Il Data Privacy Framework regge, ma per quanto?

Il Data Privacy Framework (DPF) UE-USA, terzo tentativo di dare una cornice giuridica stabile ai trasferimenti transatlantici di dati personali, è entrato nel 2026 in una condizione che potremmo definire di sopravvivenza precaria. Formalmente valido, giuridicamente confermato in primo grado, eppure circondato da una serie di minacce convergenti che ne mettono in discussione la tenuta strutturale. Non si tratta più soltanto di un problema di diritto: la partita si gioca ormai sul piano politico, istituzionale e – aspetto spesso sottovalutato – costituzionale statunitense.

Per i professionisti della sicurezza informatica, dai CISO ai security architect, comprendere lo stato attuale del Data Privacy Framework non è un esercizio accademico. Ogni strumento cloud, ogni piattaforma SaaS, ogni flusso di telemetria che attraversa l’Atlantico poggia, direttamente o indirettamente, su questo accordo. Se dovesse cadere – e le condizioni perché ciò accada si stanno accumulando – l’impatto operativo sarebbe immediato e profondo: oltre 2.800 aziende certificate sotto il DPF, secondo i dati del sito ufficiale, si troverebbero senza base giuridica per i trasferimenti di dati, con ricadute a cascata su fornitori, sub-responsabili del trattamento e intere catene di fornitura digitali.

La sentenza Latombe: una vittoria di Pirro per la Commissione

Il 3 settembre 2025 il Tribunale Generale dell’UE ha emesso la sentenza nella causa T-553/23 (Latombe c. Commissione), respingendo il ricorso presentato dal deputato francese Philippe Latombe – membro anche della CNIL, l’autorità francese per la protezione dei dati – contro la decisione di adeguatezza della Commissione del 10 luglio 2023. Il Tribunale ha riconosciuto che, al momento dell’adozione della decisione di adeguatezza, il Data Privacy Framework garantiva un livello di protezione essenzialmente equivalente a quello previsto dal GDPR e dalla Carta dei diritti fondamentali dell’UE.

Il ricorso di Latombe si concentrava su due pilastri fondamentali:

L’indipendenza della Data Protection Review Court (DPRC): Latombe sosteneva che l’organo di ricorso, istituito tramite l’Executive Order 14086 di Biden, fosse strutturalmente dipendente dall’esecutivo statunitense e quindi privo delle garanzie richieste dall’articolo 47 della Carta dei diritti fondamentali.
La raccolta massiva (bulk collection) di dati: le agenzie di intelligence USA continuerebbero a raccogliere in blocco dati personali di cittadini europei senza autorizzazione preventiva di un giudice indipendente.

Il Tribunale ha rigettato entrambe le argomentazioni, rilevando che le procedure di nomina dei giudici della DPRC, la loro inamovibilità (se non per giusta causa) e le garanzie funzionali previste dal regolamento del Procuratore generale sono sufficienti a garantire l’indipendenza dell’organo. Quanto alla raccolta in blocco, il Tribunale ha ritenuto che un controllo giurisdizionale ex post – e non necessariamente preventivo – fosse conforme ai requisiti espressi dalla CGUE nella sentenza Schrems II.

Eppure, definire questa sentenza una vittoria piena per il Data Privacy Framework sarebbe fuorviante, per almeno due ragioni.

La prima è di natura metodologica: il Tribunale ha valutato l’adeguatezza del quadro giuridico statunitense al momento dell’adozione della decisione (luglio 2023), non alla luce del contesto attuale. Come osservato da WilmerHale e Wilson Sonsini, questo approccio potrebbe divergere da quello storicamente adottato dalla CGUE nelle sentenze Schrems I e Schrems II, dove la Corte aveva esaminato le condizioni di fatto e di diritto esistenti al momento del giudizio.

La seconda è che il Tribunale non ha neppure esaminato la questione della legittimazione attiva (standing) di Latombe, ossia se il ricorrente avesse titolo per agire. Ha scelto di pronunciarsi nel merito nell’interesse della buona amministrazione della giustizia, lasciando aperta una porta procedurale che la Corte di Giustizia potrebbe decidere di chiudere.

