Il 3 settembre i giudici dell’Unione europea hanno riconosciuto che il Data Privacy Framework (DPF) garantisce un livello di tutela “essenzialmente equivalente” a quello previsto dal Regolamento (UE) 2016/679 (GDPR) e dalla Carta dei diritti fondamentali dell’Unione europea.
A prima vista questa decisione potrebbe sembrare marginale, ma in realtà ha un impatto enorme, soprattutto per le imprese: riguarda infatti la legittimità del trasferimento di dati dall’UE agli Stati Uniti. Si tratta inoltre del terzo capitolodi una lunga vicenda, dopo i due annullamenti precedenti da parte della Corte di giustizia.
Indice
L’antefatto
Tutto ha inizio nel 2013, quando l’austriaco Maximilian Schrems presenta una richiesta al Garante irlandese per bloccare i trasferimenti di dati effettuati da Facebook Ireland verso la casa madre statunitense. L’argomentazione era chiara: negli Stati Uniti la legislazione sulla sorveglianza consentiva intrusioni sproporzionate, con scarsa trasparenza e senza rimedi giuridici efficaci per i cittadini europei.
La vicenda approda alla Corte di giustizia che, con la sentenza Schrems I del 2015, dichiara invalido il Safe Harbor, l’accordo che dal 2000 facilitava i flussi di dati tra UE e USA.
La sentenza genera forte incertezza tra le aziende che da sempre si affidavano a fornitori come Google, Amazon o Mailchimp. Nel luglio 2016, poco dopo l’adozione del GDPR, viene quindi introdotto il Privacy Shield, un nuovo programma che offriva maggiori garanzie di trasparenza e prevedeva la possibilità, per i cittadini europei, di rivolgersi a un “mediatore” statunitense.
La tregua dura poco. Nel luglio 2020, con la sentenza Schrems II, la Corte di giustizia invalida anche il Privacy Shield, ritenendo sproporzionati i poteri di sorveglianza USA rispetto ai principi europei.
Il data Privacy framework
Il mercato digitale, dopo la Schrems II, necessitava di una soluzione stabile e nel luglio 2023 la Commissione europea adotta la Decisione di adeguatezza 2023/1795, che istituisce il Data Privacy Framework EU-US (DPF).
Il nuovo regime si fonda sul DPF e sull’Executive Order n. 14086, firmato dall’amministrazione Biden, che introduce:
- la creazione della Data Protection Review Court (DPRC), organo incaricato di garantire un controllo indipendente sulle attività di intelligence;
- nuove regole presidenziali e del Procuratore generale per disciplinare la raccolta dei dati;
- meccanismi di ricorso specifici per i cittadini europei.
[Sui contenuti della decisione di adeguatezza vedi Data Privacy Framework USA-UE: revisionato giusto in tempo, ma resisterà anche alla Presidenza Trump? ]
Il nuovo ricorso
Nonostante queste novità, già al momento della sua approvazione veniva annunciata l’intenzione di impugnare la decisione di adeguatezza.
Così il cittadino francese Philippe Latombe presenta ricorso, sollevando due obiezioni principali:
- Indipendenza della DPRC: a suo avviso l’organo statunitense sarebbe troppo legato all’esecutivo e non realmente autonomo.
- Raccolta in blocco di dati (“bulk collection”): le agenzie di intelligence USA continuerebbero a poter raccogliere grandi quantità di dati senza limiti chiari né garanzie adeguate.
La sentenza
Il Tribunale respinge le argomentazioni del ricorrente. In particolare osserva che:
- la DPRC dispone di sufficienti garanzie procedurali di indipendenza: i suoi giudici sono nominati con criteri di autonomia, non possono essere rimossi arbitrariamente e non sono sottoposti a pressioni dalle agenzie di intelligence;
- la raccolta dei dati è soggetta a un controllo giurisdizionale successivo, ritenuto conforme ai requisiti fissati dalla Corte di giustizia nella sentenza Schrems II;
- Latombe non ha dimostrato l’esistenza di un danno personale grave e irreparabile, necessario per ottenere una sospensione della decisione.
Il Tribunale ricorda inoltre che la decisione di adeguatezza non è irrevocabile: la Commissione europea deve monitorare costantemente la situazione e può sospendere, modificare o revocare la decisione se le condizioni negli Stati Uniti dovessero cambiare.
Qualche considerazione
Le imprese che avevano sofferto le conseguenze della sentenza Schrems II possono ora tirare un sospiro di sollievo, così come i grandi fornitori statunitensi di servizi digitali.
Ben diversa la reazione degli attivisti: l’associazione noyb, fondata da Max Schrems, ha espresso forti perplessità, sottolineando come l’indipendenza della DPRC si basi su un ordine esecutivo e non su una legge federale, e sia quindi vulnerabile a futuri cambiamenti politici.
Il Tribunale ha tuttavia scelto di confermare la validità della decisione della Commissione, garantendo continuità ai trasferimenti di dati UE-USA senza ulteriori incertezze.
La pronuncia rafforza la certezza giuridica per imprese e cittadini, ma non chiude il dibattito. Molto dipenderà dalla verifica, nel medio periodo, dell’effettiva tenuta delle garanzie del DPF e dal comportamento futuro sia della Commissione europea sia delle Corti.
Per ora, una cosa è certa: il Data Privacy Framework è salvo. Almeno per il momento.
