Il Data Privacy Framework (DPF) si basa, da un lato, su una decisione di adeguatezza (UE 2023/1795) adottata dalla Commissione europea ai sensi dell'articolo 45 del RGPD e, dall'altro, su un decreto presidenziale statunitense (Executive Order 14086).
Le aziende americane devono autocertificarsi presso il Dipartimento del Commercio (Department of Commerce) e impegnarsi a rispettare una serie di principi di protezione dei dati simili a quelli del GDPR.
Dal punto di vista politico, il DPF rappresenta un compromesso tra interessi economici e sovranità digitale. Tuttavia, queste garanzie statunitensi si basano su decreti presidenziali, il che le rende facilmente revocabili con un cambio di presidente americano.
Risponde alle critiche formulate dalla Corte di giustizia dell'Unione europea nella sentenza Schrems II rafforzando il quadro normativo che disciplina l'accesso delle autorità statunitensi ai dati personali e introducendo un diritto di ricorso effettivo per i cittadini europei.
| I PILLARI | CHIARIMENTO |
|---|---|
| Notifica | L'azienda deve informare le persone interessate in merito ai dati raccolti, alle finalità del trattamento, alle modalità di contatto dell'organizzazione e ai loro diritti. |
| Scelta | L'individuo deve poter opporsi a determinati trattamenti o alla trasmissione dei propri dati a terzi, in particolare per finalità diverse. |
| Trasferimento successivo | I dati possono essere trasmessi a terzi solo se questi ultimi offrono un livello di protezione equivalente e contrattualmente regolamentato. |
| Sicurezza | L'azienda deve adottare misure di sicurezza adeguate per proteggere i dati personali da accessi o utilizzi non autorizzati. |
| Integrità dei dati e limitazione delle finalità | I dati devono essere accurati, pertinenti e utilizzati solo per gli scopi per cui sono stati raccolti, salvo che per legittime esigenze di archiviazione, ricerca o interesse pubblico. |
| Principio di accesso | Le persone devono poter accedere ai propri dati e correggerli, modificarli o cancellarli se sono inesatti o trattati in violazione dei principi. |
| Principio di ricorso, applicazione e responsabilità | L'azienda deve offrire un meccanismo di ricorso accessibile e sottoporsi a controlli e sanzioni in caso di mancato rispetto dei principi. |
In pratica, il DPF facilita il trasferimento dei dati personali verso gli Stati Uniti, offrendo stabilità giuridica agli attori economici. Tuttavia, non impedisce l'applicazione del Cloud Act, che può imporre l'accesso ai dati ai fornitori soggetti alla legislazione statunitense, anche quando questi sono ospitati in Europa. Questa situazione sottolinea l'importanza di ricorrere a soluzioni cloud sovrane, interamente ospitate nell'Unione europea.
Nel suo ricorso del 31 ottobre 2025 dinanzi alla CGUE, Philippe Latombe contesta la sentenza del Tribunale del 3 settembre 2025 sollevando quattro motivi principali: egli contesta al Tribunale errori di diritto e di valutazione in merito all'indipendenza e alla legittimità della Data Protection Review Court (DPRC), la raccolta indiscriminata di dati senza previa autorizzazione in conformità con Schrems II, il rigetto delle sentenze del 2020 e del 2024 sulla conservazione generalizzata dei dati e il potere del presidente americano di aggiornare segretamente gli obiettivi di raccolta ai sensi dell'Executive Order 14086.