In un sistema economico in cui i dati (personali e non) costituiscono una delle principali “materie prime” di produzione, nel quale lo scambio transatlantico di beni e servizi ammonta ad 1,3 trilioni di dollari annui, la sentenza Schrems II segna uno storico mutamento di paradigma nelle relazioni economiche, politiche e sociali fra Unione Europea e Stati Uniti. Con essa, infatti, la Corte di Giustizia dell’Unione Europea (CgUe) ha invalidato l’Accordo “Privacy Shield” del 2016 in ragione delle forti limitazioni ai diritti fondamentali dei cittadini dell’Ue causate dai pervasivi programmi di sorveglianza operati dalle agenzie di intelligence statunitensi e alla sostanziale inesistenza di un diritto ad un effettivo ricorso dinnanzi alle autorità giudiziarie Usa in capo ai i cittadini Ue.
La pronuncia che ha tra l’altro, efficacia immediata, ha creato un significativo vuoto normativo, che ha colpito il più massiccio flusso intercontinentale di dati personali del globo, suscitando perplessità e incertezze negli operatori economici di entrambe le sponde dell’Atlantico. Oltre ad invalidare l’Accordo per i sopracitati motivi, la Corte ha puntualizzato che l’“esportatore” di dati che intende avvalersi delle Standard Contractual Clauses (SCC) deve valutare caso per caso se il Paese terzo verso il quale essi vengono trasferiti offra una protezione adeguata.
La sentenza ha anche confermato il potere delle Autorità di Controllo degli Stati membri di sospendere o vietare i trasferimenti verso paesi terzi in assenza di garanzie adeguate. Tuttavia, le posizioni recentemente assunte dalle varie Authority sul tema non hanno contribuito a chiarire i dubbi circa gli strumenti giuridici da utilizzare per trasferire i di dati personali oltreoceano. A tal riguardo, infatti, le Autorità di Controllo hanno proposto soluzioni differenti: il Garante della bundesland di Berlino, ad esempio, ha ordinato di interrompere i trasferimenti di dati personali verso gli Stati Uniti fino a quando non vi sarà un nuovo framework giuridico, e di riportare nel territorio Europeo i dati attualmente siti negli Usa; similmente, il Garante Federale tedesco ha dichiarato che solleciterà la rapida attuazione della sentenza in casi particolarmente rilevanti, alludendo plausibilmente ai colossi tecnologici nordamericani. Altri, come i Garanti del Liechtenstein, della Romania e della Slovenia, hanno lasciato aperta la possibilità di utilizzare le Scc per effettuare trasferimenti di dati personali verso gli Stati Uniti. Meno netta la posizione del Garante Irlandese (che ha contribuito a dare impulso al procedimento innanzi alla CgUe), il quale ha definito “discutibile” il trasferimento di dati personali verso gli Stati Uniti, effettuato sulla base delle clausole contrattuali tipo. I Garanti di Danimarca, Finlandia, Francia, Polonia e Spagna, hanno adottato un approccio ancora più cauto, dichiarando che si adopereranno per trovare una soluzione condivisa all’interno del Comitato Europeo per la Protezione dei dati personali (Edpb). Singolare – ma allo stesso tempo prevedibile – è invece l’indicazione fornita dall’Information Commissioner’s Office, il Garante britannico, il quale ha suggerito a coloro che attualmente utilizzano il Privacy Shield di continuare ad avvalersi di tale strumento finché non saranno disponibili nuove indicazioni. Le Autorità di altri Stati Membri come l’Italia e il Belgio, infine, non hanno ancora espresso un proprio parere sul tema.
La natura eminentemente politica della sentenza Schrems II (seppur meritevole e pienamente condivisa) e la sopracitata incertezza circa i trasferimenti di dati personali verso un Paese che, nonostante i programmi di sorveglianza di massa, resta il principale e più strategico partner dell’Unione Europea (e dei singoli Stati membri), pongono in risalto la primaria esigenza di raggiungere una soluzione comune e condivisa che garantisca un equo bilanciamento tra i diritti fondamentali e le esigenze di sicurezza nazionale.
Alla luce di quanto sopra sorge spontanea una riflessione: quale sarà l’approccio che l’Ue adotterà verso Paesi come la Cina, la Russia e India? Le istituzioni del vecchio continente mostreranno la stessa risolutezza e lo stesso vigore nel voler (giustamente) tutelare i diritti fondamentali dei cittadini europei?