Immagine di pressfoto su Freepik
Una recente sentenza del Tribunale dell’Unione europea, emessa il 3 settembre 2025, nella causa Latombe contro Commissione (T-553/23), conferma la validità del vigente accordo tra Stati Uniti d’America ed Europa in materia di trasferimento dei dati personali. Più precisamente, secondo la pronuncia, il Data Privacy Framework UE-Usa (Dpf) garantirebbe un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE (secondo quanto previsto dal Capitolo V del Gdpr).
E’ stato, infatti, respinto il ricorso di Philippe Latombe, deputato francese, che aveva proposto un ricorso in annullamento della decisione di adeguatezza della Commissione europea relativa al Dpf risalente al 2023.
Con questa pronuncia sembra chiudersi una vicenda assai travagliata.
Non è la prima volta, infatti, che la Corte di giustizia europea vanifica gli sforzi compiuti per trovare un accordo soddisfacente in materia di protezione dei dati personali. Anche i due precedenti accordi Usa-UE, i cosiddetti Safe Harbor e Privacy Shield, erano stati oggetto di impugnazione. Dapprima, nel 2015, la Corte di giustizia europea (Cgue) aveva ritenuto insufficienti le garanzie offerte dal Safe Harbor del 2000 (Sentenza Schrems I).
Anche il successivo quadro giuridico di protezione – definito Privacy Shield – ritenuto, in un primo momento, adeguato dalla Commissione europea era poi stato, sostanzialmente, invalidato dalla Corte di giustizia europea in data 16 luglio 2020 (Sentenza Schrems II).
Usa-UE, rapporto privacy dialettico ma stabile
I rapporti tra Stati Uniti d’America ed Europa in materia di privacy sono sempre stati critici a causa del forte potere attribuito dalla legislazione americana alle autorità statunitensi (e, in maniera ancor più pervasiva, alle agenzie di intelligence) di accedere a fini di sicurezza federale ai dati personali trattati dalle aziende americane. Questa previsione ha creato, inevitabilmente, un forte attrito con l’Unione europea che ritiene fondamentale proteggere la privacy degli utenti/clienti europei. L’esposizione dei loro dati a uno Stato Terzo, senza adeguate garanzie, lede i loro diritti, sanciti non solo dal Gdpr ma, ancor prima, dalla Carta dei diritti fondamentali dell’Unione europea e dal Trattato sul funzionamento dell’Unione europea (Tfue).
Va ricordato che, dal 2016, l’UE ha adottato una normativa innovativa che ha posto l’interessato – la persona di cui vengono trattati i dati personali – al centro delle sistema di protezione, introducendo nuovi diritti e rafforzando quelli già previsti, responsabilizzando tutti i soggetti che trattano i dati e imponendo misure di sicurezza rafforzate. A fronte di tale imponente sistema normativo – preso come esempio a livello globale – si è manifestata l’esigenza di regolare, in modo diverso rispetto al passato, anche i trasferimenti di dati informatici tra le due sponde dell’Atlantico, in modo da bilanciare le esigenze di sicurezza degli Usa e il rispetto della privacy dei cittadini europei.
Non è, infatti, trascurabile la circostanza che vede le aziende americane – in particolare le Big Tech – esercitare una supremazia nel dominio dei mercati e nel trasferimento dei dati.
Con la recente sentenza – nella sopra citata causa Latombe contro Commissione (T-553/23) – si conferma la solidità dell’ultimo accordo UE-Usa, motivando la pronuncia che ne conferma l’adeguatezza, con la sussistenza di due elementi di garanzia innovativi, che completano il quadro giuridico: l’adozione, da parte del presidente Biden nel 2022, dell’Ordine Esecutivo 14086 (Enhancing Safeguards for United States Signals Intelligence Activities) – che assicura una maggiore protezione dalle ingerenze per le attività di intelligence – e il rafforzamento, a favore dei cittadini UE/See, di un meccanismo di ricorso avverso eventuali abusi nel trattamento dei loro dati innanzi alla Data Protection Review Court (Dprc). L’istruttoria svolta al fine di giungere a un pronunciamento a seguito del ricorso proposto dal deputato centrista francese Latombe – per valutare i meccanismi di nomina e di decadenza dei giudici e il funzionamento dell’organo – ha sancito l’imparzialità, l’indipendenza e l’autonomia della Dprc dall’ingerenza governativa.
Non è questa la sede per addentrarsi in ulteriori approfondimenti tecnici e giuridici sulle ragioni poste a fondamento della sentenza della Corte di giustizia. Quello che veramente conta per il mondo imprenditoriale è che il valore della sentenza risiede nel suo potere di consolidamento dell’attuale assetto normativo del Data Privacy Framework nei rapporti tra UE e Usa. In concreto, le aziende che operano trasferimenti di dati tra le due sponde dell’Atlantico possono oggi contare su un assetto sufficientemente stabile, che consente nuovi investimenti e l’utilizzo di fornitori americani, senza il rischio di sprecare risorse in attività che potrebbero essere penalizzate in caso di invalidazione degli accordi transatlantici.
—
Beatrice Carbonetto, avvocato esperta in diritto societario, civile e protezione dei dati
© RIPRODUZIONE RISERVATA
