PCLOB paralizzato: come lo smantellamento del watchdog USA mina il Data Privacy Framework

Il PCLOB (Privacy and Civil Liberties Oversight Board) è oggi al centro di una crisi istituzionale senza precedenti, con ricadute dirette sulla tenuta giuridica del Data Privacy Framework (DPF) e, di conseguenza, sulla legalità di milioni di trasferimenti di dati personali dall’Unione Europea verso gli Stati Uniti. Quello che a prima vista può sembrare un tecnicismo burocratico di Washington è, in realtà, il punto di rottura potenziale dell’intero impianto su cui poggiano i flussi digitali transatlantici.

Il 27 gennaio 2025, l’amministrazione Trump ha rimosso i tre membri democratici del Board – Travis LeBlanc, Edward Felten e Sharon Bradford Franklin – lasciando l’organismo con un solo componente, la repubblicana Beth Williams, e privo del quorum legale di tre membri necessario per operare. Una mossa che non ha semplicemente indebolito un’agenzia federale, ma ha colpito al cuore uno dei pilastri su cui la Commissione Europea aveva fondato la propria decisione di adeguatezza del 2023.

Per chi opera nella sicurezza informatica – CISO, DPO, compliance officer, security architect – la questione non è accademica. È operativa, immediata e potenzialmente devastante per le architetture di trasferimento dati su cui si reggono infrastrutture cloud, piattaforme SaaS e intere catene di fornitura digitale.

Il ruolo del PCLOB nell’architettura del Data Privacy Framework

Per comprendere la gravità dello scenario attuale, occorre partire da un dato strutturale: la decisione di adeguatezza della Commissione Europea cita il PCLOB 31 volte. Non si tratta di un riferimento marginale. L’organismo è descritto come garanzia essenziale di indipendenza e trasparenza, incaricato di funzioni precise e insostituibili.

Il PCLOB, istituito come agenzia indipendente del ramo esecutivo dopo le raccomandazioni della Commissione sull’11 settembre, è composto da cinque membri nominati dal Presidente con conferma del Senato, per mandati scaglionati di sei anni. Non più di tre membri possono appartenere allo stesso partito. Questa struttura bipartisan non è un dettaglio organizzativo: è la condizione che ne garantisce l’indipendenza dall’esecutivo, requisito imprescindibile agli occhi del diritto europeo.

All’interno del DPF, il PCLOB svolge funzioni critiche:

Revisione annuale dell’attuazione dell’Executive Order 14086 da parte delle agenzie di intelligence statunitensi
Consultazione obbligatoria nella nomina dei giudici della Data Protection Review Court (DPRC)
Certificazione pubblica annuale sul funzionamento del meccanismo di ricorso per i cittadini europei
Produzione del rapporto che la Commissione Europea utilizza per le proprie valutazioni periodiche sull’adeguatezza

Senza un PCLOB operativo, nessuna di queste funzioni può essere esercitata a livello di Board. L’unico membro rimasto, Beth Williams, può emettere dichiarazioni a titolo personale, ma queste non hanno il peso istituzionale né la legittimità bipartisan di un rapporto formale del Board. Come ha osservato il Center for Democracy and Technology, il PCLOB è stato reso un meccanismo di garanzia puramente nominale ai fini del DPF.

La battaglia legale: dal tribunale distrettuale alla Corte Suprema

La vicenda non si è conclusa con le rimozioni di gennaio. Due dei tre membri rimossi – LeBlanc e Felten – hanno contestato i licenziamenti in sede giudiziaria, aprendo un contenzioso che ha assunto rapidamente dimensioni costituzionali.

Il 21 maggio 2025, il giudice federale Reggie B. Walton del Tribunale Distrettuale di Washington D.C. ha emesso una sentenza di 71 pagine dichiarando le rimozioni illegali e ordinando il reintegro di entrambi i membri. La motivazione è netta: la struttura e la funzione del PCLOB sono incompatibili con la rimozione a discrezione del Presidente, e il Congresso ha inteso proteggere i membri del Board da interferenze politiche, invocando il precedente di Humphrey’s Executor v. United States (1935).

