In relazione alle norme dei trattati internazionali, come CETA e TTIP, un aspetto poco discusso riguarda la tutela dei dati personali. In genere quando i negoziatori illustrano le norme dei trattati, valorizzandone gli aspetti positivi sostengono che tali trattati non inficiano i diritti fondamentali dei cittadini in quanto si occupano esclusivamente degli aspetti economici e commerciali. 
In realtà l'argomento è fuorviante, perché la regolamentazione dei rapporti commerciali tra Stati ha sempre una ricaduta sui diritti fondamentali dei cittadini, considerato che alcuni di tali diritti si pongono proprio come limitazione ai suddetti rapporti commerciali. 

Un esempio può essere dato proprio dalla regolamentazione dei flussi transfrontalieri di dati, necessari per consentire alle imprese straniere di vendere prodotti e servizi. Inoltre, i dati dei cittadini servono anche a fini pubblicitari, quindi come profili dei cittadini realizzati al fine di indirizzare loro pubblicità personalizzate dei prodotti delle aziende straniere. 

Per quanto riguarda il trattato CETA, che potrebbe entrare in vigore agli inizi del 2017, l’aspetto della tutela dei dati personali è particolarmente importante in quanto il trattato è negoziato col Canada che fa parte dei cosiddetti “five eyes”, un'alleanza che lega Stati Uniti, Canada, Australia, Nuova Zelanda e Regno Unito, con specifici accordi multilaterali per la cooperazione in materia di polizia e sicurezza nazionali, quindi impegnati nella sorveglianza di massa delle comunicazioni. 
Tra l’altro lo stesso CETA protegge il Canada dal fornire dati sulle sue attività di sorveglianza. 

Art. 28.6
Nothing in this Agreement shall be construed:
(a) to require a Party to furnish or allow access to information if that Party determines that the disclosure of this information would be contrary to its essential security interests; or
(b) to prevent a Party from taking an action that it considers necessary to protect its essential security interests

Il trattato CETA, all’articolo 28.3, contiene una deroga generale con rigorose condizioni. Tale deroga prevede che le leggi europee in materia di privacy non possano essere in contrasto con altre disposizioni di CETA

art. 28.3 (2)
For the purposes of Chapters Nine (Cross-Border Trade in Services), Ten (Temporary Entry and Stay of Natural Persons for Business Purposes), Twelve (Domestic Regulations), Thirteen (Financial Services), Fourteen (International Maritime Transport Services), Fifteen  (Telecommunications), Sixteen (Electronic Commerce), and Sections B (Establishment of investments) and C (Nondiscriminatory treatment) of Chapter Eight (Investment), subject to the requirement that such measures are not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination between the Parties where like conditions prevail, or a disguised restriction on trade in services, nothing in this Agreement shall be construed to prevent the adoption or enforcement by a Party of measures necessary:
(a) to protect public security or public morals or to maintain public order;
(b) to protect human, animal or plant life or health; or
(c) to secure compliance with laws or regulations which are not inconsistent with the provisions of this Agreement including those relating to:
(i) the prevention of deceptive and fraudulent practices or to deal with the effects of a default on contracts;
(ii) the protection of the privacy of individuals in relation to the processing and dissemination of personal data and the protection of confidentiality of individual records and accounts; or
(iii) safety.

Di fatto il trattato CETA, se approvato, finirebbe per diventate, nella materia relativa alla data protection, superiore anche alla Carta dei diritti dell’Unione europea. 

Inoltre, la FFII (Foundation for a Free Information Infrastructure) nota che in base all’articolo 13.15 di CETA, l’UE e il Canada devono consentire agli istituti finanziari e ai fornitori di servizi finanziari il trasferimento delle informazioni attraverso i confini nazionali. Nel caso specifico lo standard di tutela della privacy è più debole rispetto al diritto comunitario. 
Ogni parte, infatti, deve fornire “garanzie adeguate per tutelare la privacy” laddove le “adeguate garanzie” sono state recentemente oggetto di una decisione da parte della Corte di Giustizia europea. Però, nel caso specifico, questa condizione verrebbe valutata, in una eventuale controversia, da arbitri internazionali e non da tribunali nazionali, e quindi letta in base alle norme del trattato CETA e non in base alla Carta dei diritti fondamentali dell’Unione europea, come normalmente fa la Corte di Giustizia europea. 

Art. 13.15
1. Each Party shall permit a financial institution or a cross-border financial service supplier of the other Party to transfer information in electronic or other form, into and out of its territory, for data processing if processing is required in the ordinary course of business of the financial institution or the cross-border financial service supplier.
2. Each Party shall maintain adequate safeguards to protect privacy, in particular with regard to the transfer of personal information. If the transfer of financial information involves personal information, such transfers should be in accordance with the legislation governing the protection of personal information of the territory of the Party where the transfer has originated.

È da rimarcare, infatti, l’inciso “should be” (dovrebbe), nell’articolo che precisa come il trasferimento dovrebbe (non deve, quindi) realizzarsi in base alle leggi della parte da cui originano i dati. Si tratta di una sorta di guida, non un vero e proprio obbligo. 

Appare quindi evidente che se CETA non si occupa direttamente di privacy, però le sue norme incidono comunque sulla regolamentazione dei flussi internazionali di dati. In tal modo CETA va a sovrapporsi alle norme europee, quindi al nuovo Regolamento da poco approvato, e riduce la protezione dei dati personali demandando le decisioni delle controversie a degli arbitri internazionali, sottraendole ai giudici naturali e quindi alla stessa Corte di Giustizia dell’Unione. 

Questo è un aspetto essenziale, perché anche se un cittadino europeo dovesse avviare una azione a tutela dei suoi diritti, rivolgendosi ad esempio ad un Garante, poi un tribunale e infine alla Corte di Giustizia europea (pensiamo al caso Schrems), con l’approvazione di CETA le aziende straniere potrebbero, dopo, lamentarsi della sospensione dei flussi transfrontalieri, come misure che vanno ad incidere sulle loro aspettative di profitto, e quindi avviare un’azione, dinanzi ad un tribunale arbitrale, a tutela dei loro investimenti. Il tribunale arbitrale, come già detto, deciderà in base agli standard propri e non certo in base agli standard dei giudici europei, Corte di Giustizia in primis. 

Limitandoci alla materia della data protection, la normativa introdotta dai trattati commerciali mira sostanzialmente a sostituire l’attuale modello deregolamentato e delegato all’autogestione della imprese private (Safe Harbor, binding corporate rules), che ormai è in crisi perché lo scandalo dell’NSA ha ampiamente evidenziato gli abusi delle imprese e delle agenzie americane (basti ricordare che il WP29 ha chiarito che la checklist delle BCR “only creates  an  information  process  that  does  not  legitimate  transfers  per  se.  In the  case  of  a  conflict  of  laws, one shall  refer  to  the  international  treaties  and agreements applicable to such matter”), con un modello nel quale le decisioni vengono prese da tribunali ad hoc, differenti dai tribunali nazionali.