Il mese di settembre ha visto impegnati gli organismi dell’Unione europea in due atti giuridici che potrebbero consolidare il framework comune UE-USA in materia di trasferimento dei dati personali verso gli Stati Uniti.
Il Tribunale dell’Unione europea si è pronunciata sulla validità della decisione di adeguatezza istitutiva del Data Privacy Framework, evitando per il momento una “Schrems III” e una nuova crisi dei dati.
L’European Data Protection Supervisor con l’Opinion 24/2025 ha fornito le proprie raccomandazioni guida per la conduzione dei negoziati tra Unione europea e Stati Uniti al fine del raggiungimento di un accordo quadro sullo scambio di informazioni per i controlli di sicurezza e le verifiche di identità connesse alle procedure di frontiera e alle domande di visto.
La sentenza “latombe” sul data privacy framework
Il primo intervento riguarda il Tribunale dell’Unione europea che, con la sentenza del 3 settembre 2025 nella causa T-553/23 (Latombe c. Commissione Europea), si è espresso sul ricorso in annullamento presentato dal cittadino francese Philippe Latombe contro la decisione di adeguatezza adottata dalla Commissione Europea il 10 luglio 2023, istitutiva del Data Privacy Framework (“DPF”). Tale decisione ha riconosciuto un livello adeguato di protezione dei dati personali trasferiti dall’Unione verso organizzazioni stabilite negli Stati Uniti.
La sentenza ha trattato due temi cruciali: (i) l’indipendenza e l’imparzialità della Data Protection Review Court (“DPRC”) e (ii) la legittimità della raccolta in blocco dei dati personali da parte delle agenzie di intelligence statunitensi in assenza di una autorizzazione preventiva.
Il Tribunale ha esaminato la legittimità della DPRC, istituita dal governo statunitense quale organo di revisione indipendente a disposizione dei cittadini europei per il controllo delle attività di raccolta dei dati personali da parte degli enti di intelligence. Il Tribunale, discostandosi dalle argomentazioni del ricorrente volte a sostenere che la DPRC fosse eccessivamente legata al potere esecutivo, ha concluso che la DPRC offra per chi vi ricorre garanzie sufficienti di indipendenza e imparzialità. In particolare, i giudici della DPRC possono essere revocati solo dal Procuratore Generale, esclusivamente per un motivo valido, e il Procuratore Generale e le agenzie di intelligence non possono ostacolare o influenzare indebitamente i loro compiti.
Quanto alla prassi della raccolta in blocco dei dati personali in transito dall’Unione, il Tribunale ne ha valutato la compatibilità con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE. La corte ha respinto l’argomento del ricorrente, secondo cui tale raccolta sarebbe illecita per mancanza di un’autorizzazione preventiva da parte di un’autorità indipendente: richiamando la sentenza della Corte di Giustizia dell’Unione Europea “Schrems II”, il Tribunale ha ritenuto sufficiente l’esistenza di un controllo giurisdizionale successivo. Nel caso di specie, l’ordinamento degli Stati Uniti assoggetta le attività di intelligence alla sorveglianza giudiziaria a posteriori della DPRC.
In definitiva, il Tribunale ha concluso che il DPF assicuri un livello di tutela “essenzialmente equivalente” a quello previsto dal GDPR e dalla Carta dei diritti fondamentali dell’Unione Europea, perlomeno alla data di adozione della decisione impugnata.
È stato tuttavia ribadito che le decisioni di adeguatezza non sono immutabili: la Commissione Europea è tenuta a monitorare costantemente l’ordinamento giuridico oggetto di valutazione e può sospendere, modificare o revocare la decisione qualora mutino le condizioni che ne hanno giustificato l’adozione.
Ad ogni modo, la validità della decisione di adeguatezza non è una questione ancora chiusa: il ricorrente avrà la possibilità di appellare la sentenza del Tribunale davanti alla Corte di Giustizia dell’Unione Europea entro due mesi e dieci giorni a decorrere dalla data della sua notifica, limitatamente alle questioni di diritto.