Il ricorso in CGUE: Latombe rilancia la sfida

Il 31 ottobre 2025, Philippe Latombe ha formalmente impugnato la sentenza del Tribunale dinanzi alla Corte di Giustizia dell’UE. Questo passaggio è tutt’altro che scontato, e le sue implicazioni meritano attenzione.

La CGUE, storicamente, si è dimostrata assai più scettica del Tribunale Generale nella valutazione delle pratiche di sorveglianza statunitensi. È stata la stessa Corte a invalidare il Safe Harbor nel 2015 e il Privacy Shield nel 2020, entrambi accordi che avevano ricevuto il placet della Commissione. Il fatto che un terzo framework approdi al suo vaglio non è, di per sé, garanzia di invalidazione, ma il track record della Corte suggerisce che il confronto sarà tutt’altro che formale.

Vi è poi un aspetto tecnico-giuridico rilevante. Come osservato da diversi esperti, tra cui quelli dello studio WilmerHale, la CGUE potrebbe adottare un criterio di valutazione che consideri lo stato di fatto e di diritto attuale, non quello del 2023. In tal caso, i cambiamenti intervenuti nell’amministrazione statunitense dal gennaio 2025 diventerebbero pienamente rilevanti, e il quadro cambierebbe in modo sostanziale.

Un aspetto emerso dall’analisi di Lawfare è che la CGUE potrebbe esaminare le garanzie statunitensi secondo un duplice standard: quello dell’equivalenza essenziale (e non dell’identità) rispetto al diritto UE sulla protezione dei dati, e quello della giurisprudenza della Corte europea dei diritti dell’uomo in materia di sorveglianza governativa, che tradizionalmente concede un margine di discrezionalità più ampio agli stati.

Una sentenza definitiva della CGUE, con i tempi fisiologici del procedimento, potrebbe ragionevolmente arrivare non prima del 2027. Ma i mercati e i regolatori non attendono le sentenze per agire.

Il fattore Trump: quando la geopolitica smonta il diritto

Se il Data Privacy Framework ha un punto debole strutturale, risiede nel fatto che le sue fondamenta giuridiche sul versante statunitense sono interamente di natura esecutiva. Non una legge approvata dal Congresso, ma un Executive Order – il 14086 del 7 ottobre 2022 – firmato dal presidente Biden. Un ordine che, per definizione, può essere revocato, modificato o svuotato di contenuto da qualsiasi successore con un tratto di penna.

L’insediamento dell’amministrazione Trump nel gennaio 2025 ha introdotto una serie di variabili che rendono la fragilità del DPF non più teorica ma concreta.

Lo smantellamento del PCLOB e la battaglia legale per il reintegro

Il 27 gennaio 2025, l’amministrazione Trump ha rimosso i tre membri democratici del Privacy and Civil Liberties Oversight Board (PCLOB) – Travis LeBlanc, Edward Felten e Sharon Bradford Franklin – lasciando il board con un solo membro, Beth Williams, e dunque privo del quorum necessario per operare.

Il PCLOB non è un accessorio decorativo del Data Privacy Framework. È l’organo che:

conduce la revisione annuale dell’attuazione dell’EO 14086 da parte delle agenzie di intelligence;
viene consultato nella nomina dei giudici della DPRC;
emette una certificazione pubblica annuale sul funzionamento del meccanismo di ricorso;
produce il rapporto che la Commissione europea utilizza per le sue valutazioni periodiche.

La decisione di adeguatezza della Commissione cita il PCLOB 31 volte, sottolineandone l’indipendenza come garanzia essenziale. Con il PCLOB inoperativo, la Commissione si trova nella posizione paradossale di dover garantire l’adeguatezza di un framework il cui principale organo di supervisione è stato svuotato. Come ha osservato il Center for Democracy and Technology, la legittimità dell’indipendenza della DPRC è ora a serio rischio.

