che le Clausole Contrattuali Standard (SCCs) non sarebbero più state sufficienti senza delle dettagliate Transfer Impact Assessments (TIAs).

Cinque anni dopo, la storia potrebbe ripetersi.

Perché il DPF è sotto attacco nel caso Latombe vs Commissione Europea

Il ricorso è stato presentato nel settembre 2023 da Philippe Latombe, deputato francese, che ha contestato direttamente la decisione di adeguatezza della Commissione ai sensi dell’articolo 263 TFUE. A differenza di Schrems I e II, che arrivarono alla CGUE tramite giudizi nazionali e rinvii pregiudiziali, questo caso prende di mira direttamente la decisione, con la possibilità di accelerare il controllo giudiziario.

Secondo Latombe, il DPF non garantirebbe una protezione “sostanzialmente equivalente” per i cittadini europei, come richiesto dall’articolo 45 GDPR e dalla Carta dei diritti fondamentali dell’UE. I principali argomenti sollevati sono:

• I poteri di sorveglianza statunitensi restano sproporzionati: la Section 702 del Foreign Intelligence Surveillance Act (FISA) e l’Executive Order 12333 continuano a consentire raccolte su larga scala di dati relativi a persone non statunitensi. Nonostante le riforme introdotte con l’Executive Order 14086, permane il timore che le agenzie di intelligence USA possano ancora accedere in massa ai dati senza rispettare i principi di stretta necessità e proporzionalità previsti dal diritto dell’UE.

• La Data Protection Review Court (DPRC) manca di indipendenza: questo organismo, creato dal DPF per gestire i reclami dei cittadini UE, è inserito all’interno del Dipartimento di Giustizia statunitense. I membri sono nominati dal Procuratore Generale e i procedimenti sono segreti, senza possibilità per i ricorrenti di accedere alle prove o appellarsi. Si teme che tale meccanismo non rispetti l’articolo 47 della Carta, che garantisce il diritto a un ricorso effettivo davanti a un tribunale indipendente e imparziale.

• Diritti di ricorso limitati: diversamente dall’UE, dove i tribunali possono annullare atti amministrativi e riconoscere il risarcimento dei danni, la DPRC può solo confermare se vi sia stata o meno una violazione ed eventualmente ordinare rimedi come la cancellazione dei dati. Questa limitata portata potrebbe non soddisfare gli standard europei di tutela giurisdizionale.

• Decisioni automatizzate e misure di sicurezza: Latombe sottolinea inoltre che la normativa statunitense non disciplina le decisioni automatizzate in modo paragonabile all’articolo 22 GDPR, e che il framework non garantisce misure robuste ed esecutive sulla sicurezza dei dati simili a quelle previste dall’articolo 32 GDPR.

Queste criticità ricordano molto da vicino le motivazioni che portarono alla caduta del Safe Harbor nel 2015 e del Privacy Shield nel 2020.

La difesa della Commissione Europea

La Commissione europea sostiene che il DPF abbia introdotto garanzie sostanziali. Richiama i nuovi strumenti giuridici statunitensi, in particolare l’Executive Order 14086, che limita le attività di sorveglianza a obiettivi specifici come il contrasto al terrorismo e prevede meccanismi di supervisione. La Commissione enfatizza anche che la DPRC, pur essendo un’istituzione nuova, rappresenta un miglioramento reale rispetto al meccanismo dell’Ombudsperson, bocciato in Schrems II.

Tuttavia, la CGUE ha sempre adottato un approccio molto rigoroso: se i rimedi non sono pienamente indipendenti e trasparenti, non potranno mai essere considerati “sostanzialmente equivalenti”. È proprio la DPRC, dunque, l’anello debole del DPF e il motivo più probabile della sua invalidazione.

Due possibili scenari per Schrems III

La sentenza potrebbe condurre a due esiti molto diversi:

• Se il DPF viene confermato: i trasferimenti di dati UE–USA manterranno una base giuridica stabile e le imprese potranno continuare a fare affidamento sulle certificazioni DPF. Tuttavia, anche in questo caso, il framework resterà fragile dal punto di vista politico e potrà essere nuovamente impugnato.

• Se il DPF viene annullato: le aziende dovranno tornare a basarsi su SCCs, BCRs e TIAs. A differenza del 2020, però, è improbabile che le autorità mostrino tolleranza. Dopo Schrems II, i Garanti europei hanno pubblicato linee guida dettagliate e le imprese sono ora tenute a dimostrare una pianificazione di contingenza. Il ritorno all’incertezza potrebbe anche riaccendere le tensioni geopolitiche tra Bruxelles e Washington, già aggravate da dispute su dazi, Digital Markets Act e Digital Services Act.

Come possono prepararsi le imprese

Anche se oggi le aziende sono meglio organizzate rispetto al 2020, la maggior parte dipende ancora fortemente da fornitori cloud e SaaS statunitensi. Sostituirli non è quasi mai realistico. La chiave è farsi trovare pronti a un contesto post-DPF.

Cinque passi pratici da adottare subito:

1. Mappare tutti i trasferimenti verso gli USA: usare il registro ROPA per distinguere quelli basati sul DPF da quelli coperti da SCCs o BCRs.

2. Verificare i contratti: accertarsi che tutti i Data Processing Agreements e le SCCs siano aggiornati e correttamente eseguiti, con allegati completi.

3. Revisionare le Transfer Impact Assessments: assicurarsi che ogni trasferimento non basato sul DPF abbia una TIA documentata che valuti realisticamente i rischi legati alla sorveglianza USA.

4. Preparare TIAs di riserva per i trasferimenti basati sul DPF: raccogliere le informazioni necessarie per redigerle rapidamente in caso di crollo del framework.

5. Coordinarsi con IT e procurement: valutare se esistano fornitori alternativi, i relativi costi e i tempi di sostituzione. Queste informazioni saranno essenziali nelle discussioni con il board.

Dal panico alla preparazione

Nel 2020, Schrems II generò panico. Oggi lo scenario è diverso: le organizzazioni dispongono di strumenti migliori, processi più maturi e aspettative regolatorie più chiare. Ma la posta in gioco è più alta e i Garanti non perdoneranno l’impreparazione.

Che Schrems III confermi o annulli il DPF, una cosa è certa: le imprese devono essere pronte ad adattarsi rapidamente. La differenza tra panico e preparazione dipenderà dal lavoro fatto adesso.

Se volete saperne di più sullo strumento di legal tech di DLA Piper per eseguire Transfer Impact Assessment, potete consultare una breve presentazione QUI e contattarci. Inoltre, potete guardare il breve video su come svolgere una Transfer Impact Assessment QUI.