Il Dipartimento di Giustizia ha immediatamente presentato appello alla DC Circuit Court, che ha sospeso il procedimento in attesa della decisione della Corte Suprema nel caso Trump v. Slaughter – una causa che riguarda la rimozione dei commissari della Federal Trade Commission e che potrebbe ridefinire l’intero concetto di indipendenza delle agenzie federali americane.

Il 29 maggio 2025, il giudice Walton ha respinto la richiesta del governo di sospendere il reintegro durante l’appello, consentendo temporaneamente a LeBlanc e Felten di restare in carica. Ma la situazione resta in bilico: la Corte Suprema ha ascoltato le argomentazioni orali nel caso Trump v. Slaughter l’8 dicembre 2025, e gli osservatori riportano che la maggioranza conservatrice appare orientata a sostenere la posizione dell’amministrazione Trump.

Il Chief Justice Roberts ha definito il precedente Humphrey’s Executor – che da novant’anni protegge l’indipendenza delle agenzie multimembro – come un involucro vuoto rispetto a ciò che la gente pensava che fosse. Se la Corte Suprema dovesse rovesciare questo precedente, le conseguenze per il PCLOB sarebbero dirette e potenzialmente irreversibili: il Presidente potrebbe rimuovere i membri del Board a piacimento, rendendo l’indipendenza dell’organismo una finzione giuridica.

Il paradosso della Commissione Europea: garante di un framework svuotato

La Commissione Europea si trova oggi in una posizione istituzionalmente paradossale. È tenuta a garantire l’adeguatezza di un framework il cui principale organo di supervisione indipendente è stato svuotato, e il cui funzionamento dipende da un Executive Order – l’EO 14086 – che, per sua natura giuridica, può essere revocato in qualsiasi momento dal Presidente degli Stati Uniti senza alcun passaggio legislativo.

La risposta iniziale della Commissione è stata cauta. Il portavoce Markus Lammert ha dichiarato che le norme alla base del framework restano applicabili indipendentemente dalla composizione del PCLOB, aggiungendo che la Commissione stava monitorando gli sviluppi e valutando tutti gli strumenti necessari per reagire. Una posizione comprensibile sul piano diplomatico, ma sempre più difficile da sostenere sul piano giuridico.

Nel frattempo, il Parlamento Europeo non è rimasto in silenzio. Il 5 febbraio 2025, l’europarlamentare Raquel García Hermida-Van Der Walle ha presentato un’interrogazione formale chiedendo alla Commissione se condividesse le preoccupazioni sull’indipendenza del PCLOB e se intendesse sospendere il DPF fino al ripristino del Board. Il presidente della Commissione LIBE, Javier Zarzalejos, ha scritto direttamente al Commissario Michael McGrath chiedendo se le modifiche al PCLOB minino il framework e se questo soddisfi ancora lo standard di equivalenza sostanziale stabilito dalla CGUE nella sentenza Schrems II.

Il 5 marzo 2025, l’autorità svedese per la protezione dei dati (Datatilsynet) ha avvertito che la mancanza di quorum del PCLOB non invalida immediatamente la decisione di adeguatezza, ma ha raccomandato alle imprese di preparare piani di contingenza e strategie di uscita – un linguaggio inusualmente diretto per un’autorità garante.

Il test giudiziario europeo: Latombe, la Corte Generale e l’appello alla CGUE

Il DPF ha superato il suo primo test giudiziario europeo il 3 settembre 2025, quando la Corte Generale dell’UE ha respinto l’azione di annullamento presentata dal deputato francese Philippe Latombe. La Corte ha ritenuto che, al momento dell’adozione della decisione di adeguatezza nel luglio 2023, il quadro giuridico statunitense garantisse un livello di protezione adeguato.

Tuttavia, la sentenza presenta limiti significativi che ne riducono la portata rassicurante:

La Corte ha valutato la situazione giuridica e fattuale al momento dell’adozione della decisione, non al momento della contestazione – un approccio che diverge dalla giurisprudenza consolidata della CGUE in Schrems I e Schrems II
Non si è pronunciata sullo standing di Latombe, lasciando aperta la questione procedurale per futuri ricorsi
Ha esplicitamente richiamato l’obbligo della Commissione di monitorare continuamente il framework e di sospenderlo, modificarlo o revocarlo in caso di deterioramento delle garanzie

Latombe ha presentato appello alla Corte di Giustizia dell’UE il 31 ottobre 2025, come riportato da WilmerHale. La CGUE – storicamente più scettica della Corte Generale nella valutazione delle pratiche di sorveglianza statunitensi – potrebbe adottare un approccio diverso, soprattutto alla luce degli sviluppi successivi al luglio 2023: lo smantellamento del PCLOB, la rimozione dei commissari FTC, l’accesso del DOGE ai database governativi.

Parallelamente, NOYB ha criticato duramente la sentenza della Corte Generale e ha indicato che una sfida più ampia e articolata potrebbe essere in preparazione. Max Schrems ha dichiarato a marzo 2025 che i cambiamenti alle agenzie indipendenti statunitensi potrebbero da soli costringere la Commissione a sospendere il DPF, senza attendere una nuova pronuncia della CGUE.

L’effetto domino: UK Extension, DPA europee e il fronte italiano

Le conseguenze dello smantellamento del PCLOB non si limitano ai trasferimenti regolati dal DPF in senso stretto. La UK Extension al Data Privacy Framework – il meccanismo che consente i trasferimenti di dati personali dal Regno Unito verso gli USA dopo la Brexit – poggia sulle medesime basi giuridiche statunitensi: l’EO 14086, la DPRC e il PCLOB. Se queste fondamenta cedono per il DPF europeo, cedono anche per la UK Extension. Le organizzazioni con flussi di dati che transitano attraverso il Regno Unito verso gli Stati Uniti non possono considerarsi al riparo da questo rischio.

Il panorama delle autorità garanti europee mostra una crescente preoccupazione, anche se con sfumature diverse. L’autorità norvegese Datatilsynet è stata tra le prime a emettere raccomandazioni esplicite nel marzo 2025, suggerendo alle imprese di predisporre strategie di uscita dal DPF. L’autorità svedese IMY ha espresso preoccupazioni analoghe. La CNIL francese ha rafforzato il 31 gennaio 2025 le proprie raccomandazioni sui Transfer Impact Assessment, enfatizzando che le aziende non possono affidarsi alle sole SCC senza documentare misure specifiche di mitigazione del rischio basate sulle leggi e le pratiche di sorveglianza del paese destinatario.

In Italia, il Garante per la Protezione dei Dati Personali partecipa attivamente al monitoraggio del DPF attraverso l’EDPB. Il componente del Collegio Guido Scorza ha osservato, in un intervento pubblicato sul sito del Garante, che il dialogo continuo tra UE e Stati Uniti, unito a un monitoraggio rigoroso, sono fondamentali per garantire la protezione dei dati dei cittadini europei trasferiti negli USA, e che la loro assenza produrrebbe un rapido ritorno al passato.

Un’affermazione che, letta alla luce dello svuotamento del PCLOB, suona come un avvertimento profetico. Il Garante italiano, tra le autorità più attive in Europa con oltre 484 provvedimenti sanzionatori pubblicati, ha storicamente adottato posizioni rigorose sui trasferimenti internazionali – e il contesto attuale non lascia spazio a un ammorbidimento.

L’EDPB, nel suo rapporto sulla prima revisione del DPF pubblicato a novembre 2024, ha raccomandato che la prossima revisione avvenga entro tre anni o meno, invitando la Commissione a prestare particolare attenzione al rapporto del PCLOB sull’attuazione dell’EO 14086 e alla nomina di nuovi membri del Board. Entrambe queste condizioni sono oggi inattuabili: il rapporto non può essere emesso senza quorum, e nessuna nuova nomina è stata avviata dall’amministrazione Trump.

Il fattore DOGE: sorveglianza di massa senza controlli

Il quadro è aggravato da un elemento che, al momento dell’adozione del DPF nel 2023, non era nemmeno immaginabile: il Department of Government Efficiency (DOGE), inizialmente guidato da Elon Musk, ha ottenuto accesso a database governativi contenenti dati sensibili di centinaia di milioni di americani – informazioni fiscali, sanitarie, previdenziali, militari, finanziarie.

Come documentato dal Brookings Institution, il progetto di creare un database governativo centralizzato solleva preoccupazioni fondamentali sulla compatibilità con il Privacy Act del 1974. Diversi tribunali federali hanno già emesso ordini restrittivi contro l’accesso del DOGE ai sistemi del Tesoro e di altre agenzie, e un whistleblower ha riferito che dati sensibili sulle indagini del National Labor Relations Board potrebbero essere stati rimossi mentre il DOGE era presente, poche ore prima di un tentativo di accesso con indirizzo IP russo.

Per il Data Privacy Framework, il DOGE rappresenta un problema di credibilità sistemica che potrebbe avere conseguenze giudiziarie dirette. Se gli Stati Uniti non riescono a proteggere i dati dei propri cittadini dall’accesso non autorizzato di un’entità governativa priva di mandato legislativo chiaro, come possono garantire una protezione sostanzialmente equivalente a quella del GDPR per i dati dei cittadini europei? Questa domanda non è retorica: la Corte Generale, nella sentenza Latombe, ha esplicitamente limitato la propria analisi ai fatti e al diritto vigenti al momento dell’adozione della decisione di adeguatezza (luglio 2023).

Ciò significa che sviluppi successivi – inclusi lo smantellamento del PCLOB, l’accesso incontrollato del DOGE ai database federali e la rimozione dei commissari FTC – potrebbero diventare elementi centrali in un eventuale appello davanti alla CGUE o in una nuova sfida più ampia da parte di NOYB. In altre parole, ciò che il giudice europeo ha ritenuto irrilevante nella sentenza di primo grado potrebbe rivelarsi determinante in sede di impugnazione.

Il precedente Uber: quando il rischio di trasferimento diventa sanzione miliardaria

Per chi fosse tentato di considerare questa analisi puramente speculativa, il caso Uber offre un precedente concreto e recente. Nel luglio 2024, l’autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una sanzione di 290 milioni di euro per aver trasferito i dati personali di oltre 170 autisti europei negli Stati Uniti senza adeguate garanzie, in violazione dell’articolo 44 del GDPR.

La sanzione riguardava il periodo agosto 2021 – novembre 2023: ventisette mesi durante i quali, dopo l’invalidazione del Privacy Shield con la sentenza Schrems II e prima dell’adesione di Uber al DPF, i dati di localizzazione, documenti d’identità, licenze taxi e persino dati sanitari e giudiziari degli autisti sono stati conservati su server statunitensi senza Standard Contractual Clauses né altre garanzie adeguate. La CNIL francese, che aveva ricevuto il reclamo originario dalla Ligue des Droits de l’Homme, ha cooperato strettamente con l’autorità olandese nell’indagine.

Il caso Uber dimostra tre punti cruciali per l’analisi attuale:

Le DPA europee sanzionano effettivamente i trasferimenti non conformi con importi proporzionali al fatturato globale, non con ammonimenti simbolici
Il vuoto normativo tra un framework e l’altro genera responsabilità retroattive: le aziende che operano senza garanzie adeguate durante i periodi di incertezza giuridica sono esposte a rischi concreti
La protezione offerta dal DPF è condizionata alla permanenza delle sue precondizioni: se il PCLOB paralizzato mina le basi della decisione di adeguatezza, le organizzazioni che si affidano esclusivamente al DPF potrebbero trovarsi nella stessa posizione di Uber nel 2021-2023

Questo precedente rende le raccomandazioni operative di questo articolo non già precauzionali, ma urgenti.

Trump v. Slaughter: il caso che potrebbe demolire l’indipendenza delle agenzie USA

Il caso Trump v. Slaughter, attualmente pendente davanti alla Corte Suprema, ha implicazioni che vanno ben oltre la FTC. Se la Corte dovesse rovesciare o indebolire significativamente il precedente Humphrey’s Executor, il principio secondo cui il Congresso può proteggere i membri delle agenzie indipendenti dalla rimozione presidenziale at will verrebbe compromesso.