La vicenda, tuttavia, non si è conclusa con le rimozioni. Due dei tre membri rimossi, Travis LeBlanc e Edward Felten, hanno contestato i licenziamenti in sede giudiziaria. Il 21 maggio 2025, il giudice federale Reggie B. Walton del Tribunale distrettuale di Washington D.C. ha dichiarato le rimozioni illegali e nulle, ordinando il reintegro di entrambi. Il giudice ha ritenuto che la struttura e la funzione del PCLOB sono incompatibili con la rimozione a discrezione del presidente, e che il Congresso intendeva proteggere i membri del board da interferenze politiche.

Il Dipartimento di Giustizia ha presentato appello alla DC Circuit Court, che ha sospeso il procedimento in attesa della decisione della Corte Suprema in Trump v. Slaughter – il caso-chiave sulla rimozione presidenziale dei commissari delle agenzie indipendenti. Il 29 maggio 2025, il giudice Walton ha respinto la richiesta del governo di sospendere il reintegro durante il processo di appello, consentendo a LeBlanc e Felten di restare in carica.

Un ulteriore elemento di fragilità riguarda la scadenza del mandato della stessa Beth Williams: secondo i dati del Congresso, il suo mandato è scaduto il 29 gennaio 2026. Lo statuto del PCLOB consente un periodo di holdover, ma la situazione complessiva resta precaria: il board opera senza una Chair dal gennaio 2025, non ha potuto avviare nuovi progetti di oversight, e il suo rapporto sull’implementazione dell’EO 14086 – quello che la Commissione europea attendeva esplicitamente – non può essere emesso senza un quorum stabile e bipartisan.

Trump v. Slaughter: la bomba costituzionale che può demolire il Data Privacy Framework

Se esiste un singolo evento con il potenziale di rendere irrilevante ogni altra analisi sul Data Privacy Framework, è la decisione pendente della Corte Suprema in Trump v. Slaughter.

Il caso riguarda la rimozione, nel marzo 2025, dei commissari democratici della Federal Trade Commission (FTC) Rebecca Slaughter e Alvaro Bedoya da parte del presidente Trump, senza addurre le cause previste dalla legge (inefficienza, negligenza, malaffare). La questione costituzionale sollevata è dirompente: le protezioni statutarie che impediscono al presidente di rimuovere a piacimento (at will) i membri delle agenzie indipendenti violano la separazione dei poteri?

La Corte ha ascoltato le argomentazioni orali l’8 dicembre 2025. Secondo SCOTUSblog, la maggioranza conservatrice è apparsa favorevole alla posizione dell’amministrazione Trump. Il Chief Justice Roberts ha definito Humphrey’s Executor v. United States (1935) – il precedente che da 90 anni protegge l’indipendenza delle agenzie multimembro – come un guscio secco di qualsiasi cosa la gente pensasse che fosse.

Le implicazioni per il Data Privacy Framework sono enormi e dirette:

La FTC è l’organo di enforcement che vigila sul rispetto dei principi del DPF da parte delle aziende certificate. Se il presidente può rimuovere i commissari FTC a piacimento, l’indipendenza dell’enforcement del DPF – un requisito esplicito dell’articolo 45(2)(b) del GDPR – verrebbe compromessa alla radice.
Il PCLOB ha una struttura analoga: membri nominati dal presidente con conferma del Senato, protetti da rimozione senza giusta causa. Se Humphrey’s Executor cade, anche le protezioni del PCLOB verrebbero travolte, confermando di fatto il potere presidenziale di svuotare a piacimento l’organo di supervisione del DPF.
La DPRC stessa, già criticata per essere un organismo istituito tramite ordine esecutivo e regolamento del Procuratore generale – e non una vera corte creata per legge dal Congresso – vedrebbe ulteriormente erose le proprie garanzie di indipendenza in un contesto in cui il potere esecutivo non incontra più limiti nella rimozione dei propri controllori.

Un segnale anticipatore è già arrivato. Il 5 dicembre 2025, la stessa DC Circuit Court ha confermato il potere presidenziale di rimuovere i membri del National Labor Relations Board (NLRB) e del Merit Systems Protection Board (MSPB), leggendo Humphrey’s Executor in modo restrittivo: poiché queste agenzie esercitano poteri sostanzialmente esecutivi, il Congresso non può limitare il potere di rimozione del presidente. Se la Corte Suprema adotta un ragionamento analogo in Slaughter, l’intero ecosistema delle agenzie indipendenti – FTC e PCLOB comprese – perderebbe le proprie tutele di indipendenza.

