La carta dei diritti fondamentali dell’Unione europea e il Trattato sul funzionamento dell’Unione europea (TFUE) sanciscono il diritto di ogni individuo alla protezione dei suoi dati personali. Su tali basi, e al fine di evitare che il livello di protezione assicurato all’interno dell’Unione sia compromesso, il diritto derivato dell’Unione (Regolamento UE 679/2016, Capo V, artt. 44 e ss.) stabilisce le norme applicabili ai trasferimenti di dati personali al di fuori dello Spazio Economico Europeo. Conformemente a tali norme, se la Commissione europea ritiene che un paese terzo garantisca un livello di protezione adeguato (c.d. decisione di adeguatezza), i trasferimenti di dati personali verso tale paese possono aver luogo senza ulteriori garanzie.
La Commissione europea, con l’adozione della decisione di adeguatezza del 10 luglio 2023 ha stabilito che gli USA, grazie a un nuovo accordo e limitatamente alle Organizzazioni che vi aderiscono (EU-U.S. Data Privacy Framework; di seguito DPF), assicurano un adeguato livello di protezione, equivalente a quello garantito nell’Unione europea, ai dati personali ivi trasferiti.
In passato, nelle sentenze Schrems I (6 ottobre 2015, C-362/14) e Schrems II (16 luglio 2020, C-311/18), la Corte di Giustizia aveva annullato le due precedenti decisioni di adeguatezza (Safe Harbor del 2015 e Privacy Shield del 2020) relative agli Stati Uniti, in quanto non garantivano un livello di tutela delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito dal diritto dell’Unione.
Le novità del Data Privacy Framework – Il DPF ha alcuni elementi innovativi come l’istituzione della Data Protection Review Court (DPRC), corte incaricata di garantire un controllo giurisdizionale indipendente sulle attività di intelligence, e l’adozione di misure rafforzate tramite ordine esecutivo presidenziale e regolamenti del Procuratore generale, che disciplinano la raccolta dei dati e prevedono meccanismi di ricorso per i cittadini europei.
Proprio l’indipendenza della DPRC è stata al centro del ricorso presentato dall’eurodeputato Philippe Latombe, che ne ha contestato la reale autonomia rispetto al potere esecutivo statunitense e ha denunciato il rischio di una sorveglianza massiva incompatibile con i principi del GDPR.
La decisione del Tribunale UE – Nella causa T-553/23, il Tribunale UE ha respinto il ricorso, confermando la legittimità del DPF quale strumento che garantisce un livello di tutela “essenzialmente equivalente” a quello previsto dal GDPR e dalla Carta dei diritti fondamentali dell’Unione Europea. Il Tribunale ha, inoltre, rilevato che la DPRC dispone di garanzie procedurali idonee a tutelarne l’indipendenza, e poiché i giudici sono nominati secondo criteri di autonomia, non possono essere rimossi se non per motivi specifici e non sono sottoposti a pressioni da parte delle agenzie di intelligence.
Inoltre, la raccolta dei dati da parte delle Autorità statunitensi è soggetta a controllo giurisdizionale successivo, conforme ai requisiti fissati dalla Corte di giustizia nella sentenza Schrems II.
Il ricorrente non ha quindi dimostrato l’esistenza di un danno personale grave e irreparabile derivante dall’applicazione del DPF, presupposto necessario per ottenere una misura cautelare.
In ogni caso, la decisione di adeguatezza non è irrevocabile: la Commissione Europea è tenuta infatti a monitorare costantemente l’attuazione delle garanzie negli Stati Uniti e può sospendere, modificare o revocare la decisione qualora mutino le condizioni.
La pronuncia, pur rappresentando un passo significativo verso il consolidamento dei rapporti transatlantici in materia di dati personali, non chiude definitivamente il dibattito ma lascia aperta la possibilità di interventi futuri.