Con sentenza del 6 ottobre 2015 nella causa C-362/2014 (Maximillian Schrems / Data Protection Commissioner), la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione della Commissione del 26 luglio 2000 che attesta a priori che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti presso il proprio Paese (c.d. Safe Harbor).
Le autorità nazionali di controllo (Garanti) possono pertanto, su domanda di parte, esaminare se il trasferimento dei dati di una persona verso quel Paese rispetti i requisiti comunitari sulla protezione dei dati, non essendo ammissibile alcun provvedimento, ancorché della Commissione, che stabilisca ex ante che un determinato regime extra-UE garantisca o meno i dati dei cittadini comunitari (ed a tal fine deve essere ammesso il ricorso alle autorità giudiziarie interne affinché queste promuovano il rinvio alla Corte di Giustizia, unico organo competente a sindacare la validità degli atti della Commissione e dell’Unione in generale).
La decisione è destinata a riverberarsi in modo rilevante sui trattamenti di dati eseguiti su server allocati in territori extracomunitari, in primis su quelli dei big player statunitensi.