Che le relazioni tra Unione Europea e USA, in punto di trasferimento dei dati, siano piuttosto tormentate, è cosa ben nota. Le rivelazioni di Snowden e del Datagate hanno reso pubblico un quadro di controllo e sorveglianza globale da parte delle agenzie nordamericane in palese contrasto con lo spirito e la lettera del GDPR.
Vi è poi la richiesta obbligatoria, nel GDPR stesso, di un livello di sicurezza , nel Paese che riceve i dati, che sia almeno adeguato a quella dell'Unione. Le azioni giudiziarie, infine, di Maximilian Schrems hanno portato per ben due volte all'annullamento degli accordi UE/USA. Il Presidente Biden era intervenuto, poco prima del cambio politico, con un provvedimento in realtà non troppo diverso dai precedenti annullati (Schrems dice “ricalcato” …) che era stato comunque giudicato adeguato dall'Unione Europea. Un deputato francese, Philippe Latombe, ha impugnato anche questo terzo provvedimento, confidando forse in una “serie positiva”. Il Tribunale qualche giorno fa, il 3 settembre 2025, portato a decidere sulla adeguatezza del livello di protezione dei dati personali negli USA dopo questo nuovo “EU–US Data Privacy Framework” ha, però, respinto le doglianze del deputato, e ha ritenuto il quadro attuale sicuro. Le questioni finite davanti ai giudici Si osservino, innanzitutto, le date : la decisione (UE) 2023/1795 della Commissione europea è del 10 luglio 2023, e dichiara che gli USA garantirebbero (ora) un livello adeguato di protezione dei dati personali trasferiti dall'Unione verso le organizzazioni statunitensi aderenti al nuovo EU–US Data Privacy Framework . Si noti che con l'avvento di Trump anche questo quadro di protezione è stato messo in discussione, ed è finito sotto la scure dei tagli e della sostituzione dei vertici, rendendolo, in prospettiva, particolarmente fragile. Philippe Latombe, nel suo ricorso, appare però deciso: non è cambiato nulla rispetto a prima, scrive. Il nuovo sistema non garantisce affatto diritti equivalenti a quelli previsti nell'UE dal GDPR e dalla Carta dei diritti fondamentali dell'UE, con evidenti carenze in due punti: la protezione contro la sorveglianza di massa e la possibilità di ricorrere a un tribunale indipendente in caso di violazioni. La Commissione europea, insieme al governo irlandese e a quello statunitense, chiedeva, al contrario, di respingere questo ricorso. E così è stato. L'adeguatezza Il punto centrale, come si sarà compreso, è capire cosa s'intenda per “ adeguatezza ” ex articolo 45 del GDPR . Apparentemente, il testo del GDPR è chiaro: se un Paese extra-UE offre una protezione “adeguata”, i dati personali possono essere trasferiti liberamente dall'UE a quel paese senza ulteriori garanzie (ad esempio, senza clausole contrattuali standard o norme vincolanti d'impresa). La Commissione europea valuta questa adeguatezza con una decisione che può essere, però, impugnata davanti al Tribunale UE. Come ricordavo poco sopra, in due precedenti fondamentali della Corte di Giustizia abbiamo avuto le celebri decisioni “ Schrems I ”, nel 2015, con annullamento della decisione “Safe Harbor” per carenze nella protezione dei dati negli USA, e “ Schrems II ”, nel 2020, con annullamento del successivo “Privacy Shield” per gli stessi motivi, in particolare per l'accesso sproporzionato dei servizi di intelligence statunitensi ai dati europei e per l'assenza di rimedi giurisdizionali effettivi. Il Data Privacy Framework si presentava, allora, come la “terza versione” di questo accordo UE–USA. Secondo Latombe, però, nulla è cambiato . Il ricorrente sostiene che la decisione della Commissione è in palese violazione degli Articoli 7 e 8 della Carta Fondamentale (diritto al rispetto della vita privata e alla protezione dei dati personali), dell'articolo 47 (diritto a un ricorso effettivo dinanzi a un tribunale indipendente e imparziale), degli articoli 22 e 32 del GDPR (protezione contro le decisioni automatizzate e sicurezza del trattamento dei dati) e dell' articolo 45 GDPR (criteri per la valutazione dell'adeguatezza). Le sue considerazioni, alla fine, non hanno convinto i giudici. La decisione Ora, entrare nella mente di chi ha deciso è molto complesso, ma si possono fare alcune ipotesi. Ci sembra, in particolare, che il cuore del dibattito giuridico sia duplice. Il primo riguarda la sorveglianza di massa : negli USA esistono programmi, anche segreti, di intelligence che consentono l'accesso a grandi quantità di dati. La domanda è: le nuove regole limitano sufficientemente questo potere? Il secondo riguarda i rimedi giurisdizionali : il nuovo sistema introduce la Data Protection Review Court (DPRC), un organismo che dovrebbe esaminare i reclami dei cittadini UE. Ma siamo in presenza di un vero “tribunale” indipendente? I giudici hanno valutato, nel loro provvedimento, sia l'indipendenza e imparzialità della DPRC, sia le eventuali garanzie contro la sorveglianza di massa. Latombe sostiene che la DPRC non sia un “vero tribunale” indipendente e imparziale ai sensi dell'articolo 47 della Carta dei diritti