Le conseguenze per il DPF sarebbero dirette e molteplici:

FTC: è l’organo di enforcement che vigila sul rispetto dei principi del DPF da parte delle aziende certificate. L’indipendenza del suo enforcement – un requisito esplicito dell’articolo 45(2)(b) del GDPR – verrebbe compromessa alla radice
PCLOB: ha una struttura analoga alla FTC, con membri protetti da rimozione senza giusta causa. Se questa protezione cade per la FTC, cade anche per il PCLOB
DPRC: la Data Protection Review Court, il meccanismo di ricorso per i cittadini europei, è stata istituita tramite Executive Order e regolamento del Dipartimento di Giustizia, non per via legislativa – una base giuridica ancora più fragile

Come ha osservato NOYB nel suo recente rapporto, se già le agenzie con indipendenza statutaria vengono de facto svuotate, cosa significa per un organismo che non ha nemmeno indipendenza statutaria, ma solo quella derivante da un ordine esecutivo?

La decisione della Corte Suprema è attesa entro giugno 2026.

La scadenza critica: FISA Section 702 e il PCLOB che non può operare

Un ulteriore elemento di urgenza è rappresentato dalla scadenza dell’autorizzazione della Section 702 del Foreign Intelligence Surveillance Act (FISA), prevista per aprile 2026. Storicamente, il PCLOB ha prodotto il rapporto di riferimento sulla Section 702 in occasione di ogni ciclo di riautorizzazione – un documento che ha influenzato direttamente quasi la metà delle riforme approvate dal Congresso nell’ultimo ciclo.

Senza un quorum stabile, il Board non può emettere questo rapporto. Può al massimo produrre un rapporto dello staff su progetti già avviati prima della perdita del quorum, ma con limitazioni significative: l’unico membro rimasto può unilateralmente bloccare la pubblicazione, e lo staff non può espandere l’ambito dell’indagine anche di fronte a nuove informazioni rilevanti. Come documentato in un amicus brief presentato dal Brennan Center for Justice alla DC Circuit, questo equivale a conferire a un singolo membro un controllo effettivo sull’intera produzione del Board.

Per la cybersecurity e la data protection, questa situazione è particolarmente allarmante: la Section 702 è il fondamento legale che autorizza le agenzie di intelligence statunitensi a raccogliere comunicazioni di soggetti stranieri – inclusi i dati di cittadini europei in transito. Senza la supervisione indipendente del PCLOB, il Congresso sarà chiamato a riautorizzare un potere di sorveglianza enormemente invasivo senza il supporto analitico dell’unico organismo progettato per fornire un contrappeso bipartisan e indipendente.

Implicazioni operative per CISO, DPO e compliance officer

Lo scenario descritto non è uno scenario futuro: è lo scenario attuale. I professionisti della sicurezza informatica e della data protection devono agire ora, non dopo la sentenza della Corte Suprema o la prossima revisione della Commissione Europea. Ecco le azioni prioritarie.

Audit dei flussi di dati verso gli USA

Mappare con precisione tutti i trasferimenti di dati personali verso organizzazioni statunitensi, distinguendo tra quelli che si basano esclusivamente sul DPF e quelli che utilizzano meccanismi alternativi o complementari. Identificare le dipendenze critiche e i single points of failure normativi.

Implementazione di meccanismi di trasferimento alternativi

Non attendere l’invalidazione del DPF per implementare le Standard Contractual Clauses (SCC) aggiornate dalla Commissione Europea. Le SCC, combinate con Transfer Impact Assessment (TIA) rigorosi, offrono una base giuridica alternativa, anche se non immune da contestazioni. La CNIL ha rafforzato le proprie raccomandazioni sui TIA il 31 gennaio 2025, enfatizzando la necessità di valutazioni dettagliate dei rischi specifici per paese.

Per i gruppi multinazionali con strutture stabili e flussi di dati intra-gruppo ricorrenti, le Binding Corporate Rules (BCR) rappresentano un meccanismo più robusto delle SCC, in quanto richiedono l’approvazione delle autorità garanti competenti e prevedono impegni vincolanti a livello di gruppo. L’investimento iniziale per l’adozione delle BCR è significativo – tipicamente da sei a diciotto mesi per l’approvazione – ma la resilienza normativa che offrono è superiore, soprattutto in scenari di invalidazione del DPF.

È tuttavia essenziale notare che anche le SCC e le BCR non sono impermeabili ai rischi derivanti da cambiamenti radicali nel quadro giuridico statunitense: se l’EO 14086 venisse revocato o la Corte Suprema eliminasse le protezioni delle agenzie indipendenti, le valutazioni d’impatto alla base di qualsiasi meccanismo di trasferimento verso gli USA ne risulterebbero compromesse.

