Schrems II e Transfer Impact Assessment: la nuova realtà della compliance per le organizzazioni italiane
La sentenza Schrems II del 16 luglio 2020 rappresenta uno spartiacque nella storia della protezione dei dati personali: invalidando il Privacy Shield, la Corte di Giustizia dell’Unione Europea ha innescato una trasformazione profonda nel modo in cui le organizzazioni europee – in particolare quelle italiane – gestiscono i flussi transatlantici di dati. Non si è trattato semplicemente di un cambiamento normativo, ma di un ripensamento radicale delle strategie operative che ha trasformato la compliance al GDPR da adempimento formale a priorità strategica.
Il Transfer Impact Assessment: da strumento teorico a necessità operativa
Prima di Schrems II, molte organizzazioni consideravano il Transfer Impact Assessment (TIA) un esercizio documentale marginale. La sentenza ha ribaltato questa percezione: la Corte ha stabilito che le Clausole Contrattuali Standard, pur rappresentando uno strumento legittimo per i trasferimenti di dati extra-UE, non bastano da sole. Serve una valutazione caso per caso del livello effettivo di protezione offerto dal Paese terzo destinatario, considerando non solo la normativa formale ma il contesto giuridico complessivo, l’accesso governativo ai dati, l’assenza di rimedi effettivi.
La Corte ha trasferito sul titolare del trattamento un onere valutativo che prima era implicitamente delegato alla Commissione Europea attraverso le decisioni di adeguatezza. Questo significa che ogni organizzazione deve oggi documentare non solo quali dati trasferisce e dove, ma anche perché ritiene che il livello di protezione nel Paese destinatario sia adeguato.
L’applicazione italiana: quando la teoria incontra la prassi
Il Garante per la protezione dei dati personali italiano ha interpretato Schrems II con rigore sostanziale. Il provvedimento 317 del 16 settembre 2021 contro l’Università Bocconi rappresenta un caso emblematico: l’ateneo aveva implementato un sistema di proctoring per gli esami a distanza che trasferiva dati biometrici e personali verso server statunitensi. Nonostante l’adozione delle Standard Contractual Clauses, il Garante ha contestato l’assenza di un TIA documentato e la mancata implementazione di misure supplementari. La sanzione di 200.000 euro è stata accompagnata da un’ingiunzione a interrompere immediatamente i trasferimenti.
Il messaggio è inequivocabile: il TIA non è un documento da archiviare, ma uno strumento dinamico di governance del rischio che deve produrre effetti concreti sull’architettura dei flussi di dati.
Nel giugno 2022, il Garante italiano ha seguito le orme delle autorità austriache e francesi, dichiarando illegittimo l’uso di Google Analytics per i trasferimenti verso gli USA. La società Caffeina Media Srl ha ricevuto un’ingiunzione di 90 giorni per conformarsi, con la minaccia di verifiche ispettive successive. L’Autorità ha rilevato che gli indirizzi IP costituiscono dati personali anche se troncati, e che le misure implementate da Google non garantivano protezione adeguata rispetto ai programmi di sorveglianza statunitensi regolati dalla Section 702 del FISA e dall’Executive Order 12333.
Le misure supplementari: dalla teoria all’implementazione
Le raccomandazioni EDPB 01/2020, adottate nella versione finale il 18 giugno 2021, forniscono una tassonomia articolata delle misure supplementari, distinguendo tra interventi contrattuali, tecnici e organizzativi. Sul piano contrattuale, le clausole aggiuntive possono includere obblighi di trasparenza rafforzata, impegni a contestare richieste governative sproporzionate, notifiche tempestive. Tuttavia, l’EDPB riconosce apertamente che le misure puramente contrattuali hanno efficacia limitata quando ci si confronta con ordinamenti che prevedono obblighi di disclosure vincolanti con sanzioni penali.
È sul piano tecnico che si gioca la partita decisiva. La crittografia end-to-end con gestione delle chiavi da parte del titolare europeo rappresenta lo standard di riferimento quando tecnicamente implementabile. La pseudonimizzazione avanzata offre protezione in scenari specifici, così come la tokenizzazione per determinate tipologie di dati. In alcuni casi, la soluzione ottimale consiste nello split processing: solo metadati o dati aggregati vengono trasferiti verso il Paese terzo, mentre i dati personali in chiaro rimangono nell’Unione Europea.
Il problema è che queste soluzioni tecniche comportano spesso costi significativi e complessità architetturale. Una PMI italiana che utilizza servizi cloud statunitensi non ha tipicamente le risorse per implementare sistemi di crittografia complessi con gestione autonoma delle chiavi. Può tentare di negoziare con il fornitore, ma il potere contrattuale è asimmetrico.
