Quello che sta succedendo con il Data Privacy Framework (DPF) è l’ennesimo esempio di come l’Europa e gli Stati Uniti ballino una danza lenta e stonata sulla musica della protezione dei dati, con l’orchestra che continua a ripetere lo stesso spartito dal Safe Harbor al Privacy Shield fino ad oggi. Se la data del 3 settembre si confermerà come un punto di svolta, allora chi trasferisce dati europei oltreoceano farebbe bene a riservarsi una buona bottiglia di whisky: ne servirà parecchio.
La verità è che la battaglia legale aperta da Philippe Latombe non è solo una questione di privacy individuale o di qualche sottigliezza giuridica. È un colpo diretto al cuore della legittimità dell’adeguacy decision che ha permesso alle aziende di respirare un po’ dopo il caos dello Schrems II. L’ironia è che, mentre in Europa i giudici discutono di proporzionalità, indipendenza dei tribunali e diritto a un ricorso effettivo, negli Stati Uniti manca ancora una cornice legislativa generale sulla protezione dei dati, figuriamoci un framework sull’intelligenza artificiale. Se l’Europa ragiona con l’ossessione per l’articolo 7, 8 e 47 della Carta, Washington si muove a colpi di executive order, senza una vera legge federale che armonizzi il tutto.
Chi dice che il DPF sia stato un compromesso fragile non aveva bisogno di sfera di cristallo: lo si vedeva già nell’aprile della prima udienza. L’accusa principale di Latombe è che l’autorità di ricorso americana non sia un tribunale indipendente, ma un’emanazione diretta dell’esecutivo. In altre parole, il garante della tua privacy è la stessa entità che potrebbe violarla. Una logica da romanzo distopico più che da democrazia liberale. E poi c’è la questione dell’articolo 22 del GDPR: l’assenza di una legge americana che protegga realmente i cittadini da decisioni automatizzate e potenzialmente arbitrarie. È quasi comico che proprio ora, nel mezzo della corsa globale all’intelligenza artificiale generativa, il vuoto normativo americano su questo fronte rischi di far crollare il ponte giuridico appena costruito.
Il problema è che qui non si discute solo di garanzie tecniche o clausole contrattuali standard. Si parla di geopolitica digitale, di fiducia reciproca tra blocchi economici e di un mercato transatlantico da migliaia di miliardi. I sostenitori del DPF si aggrappano alla narrativa del “belt and braces”, ossia avere in parallelo BCRs, SCCs e misure supplementari come se fosse una sorta di assicurazione contro la prevedibile instabilità. Ma anche questo approccio ha i suoi limiti: quando la Corte di Giustizia dell’Unione Europea decide di sferrare un colpo, nessuna toppa regge davvero.
Il rischio concreto è il déjà vu. Safe Harbor annullato, Privacy Shield annullato, ora Data Privacy Framework sotto processo. Se cadrà, le aziende dovranno ripiegare in massa su SCCs e misure supplementari, ma la domanda è: per quanto tempo? Chi investe milioni nella trasformazione digitale non può costruire fondamenta su sabbie mobili normative. La prevedibilità è un valore strategico, e l’assenza di una legge americana organica sulla protezione dei dati e sull’uso dell’intelligenza artificiale diventa un tallone d’Achille competitivo, non solo legale.
La narrazione che si ripete ciclicamente ha del paradossale. L’Europa rivendica di essere il faro etico della privacy globale, ma così facendo mette le aziende nella condizione di dover operare in un clima costante di incertezza. Gli Stati Uniti, invece, si rifugiano nell’approccio pragmatico: executive orders rapidi, ma senza una struttura solida. E intanto i flussi di dati non si fermano, perché il capitalismo digitale non aspetta la giurisprudenza. Le aziende innovano, i modelli di AI si addestrano, i marketplace globali macinano transazioni ogni secondo. La legge insegue, ansimando.
Se il DPF crolla, i titoli dei giornali parleranno di “nuovo shock normativo” e di “corsa alla compliance”, ma la verità è che siamo già dentro un ciclo infinito, una specie di “Groundhog Day” regolatorio. Ogni volta si riparte dallo stesso punto: tribunali europei che giudicano insufficienti le garanzie americane, aziende nel panico, governi che annunciano nuovi accordi “storici” che storici non sono. La differenza è che ora nel gioco entra anche l’IA generativa, e il vuoto legislativo americano sul tema non sarà più un dettaglio tecnico ma un elemento centrale dell’attacco giuridico.
Per le imprese, la mossa intelligente è non affidarsi a una sola àncora. Usare il DPF come una delle opzioni e non come unica. Integrare clausole standard, binding corporate rules e soprattutto investire in controlli interni veri, non in facili check-the-box. La resilienza normativa diventa parte della strategia digitale, non un corollario. Chi non lo capisce è destinato a fare la fine del turista che si affida solo al meteo di Google per un viaggio in Islanda: prima o poi si bagnerà fino all’osso.
La scena del 3 settembre sarà quindi più di una disputa legale. Sarà un termometro politico, una cartina di tornasole sulla capacità dell’Europa di reggere la sua narrativa sovranista digitale e sugli Stati Uniti di mostrare di avere finalmente capito che i dati sono potere, e il potere richiede leggi chiare. Nel frattempo, noi continuiamo a girare sul carosello, con la speranza che a un certo punto qualcuno decida di scrivere regole stabili. Perché, al netto di tutta la retorica, nessuna azienda può permettersi di costruire il futuro dell’intelligenza artificiale su un terreno che si sgretola a ogni sentenza.