fondamentali. È stata creata con un atto dell' esecutivo , non da una legge del Congresso USA, i suoi giudici sono nominati dal Procuratore Generale (e appartengono a un organo inserito nell'esecutivo) e, soprattutto, le decisioni della DPRC potrebbero essere benissimo influenzate dal governo . La Commissione europea sosteneva, d'altro canto, come la DPRC avesse poteri reali, i suoi giudici fossero nominati con garanzie di indipendenza (non possono essere dipendenti del governo, devono avere esperienza giudiziaria e possono essere revocati solo per gravi motivi) ed esistessero meccanismi di supervisione esterna , come il Privacy and Civil Liberties Oversight Board (PCLOB) che dovrebbe controllare, ogni anno, il rispetto delle garanzie. Il Tribunale ha seguito le teorie della Commissione e ha confermato che anche se la DPRC non è un “tribunale” in senso classico, essa offre un livello di protezione sostanzialmente equivalente a quello richiesto dall'articolo 47 della Carta. La giurisprudenza “Schrems II” non esigerebbe, infatti, che l'organo di ricorso sia identico a un tribunale dell'UE, ma che garantisca imparzialità , indipendenza e decisioni vincolanti . Alcune considerazioni finali Il Tribunale, in definitiva, ha applicato il principio della “ equivalenza sostanziale ”: non serve che il sistema USA sia identico a quello UE, basta che le garanzie offerte siano comparabili per livello di tutela dei diritti fondamentali. È interessante notare che la Corte UE non si limita all'analisi della forma (atto esecutivo vs. legge parlamentare) ma guarda alla sostanza : indipendenza dei giudici, assenza di ingerenze e poteri effettivi. In altre parole, conta “ come funziona ” la DPRC, non tanto “ come sia stata creata ”. Più delicato è, a nostro avviso, l'annoso problema della possibilità, per le agenzie di intelligence di raccogliere dati personali in blocco (o “ a strascico ”) a fini di sicurezza nazionale. Il deputato francese era convinto, nel suo ricorso, come tale raccolta in blocco fosse in palese violazione degli articoli 7 e 8 della Carta: non è proporzionata e manca di garanzie sufficienti , tanto che le decisioni “Schrems I” e “Schrems II” avevano già criticato l'assenza di limiti chiari alla sorveglianza USA. La Commissione ha replicato, nella circostanza e in maniera molto più ottimistica, come negli USA sia vietata la “ mass surveillance ” indiscriminata e che tale raccolta di dati sia consentita solo in casi eccezionali e con garanzie specifiche (limitazione nella finalità, necessità e verifica successiva da parte di organismi indipendenti). Il Tribunale, nel provvedimento che stiamo commentando, ha concluso che la nuova disciplina impone limiti più stringenti rispetto al passato, che la sorveglianza deve rispettare principi di necessità e proporzionalità simili a quelli europei e che la sola assenza di un'autorizzazione giudiziaria preventiva non basta a dichiarare il sistema inadeguato: esistono controlli ex post e possibilità di ricorso alla DPRC. Come è noto, però, in Europa la giurisprudenza CEDU e UE tendono a preferire controlli giudiziari preventivi sulle attività di sorveglianza, mentre negli USA prevale un sistema di controlli successivi ( ex post ), spesso interni o amministrativi. Ora, con la novità della DPRC come organo indipendente, il Tribunale ha accettato questa differenza, a condizione che le garanzie complessive offrano una tutela “sostanzialmente equivalente”. Il Tribunale ha stabilito, così, che la decisione della Commissione è valida, visto che la DPRC offre la possibilità di un ricorso effettivo e imparziale, e che le nuove regole USA sulla sorveglianza rispettano i principi di necessità e proporzionalità. Le differenze tra sistema europeo e statunitense non comprometterebbero, così, la protezione dei diritti fondamentali “all'europea”. La Commissione deve ovviamente continuare a monitorare costantemente la situazione negli Stati Uniti: se le garanzie venissero meno in futuro, la decisione potrebbe essere revocata o modificata. Si è trattata di una decisione che ha sorpreso tanti esperti: dopo “Schrems I” e “Schrems II”, che avevano annullato i due precedenti accordi UE–USA, questo è il primo caso in cui il Tribunale conferma la validità di un nuovo quadro normativo. La decisione, sia chiaro, non impedisce ulteriori ricorsi alla Corte di Giustizia dell'Unione Europea. Nel frattempo, però, le aziende europee si sentiranno più sicure nel trasferire dati personali verso gli USA se il destinatario aderisce al Data Privacy Framework : non servono più clausole contrattuali standard o altre garanzie supplementari, e le autorità di protezione dati dell'UE dovranno accettare questo quadro fino a eventuali future decisioni contrarie della CGUE. È chiaro, però, che le società dovranno sempre verificare che i destinatari USA siano effettivamente iscritti al registro del Dipartimento del Commercio; per trasferimenti verso soggetti non aderenti al DPF, restano obbligatorie le altre basi giuridiche (es. clausole standard) che abbiamo citato poco sopra.