Il Data Privacy Framework: terzo tentativo di stabilizzazione
Il Data Privacy Framework, entrato in vigore il 10 luglio 2023, rappresenta il terzo tentativo di creare un meccanismo di trasferimento semplificato dopo Safe Harbor e Privacy Shield. Sulla carta, il DPF affronta le criticità sollevate dalla sentenza Schrems II: introduce limitazioni più stringenti all’accesso governativo attraverso l’Executive Order 14086 firmato dal Presidente Biden, prevede un meccanismo indipendente di ricorso tramite la Data Protection Review Court, rafforza gli obblighi di trasparenza per le aziende certificate.
Molte organizzazioni italiane hanno accolto con sollievo la decisione di adeguatezza della Commissione. Ma NOYB, l’associazione fondata da Max Schrems, ha immediatamente annunciato l’intenzione di contestare anche questa terza iterazione. Schrems ha dichiarato nel luglio 2023 di avere “già nel cassetto” diverse opzioni procedurali per riportare il caso davanti alla Corte di Giustizia, sottolineando che le modifiche statunitensi sono di natura esecutiva e potrebbero essere revocate.
Il primo tentativo di contestazione giudiziale è arrivato nel settembre 2023 dal deputato francese Philippe Latombe. Il 3 settembre 2025, il Tribunale dell’Unione Europea ha respinto il ricorso, confermando la validità del DPF. Tuttavia, NOYB ha già dichiarato che intende preparare una contestazione più ampia, potenzialmente beneficiando dell’analisi giudiziaria già effettuata e di nuovi sviluppi normativi statunitensi post-2023.
Per le aziende italiane che operano con fornitori statunitensi, il consiglio prudenziale emergente dalla prassi del Garante è chiaro: non affidarsi esclusivamente alla certificazione DPF, ma mantenere un approccio stratificato con SCC, certificazione DPF come garanzia ulteriore, misure tecniche supplementari dove possibile e un TIA aggiornato che documenti la valutazione complessiva del rischio residuo.
Oltre gli Stati Uniti: altri contesti geografici
I trasferimenti verso Svizzera e Regno Unito, dotati di decisioni di adeguatezza, pongono questioni teoricamente meno complesse, anche se queste decisioni sono soggette a revisioni periodiche. Per quanto riguarda la Cina, paese verso cui molte aziende italiane trasferiscono dati nel contesto di operazioni manifatturiere, il TIA deve necessariamente concludersi con l’implementazione di misure supplementari robuste: l’ordinamento cinese prevede obblighi di localizzazione dei dati e ampi poteri di accesso governativo senza adeguate garanzie procedurali.
Le Binding Corporate Rules rappresentano un’alternativa strategica per i trasferimenti intragruppo, ma richiedono un processo di approvazione coordinato tra le autorità di controllo estremamente lungo e oneroso, rendendole accessibili principalmente alle grandi corporate.
Le deroghe dell’articolo 49: ultima ratio
L’articolo 49 del GDPR prevede deroghe specifiche per situazioni eccezionali: consenso esplicito dell’interessato, necessità per l’esecuzione di un contratto, interesse pubblico rilevante, difesa di diritti in sede giudiziaria. Tuttavia, la giurisprudenza dell’EDPB e la prassi del Garante sono inequivocabili nel delimitare queste eccezioni a casi veramente eccezionali e non sistematici. Un’organizzazione non può basare il proprio modello operativo su deroghe che per natura devono essere occasionali.
Il nuovo paradigma operativo: dalla compliance alla governance
Il panorama italiano post-Schrems II evidenzia una complessità crescente in cui la compliance non può ridursi a un esercizio documentale. Il Transfer Impact Assessment si trasforma da obbligo regolamentare a strumento di due diligence strategica che dovrebbe alimentare decisioni consapevoli su quali fornitori selezionare, quali architetture implementare, quali rischi accettare e documentare.
Per i professionisti della sicurezza e della privacy che operano nel contesto italiano, questo significa sviluppare competenze che vanno oltre la conoscenza normativa e includono la capacità di dialogare con IT, procurement e business per tradurre requisiti di compliance in soluzioni tecniche sostenibili.
Il Garante italiano ha dimostrato negli ultimi anni di voler applicare un approccio pragmatico ma rigoroso: non si aspetta che le aziende raggiungano un rischio zero, ma pretende che dimostrino di aver fatto tutto il ragionevolmente possibile per identificare e mitigare i rischi. La documentazione del TIA, la sua revisione periodica e soprattutto l’implementazione effettiva delle misure identificate rappresentano gli elementi su cui l’autorità focalizza l’attenzione ispettiva.
In uno scenario dove l’unica costante è l’incertezza normativa, l’approccio vincente non consiste nel cercare scorciatoie ma nell’investire nella costruzione di processi di governance dei dati solidi e autenticamente implementati. Il Transfer Impact Assessment deve trasformarsi da adempimento formale in strumento operativo di risk management che aiuta l’organizzazione a prendere decisioni informate in un contesto di crescente complessità giuridica e tecnologica.
