I trasferimenti dati tra Unione europea e Stati Uniti rischiano di finire di nuovo sotto pressione, e stavolta il colpo arriva da un dettaglio tecnico che, a guardarlo bene, tanto tecnico non è nelle sue conseguenze. Cloud, SaaS, analytics, CRM, strumenti di collaborazione e servizi di cybersecurity che le imprese europee usano ogni giorno potrebbero ritrovarsi su un terreno molto meno solido di quanto sembrasse. Tutto parte dalla decisione della Corte Suprema americana nel caso Trump contro Slaughter, pubblicata il 29 giugno 2026, che fa scricchiolare l’intesa raggiunta nel 2023, peraltro tra non poche fatiche, tra le autorità statunitensi e le istituzioni europee.
Il Data Privacy Framework, adottato dalla Commissione europea a luglio 2023 con la decisione di esecuzione UE 2023/1795, permette il trasferimento di dati personali dall’Unione europea verso organizzazioni statunitensi certificate, senza pretendere autorizzazioni extra per ogni singolo flusso. La logica di fondo è quella dell’adeguatezza. In pratica la Commissione ritiene che, per le aziende iscritte al programma, gli Stati Uniti garantiscano un livello di protezione sostanzialmente equivalente a quello preteso dal diritto europeo.
Perché la decisione americana può mettere in crisi l’accordo
La sentenza ha colpito uno dei pilastri su cui Washington e Bruxelles hanno costruito l’attuale quadro. Parliamo dell’indipendenza della Federal Trade Commission, l’autorità statunitense chiamata a vigilare sul rispetto degli impegni presi dalle aziende americane aderenti.
Secondo noyb, il centro europeo per i diritti digitali guidato da Max Schrems, che ha più volte bollato le risoluzioni del 2023 come estremamente deboli, la decisione europea sul framework richiama l’indipendenza della FTC 259 volte. Non si tratta di un dettaglio istituzionale a stelle e strisce, ma di un presupposto legale che Bruxelles ha usato per sostenere la compatibilità dei trasferimenti con l’articolo 45 del GDPR, con l’articolo 16 TFUE e con l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, tutti testi che pretendono un controllo indipendente sul trattamento dei dati personali. Il punto è questo. I giudici avrebbero minato l’indipendenza della FTC. E se quella caratteristica salta, il presupposto politico e giuridico dell’accordo tra le due sponde dell’Atlantico diventa parecchio più difficile da difendere.
Non tutti i trasferimenti diventano illegali da oggi
Qui serve precisione. La sentenza americana non cancella da sola il framework. La decisione di adeguatezza della Commissione resta valida finché la stessa Commissione non sceglie di ritirarla, modificarla o sospenderla, oppure finché un giudice dell’Unione europea non la dichiara non più valida.
Per le imprese, quindi, non scatta un divieto immediato e generalizzato di spedire dati verso fornitori statunitensi certificati. Ignorare la faccenda sarebbe però una mossa imprudente. Il rischio più serio riguarda la fase successiva. Reclami davanti alle Autorità garanti, contenziosi nazionali, possibili azioni davanti alla Corte di giustizia e pressioni politiche sulla Commissione. noyb ha già chiesto di ritirare la decisione di adeguatezza e ha annunciato l’intenzione di aprire un nuovo percorso giudiziario.
La storia di questi trasferimenti, del resto, vive su un equilibrio instabile. Il Safe Harbour, adottato nel 2000, è caduto con la sentenza Schrems I. Il Privacy Shield, che doveva correggere i difetti del primo, è stato annullato nel 2020 con Schrems II. In entrambi i casi la Corte di giustizia ha contestato soprattutto due cose. L’accesso ai dati da parte delle autorità di intelligence americane e l’assenza di rimedi concreti per gli interessati europei. Il framework è nato proprio per superare quei nodi, con nuove garanzie e un meccanismo di ricorso sulla sorveglianza chiamato Data Protection Review Court. E qui torna la critica di noyb. Se molte garanzie dipendono da atti dell’esecutivo e da organismi la cui autonomia cambia in base all’orientamento della Casa Bianca o della Corte Suprema, allora la protezione offerta agli europei non ha la stabilità che il diritto europeo pretende.
Cosa cambia per cloud, SaaS e fornitori
Per molte aziende europee la questione spinosa non è usare o non usare un servizio statunitense. La domanda vera è un’altra. Quali dati finiscono negli Stati Uniti, per quali scopi, con quali ruoli sul piano della privacy, sotto quale base di trasferimento e con quali misure supplementari.
Un CRM può contenere dati di clienti e lead. Un sistema di ticketing raccoglie log, indirizzi IP, allegati e informazioni tecniche. Una piattaforma di analytics tratta identificativi online e dati comportamentali. Un EDR o un SIEM invia telemetria di sicurezza, quindi materiale davvero delicato. Le imprese più esposte sono quelle che hanno adottato servizi SaaS globali senza una mappatura precisa dei flussi. In diversi casi la regione EU del fornitore non basta. Vanno verificati sotto responsabili, accessi di supporto, telemetria, backup, logging, disaster recovery, trasferimenti per finalità di sicurezza e strumenti di amministrazione. La residenza del dato in Europa abbassa il rischio, ma non sempre lo azzera, soprattutto quando il provider americano mantiene poteri di accesso tecnico o chiavi crittografiche gestite centralmente.
Le difese più solide restano quelle che riducono il dato leggibile fuori dallo Spazio economico europeo. Crittografia end to end con chiavi sotto controllo europeo, pseudonimizzazione prima del trasferimento, minimizzazione dei campi inviati, segregazione dei log, retention breve, esclusione dei dati particolari. Un avvertimento però resta valido. La crittografia aiuta davvero solo se il fornitore estero non può accedere alle chiavi o ai dati in chiaro per erogare il servizio. Altrimenti resta una garanzia soltanto parziale.