Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
Il 3 settembre 2025, il Tribunale dell'Unione europea (Tribunale) ha emesso un'importante sentenza sulla protezione transatlantica dei dati nella causa T-553/23 (Latombe/Commissione). Nella sentenza, il Tribunale ha respinto il ricorso contro la Commissione. Decisione di appropriatezza del 10 luglio 2023, confermando così la validità del quadro normativo UE-USA sulla privacy. Per le aziende dell'UE, questo significa certezza del diritto per il momento per quanto riguarda il Trasmissione di dati personali verso gli Stati Uniti. Tuttavia, le aziende sono ancora obbligate a gestire attivamente il trasferimento dei dati verso gli Stati Uniti.
Il quadro sulla privacy dei dati UE-USA messo alla prova
La sentenza della Corte di giustizia europea si basa su una lunga storia legale. In seguito alle sentenze della Corte di giustizia europea "Schrems I" (2015) e "Schrems II" (2020), i precedenti quadri normativi sulla protezione dei dati "Porto sicuro" e "Scudo per la privacy" dichiarato non valido.
Perché il Trasmissione Il trasferimento di dati personali dall'UE a Paesi terzi è soggetto a norme rigorose, sancite dall'articolo 8 (1) della Carta dei diritti fondamentali dell'UE e dall'articolo 16 (1) del TFUE. Su questa base, il GDPR (art. 45 e segg.) stabilisce che i trasferimenti di dati sono consentiti senza ulteriore autorizzazione se la Commissione stabilisce che il paese terzo in questione ha un livello adeguato di protezione dei dati.
Con la Decisione di esecuzione (UE) 2023/1795, la Commissione ha affermato tale livello di protezione per gli USA. In particolare, le riforme introdotte dal decreto presidenziale 14086 e le misure di accompagnamento adottate dal procuratore generale degli Stati Uniti sono state decisive a questo proposito. Queste misure rafforzano la protezione dei dati nel settore dei servizi di intelligence e istituiscono un nuovo organo di controllo giudiziario: il Tribunale per la revisione della protezione dei dati (DPRC). Questo organo di controllo indipendente ha lo scopo di garantire un'efficace protezione giuridica alle persone interessate dall'UE.
Suggerimento: Come Ailance DSFA vi guida nella valutazione dell'impatto sulla protezione dei dati in modo strutturato e conforme alla legge
L'attore ricorre contro la decisione di adeguatezza
Il querelante, di nazionalità francese Philippe Latombeha chiesto l'annullamento della decisione. Il ricorso si basa essenzialmente su due argomenti:
- Mancanza di indipendenza del DPRCHa sostenuto che il nuovo tribunale per la protezione dei dati non è indipendente, ma dipende dall'esecutivo.
- Raccolta illegale di dati da parte delle agenzie di intelligence statunitensiHa criticato la prassi delle autorità statunitensi, Dati personali senza autorizzazione preventiva non è regolamentato con sufficiente precisione ed è pertanto illegale.
L'EGC respinge le obiezioni al quadro sulla privacy dei dati UE-USA
Sull'indipendenza della DPRC
Il CEG ha respinto questa obiezione. La nomina dei giudici è legata a garanzie e il loro licenziamento è possibile solo per motivi validi. Inoltre, l'influenza dell'esecutivo è limitata da garanzie procedurali. L'indipendenza istituzionale è stata quindi sufficientemente garantita.
Sulla raccolta dei dati personali
Il tribunale ha respinto anche il secondo motivo. Ha chiarito che la sentenza Schrems II non significa che ogni forma di raccolta collettiva richieda necessariamente l'autorizzazione preventiva di un'autorità indipendente. Il fattore decisivo è piuttosto la possibilità di un successivo controllo giudiziario. Questo è ora garantito negli Stati Uniti dal DPRC, per cui esiste un livello di protezione sostanzialmente equivalente a quello europeo.
Primo test dopo Schrems I e II
Con la sua decisione, il Tribunale ha riconosciuto, per la prima volta dopo le due sentenze Schrems, un'associazione transatlantica tra le parti. Decisione di appropriatezza confermato. Allo stesso tempo, il tribunale ha confermato che gli Stati Uniti hanno un sistema di controllo funzionante, il che dovrebbe dissipare le precedenti preoccupazioni.
Tuttavia, va criticato il fatto che la valutazione dipende fortemente dall'efficacia pratica del DPRC. Se dovesse emergere che i meccanismi di controllo non soddisfano i requisiti nella pratica, la CGUE potrebbe intervenire nuovamente per correggere la situazione tramite un ricorso.
La sentenza della Corte di giustizia europea ha un grande significato pratico: conferma che gli Stati Uniti hanno attualmente un rapporto giuridico con l'UE. GDPR livello di protezione dei dati sostanzialmente equivalente. La Commissione europea rimane comunque obbligata a monitorare regolarmente l'effettiva attuazione del quadro normativo e a controllare il livello di protezione dei dati. Decisione di appropriatezza per gli Stati Uniti, se necessario.
La sentenza può ancora essere impugnata presso la Corte di giustizia europea.
Suggerimento: Controllare tutti i progetti di IA in modo centralizzato, a prova di audit e conforme alla legge con Ailance AI Governance
Il trasferimento dei dati negli Stati Uniti deve comunque essere gestito: Cosa devono sapere le aziende
Anche se il Decisione di appropriatezza Gli Stati Uniti creano certezza giuridica, le aziende sono ancora obbligate a gestire attivamente il trasferimento dei dati verso gli USA. La decisione rilascia Persone responsabili dagli obblighi di rendicontazione e di documentazione in conformità con la normativa vigente. GDPR.
Le aziende devono prestare particolare attenzione ai seguenti punti:
- Adempiere agli obblighi di trasparenza: Parti interessate devono essere informati in modo chiaro e comprensibile quando i loro dati vengono trasferiti negli Stati Uniti.
- Minimizzazione dei dati controlloDevono essere trasmessi solo i dati necessari per il rispettivo scopo.
- Assicurare i contrattiAnche con un Decisione di appropriatezza è consigliabile, Clausole contrattuali standard e misure di protezione aggiuntive, soprattutto quando i dati vengono trasmessi a subappaltatori.
- Controllo dei destinatariLe aziende dovrebbero verificare regolarmente se i loro fornitori di servizi statunitensi sono effettivamente certificati ai sensi del Quadro sulla privacy dei dati UE-USA.
- Implementare la gestione del rischioI processi interni e le misure tecniche devono garantire il rispetto dei requisiti di protezione dei dati anche per i flussi di dati transatlantici.
Ciò significa che il trasferimento di dati negli Stati Uniti rimane giuridicamente più semplice, ma richiede comunque una gestione attiva della conformità e del rischio.
Fonte: Sentenza della Corte di giustizia europea nella causa T-553/23 (Latombe/Commissione)
Rendere il trasferimento dei dati conforme alla legge con Ailance
L'adempimento degli obblighi di protezione dei dati quando si trasferiscono i dati negli Stati Uniti può essere complesso. Soprattutto quando le aziende lavorano con molti fornitori di servizi diversi. Con Ailanceè possibile avere una visione d'insieme in ogni momento:
- Monitoraggio automatico dei trasferimenti di dati
- Documentazione di tutte le misure di protezione dei dati
- Valutazione dei rischi e raccomandazioni di intervento in tempo reale
- Integrazione perfetta nei processi esistenti
Scoprite di più su Ailance e gestite il trasferimento dei dati in modo conforme alla legge!
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French