La Corte Ue, giudicando sul caso Schrems II, ha dichiarato non valida la decisione della Commissione (2016/1250) sull'adeguatezza della protezione dei dati offerta dal regime dello scudo UE-USA in materia di privacy.
Con la sentenza nella causa C-311/18, il 16 luglio 2020, la Corte di Giustizia, accogliendo le tesi del ricorrente, ha evidenziato che la normativa statunitense non offre garanzie in linea con quelle europee, dal momento che i programmi di sorveglianza statale sono particolarmente invasivi.
In particolare, la cosiddetta sentenza “Schrems II” ha dichiara che il Privacy Shield è invalido, poiché non è in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti, specie in relazione agli strumenti legislativi americani di sorveglianza pubblica, che risultano invece eccessivi e sproporzionati rispetto ai criteri del diritto europeo; le Clausole contrattuali standard – contenute nella Decisione della Commissione Ue 5 febbraio 2010, modificata nel 2016 – rimaste valide, possono essere utilizzate solo previa valutazione circa la loro effettiva capacità di garantire la protezione dei dati nel paese di destinazione.
In altre parole il titolare ed il responsabile del trattamento che intendono effettuare il trasferimento fuori dal territorio comunitario devono verificare caso per caso la sussistenza di idonee garanzie a protezione dei dati personali nel Paese del destinatario e prevedere garanzie supplementari nel caso in cui quelle assicurate dalle clausole standard non siano ritenute sufficienti. Tale regola – certamente di non facile ed immediata applicazione – vale per tutti i trasferimenti extra Ue, non solo per i dati che vanno in Usa.