Una decisione è attesa entro la fine di giugno 2026. Se confermasse il potere di rimozione presidenziale senza limiti, il castello di carte su cui poggia il Data Privacy Framework perderebbe non uno, ma tre pilastri contemporaneamente.

La FTC sotto pressione: l’EO Ensuring Accountability for All Agencies

Indipendentemente dall’esito di Trump v. Slaughter, un ulteriore elemento di vulnerabilità riguarda l’indipendenza operativa della FTC. L’EO Ensuring Accountability for All Agencies, firmato da Trump il 18 febbraio 2025, impone a tutte le agenzie federali indipendenti – FTC compresa – di sottoporre le proprie azioni regolatorie significative alla revisione presidenziale prima della pubblicazione. Come osservato da IAPP, questo potrebbe compromettere l’indipendenza della FTC nell’applicazione dei principi del DPF, una condizione che l’articolo 45(2)(b) del GDPR richiede esplicitamente.

L’EO 14148 e la revisione silenziosa

L’EO 14148, firmato da Trump il 20 gennaio 2025, ha revocato decine di ordini esecutivi e memoranda dell’amministrazione Biden. Alla Sezione 3(c), dispone che il Consigliere per la Sicurezza Nazionale avvii immediatamente una revisione completa di tutti i National Security Memoranda (NSMs) emessi durante la presidenza Biden, con un termine di 45 giorni per raccomandare al presidente eventuali revoche.

Sebbene l’EO 14086 sia tecnicamente un Executive Order e non un NSM, e non rientri quindi direttamente nel perimetro di revisione previsto dalla Sezione 3(c), il contesto più ampio è chiaro: come documentato da NOYB, il termine per la revisione degli NSMs è scaduto il 6 marzo 2025 senza che siano stati pubblicati rapporti. Ma ciò non significa che l’EO 14086 non sia stato alterato per altra via: il presidente degli Stati Uniti può emettere ordini esecutivi classificati che modificano ordini pubblicati, senza darne comunicazione pubblica. L’EO 14086 resta esposto alla revoca o modifica diretta da parte del presidente in qualsiasi momento.

In un contesto in cui Trump ha sistematicamente revocato le misure dell’amministrazione precedente, la sopravvivenza dell’EO 14086 appare più il frutto di un calcolo pragmatico – non compromettere i flussi di dati transatlantici da cui dipendono anche le aziende americane – che di una convinzione sui meriti della norma.

Project 2025 e l’EO 14086 come bersaglio

L’agenda Project 2025, elaborata dalla Heritage Foundation come roadmap per la conquista conservatrice dell’apparato federale, contiene un passaggio esplicito sull’EO 14086. A pagina 225 del Mandate for Leadership, l’autore (Dustin Carmack, oggi Director of Public Policy di Meta) attacca l’ordine esecutivo e il trattamento asseritamente ingiusto riservato agli USA dall’UE, raccomandando uno studio immediato sull’implementazione dell’EO 14086 e la sospensione di qualsiasi disposizione che ostacoli indebitamente la raccolta di intelligence. Come evidenziato da NOYB, il fatto che l’EO 14086 figuri esplicitamente nell’agenda di un progetto politico poi parzialmente adottato dall’amministrazione in carica è un segnale che i professionisti della sicurezza non possono ignorare.

La posizione di Schrems e NOYB: Schrems III è già in cantiere

Max Schrems non ha atteso la sentenza del Tribunale per chiarire la propria posizione. Attraverso NOYB, l’organizzazione ha ribadito che il DPF è quasi certamente ancora illegale, in quanto strutturato in modo pressoché identico ai due accordi precedenti invalidati dalla CGUE.

La strategia di Schrems per un eventuale Schrems III si articola su più direttrici. In un intervento presso la IAPP, Schrems ha indicato che un nuovo caso potrebbe puntare a contestare il Data Privacy Framework attraverso un’ingiunzione di diritto civile rivolta contro una specifica azienda, riducendo la validità dell’accordo stesso attraverso un approccio bottom-up anziché tramite un attacco frontale alla decisione di adeguatezza.

