Il Tribunale dell’Unione Europea ha confermato la legittimità del Data Privacy Framework (DPF), rigettando il ricorso che l’eurodeputato Philippe Latombe aveva presentato. Con questa decisione, il Tribunale ha salvaguardato il sistema che regola i flussi di dati personali tra l’UE e gli Stati Uniti.
Un nuovo equilibrio dopo Schrems I e II
Con la sentenza nella causa T-553/23, il Tribunale dell’UE ha respinto l’impugnazione di Latombe contro la decisione della Commissione Europea del 10 luglio 2023. In tale decisione, la Commissione aveva approvato il DPF come nuovo meccanismo per il trasferimento dei dati. Secondo la Corte, il Framework garantisce un livello di protezione “sostanzialmente equivalente” a quello che il GDPR e la Carta dei diritti fondamentali dell’UE prevedono.
Questa pronuncia segna un momento decisivo dopo che le sentenze Schrems I e II avevano annullato i precedenti strumenti giuridici (Safe Harbor nel 2015 e Privacy Shield nel 2020).
Cosa prevede il Data Privacy Framework
Il DPF si fonda sull’articolo 45 del GDPR, che consente i trasferimenti verso Paesi terzi quando questi offrono garanzie adeguate. In risposta, gli Stati Uniti hanno introdotto una serie di novità per allinearsi agli standard europei.
Tra i principali elementi introdotti dal nuovo accordo figurano:
- la Data Protection Review Court (DPRC), un tribunale indipendente che vigila sull’operato delle agenzie di intelligence USA;
- un ordine esecutivo presidenziale e regolamenti del Procuratore generale, i quali limitano la raccolta dei dati e riconoscono diritti di ricorso ai cittadini europei.
Latombe aveva contestato l’effettiva indipendenza della DPRC, sostenendo che dipendesse eccessivamente dall’esecutivo statunitense, risultando quindi non conforme ai requisiti del GDPR.
Il verdetto della Corte: le garanzie reggono
Il Tribunale ha ritenuto infondate le obiezioni del ricorrente. Ha stabilito che i giudici della DPRC godono di sufficiente indipendenza, poiché le autorità li nominano secondo criteri di autonomia, li proteggono da pressioni esterne e li possono rimuovere solo per giustificati motivi.
Inoltre, la Corte ha sottolineato che i sistemi di sorveglianza statunitensi sono oggi sottoposti a un controllo giurisdizionale conforme ai parametri fissati dalla Corte di giustizia, come già indicato nella sentenza Schrems II.
Il Tribunale ha respinto il ricorso anche perché Latombe non ha dimostrato di aver subito un danno personale grave e irreparabile, condizione necessaria per ottenere la sospensione del DPF.
Monitoraggio continuo e scenari futuri
Nonostante la sentenza, il dibattito sul Data Privacy Framework rimane aperto. L’organizzazione noyb, fondata da Max Schrems, ha rinnovato le proprie critiche, sostenendo che la DPRC si basa su un ordine esecutivo e non su una legge federale, il che renderebbe le tutele instabili nel tempo.
La sentenza, tuttavia, assicura una continuità – almeno per ora – nei trasferimenti di dati tra UE e USA, evitando che le imprese debbano ricorrere a strumenti alternativi. La Commissione Europea dovrà comunque continuare a monitorare l’applicazione del regime e potrà modificare o revocare la decisione di adeguatezza qualora le condizioni cambiassero.
In definitiva, questa pronuncia rappresenta un passo avanti verso una maggiore stabilità nei rapporti digitali transatlantici, ma lascia spazio a future contestazioni se le garanzie promesse non verranno pienamente rispettate.