Misure tecniche supplementari

Implementare misure tecniche che riducano l’esposizione dei dati alla giurisdizione statunitense: crittografia end-to-end con chiavi gestite in Europa, pseudonimizzazione prima del trasferimento, minimizzazione dei dati trasferiti, limitazione dei periodi di conservazione nei sistemi USA.

Valutazione dei fornitori cloud

Riesaminare i contratti con i fornitori di servizi cloud statunitensi alla luce dello scenario normativo attuale. Valutare l’offerta di provider europei o di soluzioni cloud sovrane, in particolare per i dati ad alta sensibilità. L’European Cloud Certification Scheme (EUCS), attualmente in fase di definizione, potrebbe diventare un riferimento importante.

Piano di contingenza documentato

Predisporre un piano di contingenza formale che preveda le azioni da intraprendere in caso di sospensione o revoca della decisione di adeguatezza del DPF. Questo piano dovrebbe includere timeline, responsabilità, comunicazioni agli stakeholder e procedure di migrazione dei dati.

Monitoraggio attivo degli sviluppi

Istituire un processo di monitoraggio continuo che copra: la sentenza della Corte Suprema in Trump v. Slaughter (attesa entro giugno 2026), l’appello di Latombe alla CGUE, eventuali nuove azioni di NOYB, la prossima revisione periodica del DPF da parte della Commissione Europea, lo stato del PCLOB e la riautorizzazione della Section 702.

La tabella dei rischi: scenari a confronto

Le valutazioni di probabilità nella tabella seguente si basano sull’analisi incrociata di tre fattori: la giurisprudenza consolidata (storico delle sentenze Schrems I e Schrems II, orientamento della CGUE); i segnali istituzionali attuali (posizioni espresse da DPA, EDPB, Parlamento Europeo, NOYB); e la dinamica giudiziaria statunitense in corso (orientamento della Corte Suprema in Trump v. Slaughter, come emergente dalle argomentazioni orali di dicembre 2025).

Impatti settoriali differenziati

Il rischio non è uniforme. Alcuni settori sono esposti in modo sproporzionato:

Sanità e life sciences: i trasferimenti di dati sanitari verso gli USA (trial clinici, piattaforme di telemedicina, health-tech) coinvolgono categorie particolari di dati ai sensi dell’articolo 9 del GDPR. L’invalidazione del DPF imporrebbe misure supplementari particolarmente gravose, potenzialmente incompatibili con le tempistiche della ricerca clinica
Servizi finanziari: le istituzioni soggette a DORA (Digital Operational Resilience Act) e alla vigilanza BCE/EBA devono già dimostrare la resilienza dei propri fornitori ICT. La dipendenza da provider cloud statunitensi, combinata con l’incertezza sul DPF, introduce un rischio regolamentare aggiuntivo che i CISO del settore finanziario devono quantificare nei propri assessment
Pubblica Amministrazione: le PA europee che utilizzano servizi cloud USA (e-mail, produttività, storage) sono particolarmente vulnerabili, poiché l’invalidazione del DPF le esporrebbe non solo a rischi sanzionatori ma anche a contestazioni da parte dei cittadini i cui dati vengono trasferiti. Il Coordinated Enforcement Framework dell’EDPB del 2022 aveva già evidenziato criticità nell’uso del cloud pubblico statunitense da parte delle PA europee
Settore tecnologico e SaaS: le aziende che utilizzano stack tecnologici interamente basati su provider USA (analytics, CRM, marketing automation, infrastruttura) presentano il profilo di rischio più elevato in caso di invalidazione, data la difficoltà di migrazione rapida verso alternative europee

La controtesi: perché il DPF potrebbe comunque reggere

Un’analisi onesta richiede anche di considerare gli argomenti a favore della tenuta del framework. Non sono trascurabili.

