Da Schrems II al Data Privacy Framework: Shopify e la normativa europea sul dato.

Ogni ecommerce che vende in Europa, prima o poi, sposta dati personali oltre confine. Lo fa quando usa uno strumento di analytics americano, un servizio di email marketing, un'infrastruttura cloud, o semplicemente una piattaforma con sede fuori dall'Unione. E qui scatta una delle materie più scivolose del diritto digitale europeo: il trasferimento dei dati personali verso paesi terzi, un terreno su cui due accordi tra Unione Europea e Stati Uniti sono già crollati. La domanda pratica, per chi costruisce un progetto su una piattaforma come Shopify, è semplice: posso usarla restando dentro le regole europee sul dato? La risposta è sì, ma vale la pena capire perché, perché il diavolo, come sempre, sta nei dettagli.

Dal Privacy Shield al Data Privacy Framework: cosa è successo

Il 16 luglio 2020 la Corte di Giustizia dell'Unione Europea, con la sentenza sul caso C-311/18 nota come Schrems II, ha invalidato il Privacy Shield, l'accordo che regolava i trasferimenti di dati tra Unione Europea e Stati Uniti. La motivazione: le leggi statunitensi sulla sorveglianza permettevano alle agenzie di intelligence un accesso ai dati senza garanzie sufficienti per i cittadini europei, e questo rendeva la protezione non adeguata agli occhi del GDPR. La decisione ha lasciato un vuoto, e per riempirlo le aziende si sono appoggiate alle Clausole Contrattuali Standard, le SCC, lo strumento con cui esportatore e importatore dei dati si impegnano per contratto a garantire un livello di protezione equivalente. La Commissione Europea ne ha pubblicate di nuove e più robuste il 4 giugno 2021.

Il capitolo successivo si è chiuso il 10 luglio 2023, quando la Commissione ha adottato la decisione di adeguatezza per il Data Privacy Framework, il nuovo quadro che consente di trasferire dati personali verso le aziende statunitensi che vi aderiscono. Il DPF poggia su un ordine esecutivo americano, l'Executive Order 14086, che limita l'accesso ai dati da parte dell'intelligence, e su un nuovo organo di ricorso, la Data Protection Review Court, pensato per dare ai cittadini europei un rimedio effettivo. È il terzo tentativo dopo Safe Harbor e Privacy Shield, entrambi bocciati.

Il DPF regge, ma con un punto interrogativo

C'è una novità che cambia il tono rispetto al passato. Il 3 settembre 2025 il Tribunale dell'Unione Europea ha respinto il ricorso con cui il parlamentare francese Philippe Latombe chiedeva di annullare la decisione di adeguatezza, e ha confermato in pieno la validità del DPF. È la prima volta che un quadro di trasferimento tra Unione e Stati Uniti supera l'esame di un giudice europeo, dopo due bocciature. Non è però una parola definitiva: Latombe ha presentato appello alla Corte di Giustizia, ancora pendente, e voci critiche, a partire da Max Schrems, contestano la solidità dell'impianto. Per questo gli esperti consigliano di trattare il DPF come una base valida ma non eterna, tenendo le SCC come rete di sicurezza.

E Shopify? Il punto che quasi nessuno dice

Qui va sciolto un equivoco diffuso, perché cambia tutta la prospettiva. Shopify non è un'azienda statunitense: ha sede in Canada, a Ottawa. E il Canada gode da anni di una decisione di adeguatezza della Commissione Europea, che lo riconosce come paese capace di garantire un livello di protezione adeguato per i dati personali trattati dalle organizzazioni commerciali. Tradotto: il trasferimento dei dati da un merchant europeo a Shopify non si appoggia al traballante asse Unione-Stati Uniti, ma all'adeguatezza riconosciuta al Canada, rafforzata dalle SCC del 2021 che Shopify incorpora nel proprio accordo sul trattamento. In questo rapporto Shopify è il responsabile del trattamento, mentre il titolare, quello che decide finalità e mezzi e che ne risponde, resti tu.

