NEWS

 

La Corte di Giustizia dell’Unione Europea conferma la validità del Data Privacy Framework

Con sentenza nella causa T-553/23, la Corte di Giustizia dell’Unione Europea ha respinto il ricorso presentato dall’eurodeputato Philippe Latombe contro la decisione di adeguatezza della Commissione del 10 luglio 2023, confermando la legittimità del Data Privacy Framework (DPF), lo strumento giuridico che dal 2023 disciplina i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti.

Come reso noto dal comunicato stampa del 3 settembre 2025, i giudici europei hanno così riconosciuto che il Data Privacy Framework garantisce un livello di tutela “essenzialmente equivalente” a quello previsto dal Regolamento (UE) 2016/679 (GDPR) e dalla Carta dei diritti fondamentali dell’Unione Europea. Si tratta di un passaggio cruciale, che – almeno per ora – sembra scongiurare un nuovo effetto Schrems III, dopo che prima la sentenza Schrems I (2015) e poi la Schrems II nel 2020 avevano già invalidato i precedenti regimi di trasferimento, rispettivamente il Safe Harbor e il Privacy Shield.

Le modalità di trasferimento dei dati extra-UE - L’art. 45 del GDPR prevede che i flussi di dati verso Paesi terzi possano avvenire sulla base di una decisione di adeguatezza adottata dalla Commissione europea. Tale decisione certifica che l’ordinamento del Paese destinatario assicuri garanzie sostanzialmente equivalenti a quelle vigenti nell’Unione. In assenza di una decisione di adeguatezza, i trasferimenti possono fondarsi su altre basi giuridiche, quali le garanzie appropriate (ad esempio le Binding Corporate Rules) oppure le deroghe dell’art. 49 GDPR.

Il Data Privacy Framework rientra in questa cornice normativa come nuovo quadro transatlantico di riferimento, volto a superare le criticità segnalate dalla Corte di giustizia in merito alle prassi di sorveglianza statunitensi.

Le novità del Data Privacy Framework – Nel 2023, il nuovo regime aveva alcuni elementi innovativi come l’istituzione della Data Protection Review Court (DPRC), organo incaricato di garantire un controllo giurisdizionale indipendente sulle attività di intelligence, e l’adozione di misure rafforzate tramite ordine esecutivo presidenziale e regolamenti del Procuratore generale, che disciplinano la raccolta dei dati e prevedono meccanismi di ricorso per i cittadini europei.

Proprio l’indipendenza della Data Protection Review Court è stata al centro del ricorso presentato da Latombe, che ne ha contestato la reale autonomia rispetto al potere esecutivo statunitense e ha denunciato il rischio di una sorveglianza massiva incompatibile con i principi del GDPR.

La decisione del Tribunale UE - Il Tribunale ha però rigettato le argomentazioni del ricorrente, osservando che la DPRC dispone di garanzie procedurali idonee a tutelarne l’indipendenza, e poiché i giudici sono nominati secondo criteri di autonomia, non possono essere rimossi se non per motivi specifici e non sono sottoposti a pressioni da parte delle agenzie di intelligence.

Inoltre, la raccolta dei dati da parte delle autorità statunitensi è soggetta a controllo giurisdizionale successivo, conforme ai requisiti fissati dalla Corte di giustizia nella sentenza Schrems II.

Il ricorrente non ha quindi dimostrato l’esistenza di un danno personale grave e irreparabile derivante dall’applicazione del DPF, presupposto necessario per ottenere una misura cautelare.

Comunque, la decisione di adeguatezza non è irrevocabile: la Commissione Europea è tenuta infatti a monitorare costantemente l’attuazione delle garanzie negli Stati Uniti e può sospendere, modificare o revocare la decisione qualora mutino le condizioni.

Le reazioni degli attivisti della privacy e le prospettive – Come ci si poteva aspettare, l’organizzazione non profit noyb, fondata da Max Schrems, ha espresso perplessità sottolineando come l’indipendenza della DPRC si basi su un ordine esecutivo e non su una legge federale, elemento che la renderebbe più vulnerabile a eventuali mutamenti politici. Nonostante ciò, il Tribunale ha confermato la validità della decisione della Commissione, assicurando continuità ai trasferimenti di dati UE-USA senza necessità di ulteriori autorizzazioni.

La pronuncia rafforza la certezza giuridica per imprese e cittadini, ma non chiude definitivamente il dibattito. Sarà infatti determinante verificare, nel medio periodo, se le garanzie previste dal DPF resisteranno a un eventuale scrutinio della Corte di giustizia e se gli Stati Uniti manterranno nel tempo gli impegni assunti.

Il verdetto del Tribunale europeo indubbiamente rappresenta un passo importante verso la stabilizzazione dei rapporti transatlantici in materia di dati personali, ma lascia aperta la possibilità di nuove contestazioni qualora emergano criticità nell’effettiva applicazione delle tutele promesse.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Articoli correlati

Prev Truffe emotive e chatbot seduttivi: l’IA e l’illusione (quasi) perfetta
Next I browser con IA: la nuova frontiera delle violazioni della privacy

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza