Con la sentenza T-553/23 del 3 settembre 2025, il Tribunale dell’UE ha confermato la validità del nuovo quadro giuridico per i trasferimenti di dati personali tra Unione europea e Stati Uniti. Il rigetto del ricorso presentato da Philippe Latombe segna una tappa importante per la stabilità del Data Privacy Framework, dopo le incertezze lasciate dalle sentenze Schrems I e II.
Il contenzioso sulla decisione di adeguatezza del 2023
La causa T-553/23, intentata da Philippe Latombe, eurodeputato e cittadino francese, mirava all’annullamento della Decisione di esecuzione (UE) 2023/1795 della Commissione europea, adottata il 10 luglio 2023. Tale decisione ha istituito un nuovo meccanismo di trasferimento dei dati personali verso gli Stati Uniti, ritenendone adeguato il livello di protezione ai sensi dell’art. 45 del GDPR.
Latombe contestava l’idoneità del sistema statunitense, sostenendo che la Data Protection Review Court (DPRC) non fosse un organismo indipendente e che la raccolta in blocco dei dati da parte delle agenzie di intelligence statunitensi non offrisse garanzie sufficienti. Il Tribunale ha respinto integralmente queste tesi.
Dal Privacy Shield al Data Privacy Framework: il contesto normativo
La nuova decisione di adeguatezza fa seguito all’annullamento dei precedenti meccanismi transatlantici: prima il “Safe Harbor” (sentenza Schrems I, C-362/14), poi il “Privacy Shield” (sentenza Schrems II, C-311/18). In entrambi i casi, la Corte di giustizia aveva ritenuto che le normative statunitensi non garantissero un livello di tutela sostanzialmente equivalente a quello dell’Unione, soprattutto in relazione all’accesso ai dati da parte delle autorità pubbliche statunitensi.
Per superare queste criticità, il nuovo Data Privacy Framework è stato costruito sulla base dell’Executive Order 14086 del 7 ottobre 2022, che ha introdotto nuove tutele per le attività delle agenzie di intelligence, e sull’istituzione della DPRC, quale meccanismo di ricorso per i cittadini europei.
Le valutazioni del Tribunale: indipendenza della DPRC e raccolta dei dati
Il Tribunale ha ritenuto infondata la tesi secondo cui la DPRC sarebbe soggetta al potere esecutivo. La nomina dei giudici, la durata dell’incarico, le condizioni di revoca e le garanzie funzionali offerte dal regolamento del Procuratore generale (28 CFR Part 201) sono state considerate sufficienti a garantire l’indipendenza dell’organo.
Quanto alla raccolta in blocco dei dati da parte delle agenzie di intelligence, il Tribunale ha chiarito che, alla luce della sentenza Schrems II, non è necessaria un’autorizzazione preventiva da parte di un’autorità indipendente, ma è sufficiente un controllo giurisdizionale ex post. Tale controllo, secondo la documentazione presentata, è affidato proprio alla DPRC.
La cornice giuridica europea
La sentenza richiama il fondamento normativo dei trasferimenti internazionali di dati personali nel diritto dell’Unione: l’articolo 45 del GDPR, l’articolo 8 della Carta dei diritti fondamentali dell’UE e l’articolo 16 del TFUE. La decisione di adeguatezza è uno strumento chiave per permettere il flusso transatlantico dei dati senza necessità di garanzie supplementari, laddove il paese terzo offra un livello “adeguato” di protezione.
Le implicazioni per aziende e professionisti
Con il rigetto del ricorso, il Data Privacy Framework rimane pienamente operativo. Le aziende europee possono continuare a trasferire dati verso organizzazioni statunitensi aderenti al nuovo schema, senza necessità di clausole contrattuali standard o altre misure supplementari. Tuttavia, resta essenziale verificare l’effettiva adesione del destinatario statunitense al Framework.
Per i DPO, i consulenti e i responsabili IT, la sentenza rafforza l’affidabilità della decisione di adeguatezza, ma non elimina la necessità di un monitoraggio continuo, anche alla luce della possibilità di un eventuale ricorso alla Corte di giustizia. Le implicazioni a lungo termine dipenderanno anche dalla capacità degli Stati Uniti di mantenere nel tempo gli standard previsti dall’Executive Order 14086.
Conclusioni
La sentenza Latombe rappresenta un passaggio rilevante nella lunga vicenda dei trasferimenti di dati tra UE e USA. Pur confermando la validità del nuovo quadro giuridico, lascia aperti interrogativi sulla solidità strutturale del Data Privacy Framework, specie in vista di possibili impugnazioni future. I professionisti della protezione dei dati devono quindi interpretare questa decisione non come un punto di arrivo definitivo, ma come una tappa in un equilibrio ancora dinamico tra esigenze di protezione e necessità di circolazione dei dati. L’attenzione deve restare alta, sia sul fronte giurisprudenziale sia su quello delle prassi applicative, in attesa di un eventuale giudizio della Corte di giustizia e di ulteriori sviluppi transatlantici.