Ma Schrems ha anche suggerito uno scenario alternativo. Secondo le sue dichiarazioni, i cambiamenti apportati dall’amministrazione Trump alle agenzie di supervisione – PCLOB e FTC in primis – potrebbero essere sufficienti a indurre la Commissione europea a sospendere autonomamente l’applicazione del DPF, senza necessità di attendere una nuova sentenza della CGUE. L’eventuale ribaltamento di Humphrey’s Executor da parte della Corte Suprema rafforzerebbe enormemente questo scenario: se le agenzie indipendenti statunitensi possono essere piegate alla volontà presidenziale senza limiti giuridici, l’intera architettura di garanzie su cui poggia il DPF perderebbe credibilità.

Se il framework crolla per via politica o costituzionale anziché giudiziaria, il paradosso sarebbe perfetto: non servirebbe un Schrems III perché sarebbe Washington, e non Bruxelles o Lussemburgo, ad aver smontato le garanzie.

FISA Section 702: la bomba a orologeria del 2026

C’è un ulteriore elemento che rischia di cambiare le carte in tavola. La Section 702 del Foreign Intelligence Surveillance Act (FISA), che autorizza le agenzie di intelligence statunitensi a raccogliere comunicazioni elettroniche di persone non americane senza mandato giudiziario individuale, è stata riautorizzata nell’aprile 2024 tramite il Reforming Intelligence and Securing America Act (RISAA) con una durata di soli due anni.

La scadenza è fissata al 20 aprile 2026.

La riautorizzazione del 2024, come evidenziato dall’Electronic Privacy Information Center (EPIC), non ha introdotto riforme significative per la protezione dei dati di cittadini non statunitensi. Al contrario, ha ampliato la definizione di electronic communications service provider, estendendo potenzialmente l’obbligo di cooperazione con le agenzie di intelligence a un numero più ampio di soggetti con accesso a infrastrutture in cui transitano comunicazioni. Il RISAA ha inoltre espanso la definizione di foreign intelligence information per includere informazioni relative al traffico internazionale di stupefacenti.

Il dibattito sulla riautorizzazione del 2026 si preannuncia complesso. Come riportato da Lawfare, l’amministrazione Trump potrebbe spingere per un’estensione pulita, senza le riforme che le organizzazioni per i diritti civili chiedono. Un elemento critico è che il PCLOB, storicamente autore del rapporto di riferimento sulla Section 702 in vista delle riautorizzazioni, non sarà in grado di produrre tale rapporto nel 2026 senza un quorum stabile – privando il Congresso e l’opinione pubblica di una valutazione indipendente.

Se il Congresso dovesse riautorizzare la Section 702 senza rafforzare le tutele per i dati europei – o, peggio, ampliando ulteriormente i poteri di sorveglianza – la CGUE avrebbe un argomento in più per ritenere che il livello di protezione offerto dagli USA non sia essenzialmente equivalente a quello europeo.

Data Privacy Framework e impatto operativo: cosa devono fare i professionisti della sicurezza

La fragilità strutturale del DPF non è un problema astratto. Ha ricadute immediate sulla governance dei dati, sull’architettura dei sistemi informativi e sulle scelte tecnologiche di qualsiasi organizzazione che tratti dati personali di cittadini europei.