Dove finiscono i dati

C'è di più, ed è una novità che riduce il problema alla radice. Shopify oggi conserva in Europa, tra Spazio Economico Europeo, Regno Unito e Svizzera, una parte dei dati di negozio, ordini e clienti, e i nuovi merchant europei ci finiscono in modo automatico: i dati, semplicemente, attraversano meno l'Atlantico. In parallelo Shopify ha avviato presso il Garante irlandese, la sua autorità capofila per il GDPR, la procedura per ottenere le Binding Corporate Rules, le regole vincolanti d'impresa, un ulteriore meccanismo che disciplina i trasferimenti all'interno del gruppo. Più garanzie sovrapposte, meno fragilità legata a un singolo accordo.

Dove il DPF conta per davvero

Il Data Privacy Framework, allora, dove entra in gioco per chi sta su Shopify? Non tanto per Shopify in sé, ma per due cose. La prima sono i sub-fornitori statunitensi della piattaforma, i servizi di cloud e di rete su cui Shopify si appoggia, diversi dei quali sono a loro volta certificati DPF. La seconda, e più importante per te, sono i servizi e le app di terze parti che aggiungi tu allo store: strumenti di analytics, di email marketing, di advertising, pixel di tracciamento, spesso ospitati su infrastruttura americana. È qui che il merchant deve davvero alzare l'attenzione, perché ogni integrazione esterna è un trasferimento a sé, con una sua base giuridica da verificare.

Cosa deve fare un merchant italiano

Il filo conduttore è uno: il titolare del trattamento sei tu, e la conformità non arriva in automatico solo perché la piattaforma è solida. In concreto, alcune cose vanno presidiate.

• Mappare i flussi: quali fornitori e quali app trattano dati personali, e dove li trasferiscono.
• Verificare la base di trasferimento per ogni fornitore extra-Unione, sia essa l'adeguatezza del paese, la certificazione DPF o le SCC.
• Aggiornare l'informativa privacy perché rifletta davvero come e dove i dati vengono trattati.
• Implementare una gestione del consenso seria: un cookie banner conforme che blocchi gli script non necessari finché il consenso non è stato dato.

E, come consigliano gli stessi esperti di protezione del dato, conviene tenere le SCC nella cassetta degli attrezzi anche quando ci si appoggia a un'adeguatezza o al DPF: sono la rete che regge se un domani un accordo dovesse saltare di nuovo.

Due facce dello stesso problema

Il trasferimento dei dati è solo una faccia della questione. L'altra è la sicurezza del dato in sé, il modo in cui viene protetto da accessi e violazioni, che vive di regole proprie, dal GDPR a lo standard PCI DSS sui pagamenti fino alla NIS2 sulla cybersicurezza. Le due facce vanno tenute insieme, perché un progetto conforme è quello che le presidia entrambe, ed è il tipo di analisi che in ICT Sviluppo mettiamo a terra in ogni replatforming: non solo migrare un ecommerce, ma costruirlo su basi giuridiche e tecniche solide, dove privacy e sicurezza non siano una toppa finale ma parte dell'architettura.

Domande frequenti

Il Data Privacy Framework è ancora valido?

Sì. La decisione di adeguatezza del 2023 è in vigore ed è stata confermata dal Tribunale dell'Unione Europea nel settembre 2025. È pendente un appello alla Corte di Giustizia, quindi conviene seguirne gli sviluppi e mantenere le SCC come base alternativa.

Usare Shopify viola il GDPR sui trasferimenti?

No, di per sé. Shopify ha sede in Canada, paese coperto da una decisione di adeguatezza dell'Unione, usa le SCC come garanzia aggiuntiva e conserva in Europa parte dei dati dei merchant europei. Restano da verificare i trasferimenti generati dalle app e dai servizi di terze parti che aggiungi tu, e la conformità complessiva del tuo store, di cui resti il titolare.