Il 3 settembre 2025 il Tribunale dell’Unione europea ha emesso una sentenza di grande rilievo nella causa T-553/23, con protagonista l’eurodeputato Philippe Latombe. Nel suo ricorso, Latombe chiedeva l’annullazione del Data Privacy Framework (DPF) tra l’UE e gli Stati Uniti, il quadro giuridico che regola il trasferimento dei dati personali dall’Europa agli Stati Uniti.
Latombe contestava la validità della decisione di esecuzione (UE) 2023/1795 adottata dalla Commissione europea (CE) il 10 luglio 2023 che ha riconosciuto l’adeguatezza del livello di protezione dei dati nell'ambito del quadro UE-USA per la protezione dei dati personali, ovvero il DPF.
L’articolo 45, paragrafo 1, del GDPR prevede che un trasferimento di dati personali verso un paese terzo (un paese extra UE/SEE) possa essere autorizzato da una decisione della Commissione, con la quale si stabilisce che tale paese terzo garantisca un livello di protezione adeguato. Tale disposizione è contenuta nel capitolo V del regolamento che, come già indicato dalla Corte di giustizia dell’UE in passato (vedere, in tal senso, le sentenze della CJUE Schrems I, C-362/14, che ha invalidato il “Safe Harbor”, e Schrems II, C-311/18, che ha invalidato il “Privacy Shield”), ha l’obiettivo generale di assicurare la continuità del livello elevato di protezione dei dati personali garantito dal diritto dell’Unione ai sensi del GDPR, anche quando i dati sono trasferiti verso un paese terzo.
Nella sua recente decisione, il Tribunale dell'Unione europea ha respinto il ricorso di Latombe, confermando così la validità della decisione di adeguatezza che consente ancora i trasferimenti di dati personali dall’UE agli Stati Uniti. Secondo il Tribunale, le garanzie offerte dal DPF proteggono adeguatamente i diritti fondamentali alla privacy, e le tutele previste nel sistema statunitense sono ritenute sufficienti.
In sostanza, i giudici hanno stabilito che il DPF rimane valido e che i trasferimenti possono continuare sotto tale regime senza violazioni delle norme europee sulla protezione dei dati.
Poiché il DPF è fondamentale in un’epoca in cui il flusso transatlantico di dati personali è sempre più centrale per le attività digitali e commerciali di aziende e cittadini, si tratta di un esito rassicurante per le aziende che si affidano al DPF per trasferire dati personali verso gli USA.
Tuttavia, il Tribunale ha sottolineato che le sfide e le criticità sul fronte della protezione dei dati non sono del tutto risolte e che sarà necessario continuare a vigilare sull’effettiva applicazione delle misure di sicurezza.
In effetti, il sig. Latombe può ancora ricorrere contro la decisione del Tribunale dinanzi alla Corte di giustizia dell'Unione europea, e non è chiaro se quest'ultima seguirà il ragionamento del Tribunale.
Negli ultimi mesi, le decisioni dell’amministrazione Trump hanno aggiunto una nuova complessità alla questione del DPF. In particolare, Trump ha promosso la rimozione di membri chiave del Privacy and Civil Liberties Oversight Board (PCLOB), l’organismo indipendente incaricato di sorvegliare le attività di sorveglianza statunitensi e che costituisce una delle garanzie fondamentali a sostegno della validità del DPF. Questa scelta ha sollevato timori sul fatto che il quadro di protezione garantito dagli Stati Uniti possa indebolirsi, mettendo a rischio la fiducia europea nel regime attuale.
Alcuni esperti e attivisti per la privacy temono che, sebbene la sentenza del Tribunale UE abbia confermato il Data Privacy Framework, le dinamiche politiche e legislative negli Stati Uniti possano portare a nuovi ricorsi o addirittura all’invalidazione del quadro da parte della Corte di Giustizia europea. Max Schrems, fondatore dell’organizzazione NOYB e noto per aver già invalidato precedenti accordi tra UE e USA, ha dichiarato: “Si è trattato di una sfida abbastanza limitata. Siamo convinti che una revisione più ampia della legge statunitense – in particolare sull’uso degli ordini esecutivi da parte dell’amministrazione Trump – potrebbe portare a un risultato diverso. Stiamo valutando le opzioni per presentare una nuova sfida legale. Seppur la Commissione abbia guadagnato un altro anno, manca ancora una certezza giuridica reale per utenti e imprese" (fonte: https://noyb.eu/it/eu-us-data-transfers-first-reaction-latombe-case).
Data la natura incerta dell'attuale contesto geopolitico, le aziende dovrebbero continuare a monitorare il panorama per individuare potenziali ricorsi e future contestazioni legali. In conclusione, la decisione rafforza la cooperazione transatlantica sulla privacy, ma invita anche a mantenere alta l’attenzione per garantire che i dati personali dei cittadini europei siano sempre tutelati con la massima cura.