Azioni operative raccomandate

Mappare i flussi di dati verso gli USA. Non soltanto i trasferimenti diretti, ma anche quelli indiretti: sub-responsabili del trattamento, servizi di supporto, piattaforme di analisi e telemetria.
Mantenere meccanismi di trasferimento alternativi. Le Standard Contractual Clauses (SCC) restano uno strumento utilizzabile, ma dopo Schrems II richiedono una Transfer Impact Assessment (TIA) caso per caso. Se il DPF cade, anche molte TIA che lo citano come garanzia supplementare diventerebbero obsolete, come sottolineato da NOYB. Da monitorare anche la consultazione prevista nel Q1 2026 da parte della Commissione europea sulle nuove SCC per i soggetti extra-UE direttamente soggetti al GDPR ai sensi dell’articolo 3(2) – un tassello mancante dal 2021 che potrebbe richiedere un ulteriore esercizio di repapering contrattuale.
Verificare la certificazione DPF dei fornitori. Non tutte le aziende statunitensi sono certificate. Controllare lo stato di certificazione presso il sito ufficiale del DPF è un’attività di due diligence minima.
Predisporre un piano di contingenza. Definire in anticipo le azioni da intraprendere in caso di invalidazione o sospensione del framework: migrazione verso provider europei, adozione di soluzioni con data residency nell’UE, rinegoziazione contrattuale.
Monitorare l’evoluzione normativa e giurisprudenziale. Le scadenze critiche si concentrano nel 2026: la sentenza della Corte Suprema in Trump v. Slaughter (attesa entro giugno 2026), la scadenza della FISA Section 702 (20 aprile 2026), l’evoluzione del contenzioso PCLOB, la prossima revisione periodica della Commissione europea sull’adeguatezza del DPF e le nuove mosse di NOYB.
Valutare l’impatto del Digital Omnibus Package. La proposta della Commissione del 19 novembre 2025 include emendamenti al GDPR che potrebbero ridefinire il concetto di dato personale e le condizioni per la pseudonimizzazione, con implicazioni potenziali sui trasferimenti internazionali e sulle valutazioni di adeguatezza.

La sovranità digitale europea: da slogan a necessità operativa

Il ripetuto fallimento dei framework transatlantici – Safe Harbor, Privacy Shield, e ora il Data Privacy Framework sotto pressione – sta alimentando un dibattito più ampio sulla sovranità digitale europea. Non si tratta più soltanto di conformità normativa, ma di una riflessione strategica sulle dipendenze tecnologiche.

L’UE ha già avviato iniziative concrete in questa direzione. Oltre al Digital Markets Act, al Digital Services Act e al Data Act, il 20 gennaio 2026 la Commissione ha proposto un pacchetto cybersecurity rivisto che rafforza il quadro di certificazione dell’UE per la cybersecurity, istituisce un framework orizzontale per la sicurezza della catena di approvvigionamento ICT e potenzia il ruolo di ENISA. La proposta di European Cloud Certification Scheme (EUCS) punta a ridurre la dipendenza da infrastrutture extra-europee. Il Garante norvegese per la protezione dei dati (Datatilsynet) ha già ammonito, nel febbraio 2025, che in caso di revoca del DPF le restrizioni sui trasferimenti potrebbero essere imposte immediatamente, senza periodo di transizione.

Il Digital Omnibus Package, incluso tra le 13 priorità legislative congiunte delle istituzioni UE per il 2026, aggiunge un ulteriore livello di complessità: le proposte di emendamento al GDPR – dalla ridefinizione del dato personale alla semplificazione per le PMI – potrebbero modificare anche il quadro normativo entro cui si valuta l’adeguatezza dei trasferimenti internazionali.

Per i CISO e i security architect, la lezione è chiara: la diversificazione delle infrastrutture cloud e la capacità di operare con data residency europea non sono più un nice-to-have, ma una componente essenziale della resilienza organizzativa.

Il vero rischio: un collasso politico e costituzionale, non giuridico

L’angolo editoriale più significativo di questa vicenda riguarda la natura della minaccia che pende sul Data Privacy Framework. I primi due accordi – Safe Harbor e Privacy Shield – sono caduti in tribunale, su argomentazioni giuridiche relative all’inadeguatezza delle tutele statunitensi. Il DPF potrebbe cadere per una ragione diversa e senza precedenti: non perché un giudice europeo ne dichiari l’invalidità, ma perché le condizioni politiche e costituzionali negli Stati Uniti ne erodano le fondamenta dall’interno.

Come ha scritto Max Schrems: questo accordo è sempre stato costruito sulla sabbia. Invece di limitazioni legali stabili, l’UE ha accettato promesse esecutive che possono essere rovesciate in pochi secondi.