L’opinion dell’edps sul quadro ue-usa per i controlli di frontiera
Il secondo intervento proviene dall’European Data Protection Supervisor (“EDPS”) che, in data 17 settembre 2025, ha pubblicato l’Opinion 24/2025 sulla raccomandazione della Commissione Europea del 23 luglio 2025 relativa a una decisione del Consiglio che autorizzi l’avvio di negoziati per un accordo quadro tra Unione europea e Stati Uniti sullo scambio di informazioni per i controlli di sicurezza e le verifiche di identità connesse alle procedure di frontiera e alle domande di visto. L’accordo quadro fisserebbe requisiti e condizioni comuni per consentire alle autorità dei singoli Stati membri dell’UE di concludere accordi bilaterali con gli Stati Uniti per lo scambio di dati personali.
L’iniziativa è funzionale a soddisfare il nuovo requisito statunitense di concludere un Enhanced Border Security Partnership (“EBSP”) entro il 31 dicembre 2026 per l’ammissione e la permanenza nel Visa Waiver Program, che consentirebbe ai cittadini dei paesi partecipanti di recarsi negli Stati Uniti senza visto per un massimo di 90 giorni per motivi turistici o d’affari. L’EBSP verrebbe conclusa con l’U.S. Department of Homeland Security. Di conseguenza, l’accordo quadro si applicherebbe agli Stati membri dell’UE che godono di un regime di esenzione dal visto con gli Stati Uniti o che desiderano aderire al programma Visa Waiver Program degli Stati Uniti.
L’EDPS riconosce che l’accordo quadro, se concluso, costituirebbe un precedente significativo, poiché sarebbe il primo accordo dell’Unione a implicare la condivisione su larga scala di dati personali, compresi i dati biometrici, ai fini del controllo delle frontiere e dell’immigrazione con un Paese terzo. In tale prospettiva, l’EDPS sostiene la proposta di istituire un “quadro comune UE-USA” per tale scambio di informazioni, idoneo a stabilire condizioni e garanzie uniformi a livello dell’Unione, rafforzando così la protezione dei diritti e delle libertà fondamentali degli interessati.
Pur accogliendo con favore la proposta della Commissione, l’EDPS esorta gli organi dell’UE a considerare una serie raccomandazioni specifiche a tutela dei dati personali degli interessati, tra cui:
- il rispetto del principio di proporzionalità;
- la previa conduzione di una valutazione di impatto sulla protezione dei dati personali;
- meccanismi concreti che escludano un trattamento sistematico, generalizzato e non mirato dei dati personali di tutti i viaggiatori;
- il rispetto del diritto alla trasparenza e al ricevimento di informazioni da parte delle autorità dell’UE e degli Stati Uniti in merito alla condivisione dei dati tra l’UE e gli Stati Uniti ai sensi dell’EBSP;
- la garanzia di sistemi di controllo sull’uso dei dati personali da parte di uno o più organismi indipendenti degli Stati Uniti, dotati di efficaci poteri di indagine e di intervento;
- la garanzia di meccanismi di enforcement e di ricorso di tipo amministrativo e giudiziario in capo agli interessati;
- la previsione di un meccanismo di sospensione e risoluzione dell’accordo quadro nei casi in cui gli Stati Uniti non garantiscano più, in maniera efficace, il livello di protezione dei diritti e libertà fondamentali richiesto dall’accordo quadro, con conseguente sospensione automatica degli accordi bilaterali conclusi dagli Stati membri dell’UE con gli Stati Uniti.
Considerazioni conclusive
L’accordo quadro UE-USA e la convalidazione del DPF, se sarà confermato anche dalla Corte di Giustizia, potrebbero costituire i nuovi tasselli del consolidamento del quadro giuridico sul trasferimento transatlantico dei dati personali, conferendo così ai titolari e ai responsabili del trattamento maggiori certezze giuridiche nel trasferimento dei dati personali verso gli Stati Uniti ed evitando alle imprese europee di dover affrontare un nuovo blocco dei trasferimenti di dati oltreoceano.
