Il Tue conferma la validità dell’accordo Usa Ue sul trasferimento dei dati informatici
Il Tribunale europeo, sentenza nella causa T-553/23 ha respinto il ricorso del deputato francese, Philippe Latombe
Il Tribunale dell’Unione europea, sentenza nella causa T-553/23, ha confermato la validità del quadro giuridico che disciplina i trasferimenti di dati informatici tra Europa e Stati Uniti, respingendo un ricorso di annullamento presentato nel 2023 da un deputato francese, Philippe Latombe. I giudici europei hanno confermato che “alla data di adozione della decisione impugnata, gli Stati Uniti garantivano un livello adeguato di protezione dei dati personali trasferiti dall’Unione a organizzazioni stabilite in tale Paese”. L’accordo sul trasferimento dei dati tra la Ue e gli Stati Uniti, noto come “Data Privacy Framework”, è stato adottato nel 2022-2023: obiettivo, sostituire i meccanismi precedenti, tra cui il “Privacy Shield” in vigore dal 2016 al 2020, a sua volta invalidato dalla Corte di giustizia europea a seguito dei ricorsi presentati dall’attivista austriaco per la protezione dei dati Max Schrems. Latombe, deputato centrista (Modem), aveva chiesto l’annullamento di questo accordo sostenendo che non fosse pienamente conforme alla normativa europea in materia di dati e che, in definitiva, favorisse i Gafam (Google, Apple, Facebook, Amazon, Microsoft).
La carta dei diritti fondamentali dell’Unione europea e il Trattato sul funzionamento dell’Unione europea (TFUE) sanciscono il diritto di ogni individuo alla protezione dei suoi dati personali. Se la Commissione ritiene, prosegue la decisione, che un paese terzo garantisca un livello di protezione adeguato, i trasferimenti possono aver luogo senza un’ulteriore autorizzazione. Nell’ottobre 2022, gli Stati Uniti d’America hanno emanato un decreto presidenziale che ha rafforzato le misure di tutela della vita privata, e un regolamento del procuratore generale che ha modificato il Data Protection Review Court («DPRC»). A seguito di tali provvedimenti, la Commissione ha adottato la decisione impugnata, che istituisce il nuovo quadro transatlantico di flussi di dati personali tra l’Unione e gli Stati Uniti.
Per il ricorrente, cittadino francese, la DPRC non è né imparziale né indipendente. Il Tribunale ha tuttavia respinto il ricorso. La nomina dei giudici della DPRC, infatti, godono di garanzie dirette ad assicurare l’indipendenza dei suoi membri. Inoltre, possono essere revocati solo dal Pg per un motivo valido, mentre le agenzie di intelligence non possono influenzare indebitamente il loro lavoro.
Per quanto riguarda, in secondo luogo, la raccolta in blocco di dati personali, il Tribunale sottolinea in particolare che nessun elemento nella sentenza Schrems II suggerisce che essa debba essere obbligatoriamente oggetto di un’autorizzazione preventiva rilasciata da un’autorità indipendente. Da tale sentenza risulta invece che la decisione che autorizza una siffatta raccolta deve, come minimo, essere oggetto di un controllo giurisdizionale a posteriori. Nel caso di specie, dal fascicolo risulta che il diritto degli Stati Uniti assoggetta le attività di intelligence dei segnali svolte dalle agenzie di intelligence degli Stati Uniti alla sorveglianza giudiziaria a posteriori della DPRC. Di conseguenza, secondo il Tribunale, non si può ritenere che la raccolta effettuata dalle agenzie di intelligence americane non soddisfi i requisiti derivanti dalla sentenza Schrems II e che il diritto degli Stati Uniti non garantisca una tutela giuridica sostanzialmente equivalente a quella garantita dal diritto dell’Unione.
