Data Privacy Framework: il Tribunale UE respinge il ricorso e salva i trasferimenti dati UE-USA

Il contesto normativo

Ricordiamo che la Carta dei diritti fondamentali e il TFUE sanciscono il diritto alla protezione dei dati personali.

I trasferimenti di dati verso Paesi terzi possono avvenire in diverse modalità previste dal GDPR. Tra queste, una delle principali è la decisione di adeguatezza della Commissione europea, che riconosce che il Paese destinatario garantisce un livello di protezione dei dati sostanzialmente equivalente a quello previsto nell’UE: è il caso, ad esempio, del Data Privacy Framework (DPF) per i trasferimenti verso gli Stati Uniti.

Altre modalità includono l’adozione di garanzie appropriate, come le Binding Corporate Rules, o specifiche deroghe previste dal regolamento.

I precedenti

In passato, nelle sentenze Schrems I (2015) e Schrems II (2020), la Corte di giustizia europea aveva annullato le precedenti decisioni di adeguatezza relative agli Stati Uniti, ritenendo che esse non garantissero un livello di tutela delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello previsto dal diritto dell’Unione.

Queste sentenze hanno evidenziato le carenze nella protezione dei dati personali trasferiti verso gli USA e reso necessario un nuovo quadro transatlantico, entrato in vigore con la decisione del 10 luglio 2023.

Il Data Privacy Framework (DPF)

Il Data Privacy Framework (DPF) rappresenta il nuovo quadro transatlantico per i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti. Sostituisce i precedenti sistemi, come Safe Harbor e Privacy Shield, invalidati dalle sentenze Schrems I e II, e mira a garantire un livello di protezione dei dati equivalente a quello previsto dal GDPR.

Tra le principali novità del DPF vi sono:

1. l’istituzione della Data Protection Review Court (DPRC), incaricata di garantire un controllo giudiziario sulle attività delle agenzie di intelligence statunitensi;
2. l’adozione di misure rafforzate tramite decreto presidenziale e regolamento del Procuratore generale, per assicurare trasparenza, sorveglianza e tutela della privacy dei cittadini europei.

Il DPF costituisce il fulcro della recente controversia giudiziaria, in quanto Latombe e altri attivisti hanno contestato la reale efficacia delle garanzie offerte dal nuovo quadro, senza però riuscire a ottenere sospensioni o modifiche preliminari del sistema.

Il tentativo di sospensione cautelare nel 2023

Già nel settembre 2023, Philippe Latombe aveva presentato una domanda in via cautelare al Tribunale, chiedendo la sospensione immediata dell’efficacia della decisione di adeguatezza.

Latombe sosteneva che l’uso di piattaforme come Microsoft 365, Google e Doctolib avrebbe comportato trasferimenti di dati verso gli USA senza adeguate garanzie, provocando un danno grave e irreparabile.

Il Presidente del Tribunale rigettò la richiesta, rilevando che:

1. il ricorrente non aveva dimostrato concretamente l’esistenza di un danno personale grave;
2. già prima della decisione, il GDPR prevedeva strumenti (artt. 46 e 49) per i trasferimenti verso Paesi terzi con garanzie o deroghe specifiche.

Le contestazioni e la decisione del Tribunale

Il ricorso nel merito, sempre a firma di Latombe, contestava la reale indipendenza della DPRC e la legittimità della raccolta massiva di dati da parte delle agenzie di intelligence americane.

Il Tribunale ha ritenuto che la DPRC dispone di garanzie procedurali idonee ad assicurarne l’indipendenza: la nomina dei giudici e il funzionamento della corte sono accompagnati da diverse condizioni volte a tutelare l’autonomia dei membri, i giudici possono essere revocati solo per motivi validi, e il procuratore generale e le agenzie di intelligence non possono influenzarne il lavoro.

Inoltre, la Commissione europea è tenuta a monitorare permanentemente l’applicazione del quadro normativo: in caso di cambiamenti, potrà sospendere, modificare o abrogare la decisione.

Per quanto riguarda la raccolta in blocco di dati, il Tribunale sottolinea che la legge statunitense prevede un controllo giurisdizionale a posteriori da parte della DPRC, conforme ai requisiti fissati dalla sentenza Schrems II.

Alla luce di questi elementi, il Tribunale ha respinto il ricorso, confermando l’indipendenza della DPRC e la legittimità della raccolta dati.

Prime reazioni alla decisione del Tribunale UE

Secondo noyb, organizzazione europea per la difesa della privacy fondata da Max Schrems, la decisione del Tribunale si discosta significativamente dalle pronunce precedenti della Corte di Giustizia.

Noyb sottolinea che la DPRC sarebbe indipendente solo in base a un ordine esecutivo presidenziale e non per legge, esponendola a possibili interferenze politiche.

Latombe aveva contestato il DPF sostenendo che non rispetta i principi del GDPR e della Carta dei diritti fondamentali. Il Tribunale ha invece confermato che non è stato dimostrato un pregiudizio grave e irreparabile, rigettando la richiesta di sospensione.

Noyb ha espresso sorpresa e sta valutando ulteriori azioni legali.

Implicazioni per aziende e cittadini

Il verdetto conferma la validità del Data Privacy Framework e assicura la continuità dei flussi di dati personali tra UE e USA senza necessità di ulteriori autorizzazioni.

La Commissione europea resta tenuta a monitorare costantemente l’applicazione della normativa statunitense e potrà sospendere o modificare la decisione se il contesto dovesse cambiare.

La decisione rafforza la certezza legale per aziende e cittadini, pur lasciando aperta la possibilità di revisione in caso di modifiche normative negli Stati Uniti.