La recente decisione della Corte Suprema degli Stati Uniti nel caso Trump v. Slaughter potrebbe avere effetti ben più ampi della sola ridefinizione dei rapporti tra Presidente e autorità amministrative indipendenti. La pronuncia, infatti, ha immediatamente acceso il dibattito anche in Europa, dove Max Schrems e l’associazione noyb hanno sostenuto che essa incida direttamente sulla tenuta del EU-US Data Privacy Framework (DPF), il meccanismo che dal 2023 consente il trasferimento di dati personali dall’Unione europea agli Stati Uniti sulla base della decisione di adeguatezza adottata dalla Commissione europea.
Sebbene sia prematuro parlare di una nuova invalidazione del quadro normativo e un ipotetico “Schrems III”, la questione merita attenzione, soprattutto per le imprese che fanno affidamento quotidianamente sul Data Privacy Framework per i propri flussi transatlantici di dati.
Perché questa sentenza interessa il GDPR?
Il collegamento tra la pronuncia americana e il diritto europeo non è immediato, ma è giuridicamente significativo.
La sentenza della Corte Suprema ha infatti superato il precedente Humphrey’s Executor v. United States, riconoscendo al Presidente il potere di rimuovere liberamente i commissari della Federal Trade Commission (FTC), fino ad oggi considerata una delle principali autorità amministrative indipendenti degli Stati Uniti.
La FTC riveste un ruolo centrale anche nel Data Privacy Framework. La decisione di adeguatezza della Commissione europea individua infatti tale autorità come uno degli organismi chiamati a garantire l’effettività degli obblighi assunti dalle organizzazioni statunitensi che aderiscono al Framework, nonché l’applicazione delle misure di enforcement nei confronti delle imprese che violano gli impegni assunti.
Proprio su questo punto si concentra la lettera inviata da Max Schrems alla Commissione europea.
La posizione di Max Schrems: è venuto meno uno dei presupposti del Data Privacy Framework?
Secondo noyb, la pronuncia della Corte Suprema avrebbe eliminato uno dei presupposti fondamentali su cui si fonda la decisione di adeguatezza: l’indipendenza della Federal Trade Commission. Se la FTC è oggi pienamente soggetta al potere di revoca del Presidente, essa non potrebbe più essere qualificata come autorità indipendente nel significato richiesto dal diritto dell’Unione europea.
L’argomento richiama direttamente l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16 del TFUE, che attribuiscono particolare rilievo all’esistenza di autorità di controllo indipendenti nella tutela dei dati personali. Secondo Schrems, qualora venga meno tale requisito, verrebbe meno anche una delle condizioni che avevano consentito alla Commissione di concludere che gli Stati Uniti assicurano un livello di protezione sostanzialmente equivalente a quello garantito nell’Unione.
La richiesta rivolta alla Commissione non è quella di una revoca immediata del Data Privacy Framework, bensì di avviare una rivalutazione della decisione di adeguatezza e, ove necessario, procedere a un ritiro ordinato del provvedimento.
Il Data Privacy Framework è davvero destinato a cadere?
Anzitutto, la sentenza della Corte Suprema riguarda esclusivamente il rapporto costituzionale tra Presidente e commissari della FTC. Essa non modifica né i poteri attribuiti all’autorità né il quadro normativo che disciplina le sue funzioni di enforcement. Rimane quindi aperta la questione se una diversa disciplina della revocabilità dei commissari sia sufficiente, di per sé, a compromettere il livello di tutela richiesto dall’articolo 45 del GDPR.
Occorre inoltre ricordare che la decisione di adeguatezza non si fonda esclusivamente sulla FTC. Il Data Privacy Framework è il risultato di un sistema articolato che comprende gli impegni assunti dall’Amministrazione statunitense mediante Executive Order 14086, i nuovi meccanismi di ricorso per gli interessati europei, le limitazioni alle attività di intelligence e il sistema di certificazione delle imprese aderenti. La valutazione di adeguatezza è quindi complessiva e tiene conto dell’ordinamento statunitense nel suo insieme.
Ciò non significa, tuttavia, che la questione possa essere sottovalutata. L’esperienza dei precedenti Schrems I e Schrems II dimostra come gli equilibri dei trasferimenti internazionali possano cambiare rapidamente quando emergono dubbi circa l’effettiva equivalenza delle garanzie offerte dal Paese terzo.
Cosa significa per le imprese?
Per le organizzazioni europee il Data Privacy Framework continua ad essere pienamente efficace e costituisce, allo stato, una valida base giuridica per i trasferimenti verso gli Stati Uniti. Tuttavia, è opportuno monitorare con attenzione l’evoluzione del contesto normativo e giurisprudenziale, predisponendo strategie di compliance che non si fondino esclusivamente sulla decisione di adeguatezza, ma che mantengano disponibili anche strumenti alternativi, quali le Clausole Contrattuali Standard e le valutazioni supplementari richieste dalla giurisprudenza europea.
Il dibattito aperto dalla sentenza Trump v. Slaughter conferma ancora una volta come la governance dei dati personali sia ormai profondamente influenzata non solo dal diritto della protezione dei dati, ma anche dalle evoluzioni del diritto costituzionale, del diritto amministrativo e della geopolitica digitale.
Monitorare gli sviluppi, valutare periodicamente le basi giuridiche dei trasferimenti e adottare un modello di compliance dinamico non significa soltanto rispettare il GDPR, ma anche ridurre il rischio operativo e garantire continuità ai processi aziendali in un contesto normativo sempre più complesso e in continua evoluzione.







