L’accordo USA-UE per il trasferimento dei dati è veramente salvo?
Data Privacy Framework: l’accordo UE–USA è davvero al sicuro? Cosa dice la sentenza CGUE Latombe
La recente sentenza del Tribunale della Corte di Giustizia dell’Unione Europea (CGUE) del 3 settembre, nel caso Latombe c. Commissione, ha confermato la validità della decisione di adeguatezza sul Data Privacy Framework (DPF). Si tratta di un passaggio cruciale per la continuità dei trasferimenti di dati personali dall’Unione Europea verso gli Stati Uniti, un tema centrale nel dibattito su privacy, GDPR e sicurezza transatlantica.
Questa decisione appare come un nuovo “salvataggio” dell’accordo UE–USA, dopo che le sentenze Schrems I e Schrems II avevano annullato i precedenti meccanismi di trasferimento dati, rispettivamente il Safe Harbor e il Privacy Shield.
GDPR e trasferimenti internazionali: il ruolo della decisione di adeguatezza
L’art. 44 del GDPR stabilisce che ogni trasferimento verso un Paese terzo deve rispettare le condizioni del Capo V. Tra queste spicca l’art. 45, che consente alla Commissione Europea di riconoscere come “adeguato” il livello di protezione offerto da un Paese extra-UE.
Con una decisione di adeguatezza in vigore, titolari e responsabili del trattamento possono trasferire dati negli USA senza autorizzazioni supplementari.
Il ricorso Latombe: i punti contestati
Il ricorrente chiedeva l’annullamento della decisione di adeguatezza, sostenendo che la normativa statunitense non offra garanzie equivalenti a quelle europee. Le criticità sollevate riguardavano soprattutto:
-
il possibile accesso ai dati da parte delle agenzie di intelligence USA,
-
la presunta assenza di un controllo giurisdizionale indipendente,
-
il rischio di trattamenti disproporzionati o massivi per motivi di sicurezza nazionale.
La CGUE conferma: il Data Privacy Framework è valido
Il Tribunale ha respinto le contestazioni, confermando il giudizio della Commissione e la validità del Data Privacy Framework.
Per ora, dunque, il meccanismo che regola i trasferimenti di dati UE–USA rimane pienamente operativo.
Stabilità dell’accordo: il ruolo cruciale del monitoraggio
La sentenza sottolinea però un aspetto fondamentale: la stabilità dell’accordo dipende dal monitoraggio costante della Commissione Europea.
Se emergessero criticità, la Commissione ha il dovere di:
-
sospendere,
-
limitare,
-
o revocare la decisione di adeguatezza.
In tutto o in parte.
Questione chiusa o rinviata?
Molti attivisti della privacy ritengono che il tema sia tutt’altro che risolto. È infatti ancora possibile ricorrere a un ulteriore grado di giudizio, e la tenuta dell’accordo dipende dall’evoluzione del quadro normativo statunitense, in particolare in materia di sorveglianza e rimedi giurisdizionali.