Il paradosso è evidente. Il Data Privacy Framework poggia su un ordine esecutivo che il presidente attuale ha mostrato di poter ignorare, svuotare o abrogare; su un organo di supervisione (PCLOB) reso inoperativo e oggetto di una battaglia legale il cui esito dipende dalla Corte Suprema; su una FTC la cui indipendenza è messa in discussione dall’EO Ensuring Accountability for All Agencies e da un ricorso costituzionale che potrebbe ribaltare 90 anni di precedenti; su una DPRC che non è un vero tribunale istituito per legge dal Congresso, ma un organismo creato tramite ordine esecutivo e regolamento del Procuratore generale, teoricamente smontabile dall’esecutivo.

Il castello di carte, per usare la metafora che meglio descrive la situazione, non ha più soltanto una finestra aperta: ha le fondamenta che tremano. Se la Corte Suprema in Trump v. Slaughter dovesse confermare il potere presidenziale di rimuovere senza limiti i membri delle agenzie indipendenti, il DPF perderebbe contemporaneamente l’indipendenza del proprio organo di enforcement (FTC), del proprio organo di supervisione (PCLOB) e qualsiasi credibilità residua nella capacità del sistema statunitense di offrire garanzie essenzialmente equivalenti a quelle europee.

Per chi opera nella sicurezza informatica e nella protezione dei dati, il messaggio è chiaro: non basta essere conformi oggi. Bisogna essere pronti a un domani in cui il Data Privacy Framework potrebbe non esistere più, e quel domani potrebbe arrivare senza preavviso – non con una sentenza della CGUE, ma con una decisione della Corte Suprema statunitense, un ordine esecutivo classificato o una semplice omissione politica.

FAQ – Domande frequenti sul Data Privacy Framework

Cos’è il Data Privacy Framework UE-USA? È il terzo accordo transatlantico sui trasferimenti di dati personali, adottato dalla Commissione europea il 10 luglio 2023. Consente alle aziende statunitensi certificate di ricevere dati personali dall’UE senza necessità di meccanismi di trasferimento aggiuntivi come le Standard Contractual Clauses.

Il DPF è ancora valido? Sì. Il Tribunale Generale dell’UE lo ha confermato nella sentenza Latombe del 3 settembre 2025, valutando l’adeguatezza al momento dell’adozione della decisione (luglio 2023). Tuttavia, il ricorso in CGUE presentato il 31 ottobre 2025 potrebbe portare a un riesame, e la sentenza della Corte Suprema in Trump v. Slaughter potrebbe minarne le basi strutturali.

Cosa succede se il DPF viene invalidato? Le aziende dovrebbero fare affidamento su meccanismi alternativi (SCC con TIA, BCR, deroghe ex art. 49 GDPR). Tuttavia, come evidenziato da NOYB, anche le TIA che citano le garanzie dell’EO 14086 diventerebbero obsolete.

Cos’è Trump v. Slaughter e perché è rilevante per il DPF? È un caso pendente alla Corte Suprema USA che potrebbe ribaltare Humphrey’s Executor (1935), il precedente che da 90 anni protegge l’indipendenza delle agenzie federali multimembro. Se la Corte decidesse a favore di Trump, il presidente potrebbe rimuovere a piacimento i membri di FTC e PCLOB, demolendo due pilastri fondamentali del DPF.

Quali sono le scadenze critiche da monitorare? Le date chiave sono: la scadenza della FISA Section 702 il 20 aprile 2026, la sentenza della Corte Suprema in Trump v. Slaughter (attesa entro giugno 2026), la sentenza della CGUE sul ricorso Latombe (attesa ragionevolmente non prima del 2027) e la prossima revisione periodica della Commissione europea sull’adeguatezza del DPF.

Il PCLOB è ancora operativo? Il PCLOB opera in regime di sub-quorum dal gennaio 2025. Beth Williams, unico membro non rimosso, ha il mandato scaduto il 29 gennaio 2026 (con possibilità di holdover statutario). Due membri rimossi (LeBlanc e Felten) sono stati reintegrati dal giudice federale Walton il 21 maggio 2025, ma il governo ha fatto appello e il procedimento alla DC Circuit è sospeso in attesa della decisione della Corte Suprema in Trump v. Slaughter.