La Commissione Europea, pur riconoscendo le criticità, ha finora scelto di non sospendere il DPF. Il portavoce Lammert ha sottolineato che le norme alla base del framework restano applicabili indipendentemente dalla composizione del PCLOB. L’EO 14086 è formalmente in vigore. La DPRC esiste e dispone di giudici nominati. Lo staff del PCLOB continua a lavorare su progetti già avviati. Beth Williams, l’unico membro rimasto, ha dichiarato che l’agenzia prosegue la propria attività con lo staff completo.

Sul piano giudiziario, il reintegro di LeBlanc e Felten – seppure contestato in appello – indica che il sistema giudiziario statunitense ha ancora la capacità di correggere le interferenze dell’esecutivo. La sentenza della Corte Generale nella causa Latombe, per quanto limitata, ha confermato la validità del DPF sulla base del diritto vigente al momento della sua adozione. E il contesto geopolitico – la guerra commerciale transatlantica, la necessità di cooperazione su AI e semiconduttori – crea incentivi potenti per entrambe le parti a preservare i flussi di dati.

Tuttavia, questi argomenti presentano un limite comune: sono tutti fragili rispetto a un singolo evento avverso. Basta una sentenza della Corte Suprema che abolisca le protezioni for-cause removal, o la revoca dell’EO 14086, o una decisione della CGUE sull’appello Latombe, perché l’intero edificio crolli. La storia dei trasferimenti transatlantici di dati – Safe Harbor, Privacy Shield, e ora il DPF – insegna che la domanda non è se un framework cadrà, ma quando. E questa volta, i segnali di cedimento strutturale sono più numerosi e simultanei che mai.

La lezione strutturale: quando la privacy dipende dalla politica

C’è una lezione più profonda in questa vicenda, una lezione che trascende il caso specifico del PCLOB e del Data Privacy Framework. L’intero impianto dei trasferimenti transatlantici di dati è stato costruito su fondamenta intrinsecamente fragili: ordini esecutivi che possono essere revocati, agenzie indipendenti la cui indipendenza può essere smantellata, organi di supervisione il cui funzionamento dipende dalla volontà politica dell’amministrazione in carica.

Tre framework sono stati adottati e due sono già caduti. Il terzo è sotto assedio da più fronti contemporaneamente. Ogni volta, il ciclo si ripete: la Commissione Europea negozia un accordo, lo dichiara adeguato, le imprese vi si affidano, un cambiamento politico o una sentenza giudiziaria ne rivela l’inadeguatezza, e milioni di organizzazioni si trovano in una zona grigia normativa.

Come ha osservato Max Schrems, il problema non è europei contro americani, ma cittadini contro un sistema di ordini esecutivi instabili su cui sia le imprese europee sia quelle americane hanno costruito la legalità dei propri flussi di dati.

Per i professionisti della cybersecurity, la conclusione operativa è chiara: la resilienza normativa deve essere trattata con la stessa serietà della resilienza tecnica. Un piano di disaster recovery che non contempli lo scenario di invalidazione del PCLOB e del DPF è un piano incompleto.

Conclusione: il PCLOB come cartina tornasole della fiducia transatlantica

Il PCLOB paralizzato non è un incidente isolato. È il sintomo di una tensione strutturale tra il modello europeo di protezione dei dati – fondato su diritti fondamentali e organi indipendenti – e un sistema statunitense in cui la privacy è storicamente subordinata alla sicurezza nazionale e l’indipendenza delle agenzie è oggi apertamente contestata dal vertice dell’esecutivo.

La decisione della Corte Suprema in Trump v. Slaughter, l’appello di Latombe alla CGUE, il futuro del PCLOB, la riautorizzazione della Section 702: sono tutti fili di una stessa trama. E questa trama racconta una storia che i professionisti della sicurezza informatica non possono permettersi di ignorare.

Il Data Privacy Framework potrebbe reggere ancora per mesi, forse anni. Ma costruire strategie di compliance su una base giuridica la cui solidità è contestata da tribunali, parlamenti, autorità garanti e attivisti su entrambe le sponde dell’Atlantico non è prudenza. È azzardo.

Il momento di agire – mappare i flussi, diversificare i meccanismi di trasferimento, implementare misure tecniche supplementari, predisporre piani di contingenza – non è domani. È oggi. Perché quando il prossimo Schrems moment arriverà, e la storia insegna che arriverà, non ci sarà un periodo di grazia.