1

Con il suo ricorso fondato sull’articolo 263 TFUE, il sig. Philippe Latombe, ricorrente, chiede in sostanza, l’annullamento della decisione di esecuzione (UE) 2023/1795 della Commissione, del 10 luglio 2023 a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sul livello di protezione adeguato dei dati personali nell’ambito del quadro UE-USA (GU 2023, L 231, pag. 118; in prosieguo: la «decisione impugnata»).

2

Il ricorrente è un cittadino francese che afferma di utilizzare diverse piattaforme informatiche che raccolgono i suoi dati personali e li trasferiscono negli Stati Uniti.

3

Per quanto riguarda il trasferimento di dati personali dall’Unione europea verso gli Stati Uniti, in un primo momento, con la sentenza del 6 ottobre 2015, Schrems (C‑362/14; in prosieguo: la «sentenza Schrems I, EU:C:2015:650), la Corte ha dichiarato invalida la decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (GU 2000, L 215, pag. 7).

4

In un secondo momento, con la sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18; in prosieguo: la «sentenza Schrems II, EU:C:2020:559), la Corte ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (GU 2016, L 207, pag. 1; in prosieguo: la «decisione sull’adeguatezza dello scudo per la privacy»).

5

Nelle sentenze Schrems I e Schrems II, la Corte, investita di un rinvio pregiudiziale per accertamento di validità, ha ritenuto in particolare che, contrariamente alla valutazione della Commissione europea risultante dalle decisioni sull’adeguatezza menzionate ai precedenti punti 3 e 4, il sistema dell’approdo sicuro e il sistema dello scudo per la privacy (in prosieguo: lo «scudo per la privacy»), che disciplinano il trasferimento di dati personali, non garantissero un livello di tutela dei diritti e delle libertà fondamentali sostanzialmente equivalente a quello garantito dal diritto dell’Unione.

6

A seguito della sentenza Schrems II, la Commissione ha avviato colloqui con il governo degli Stati Uniti al fine di adottare eventualmente una nuova decisione di adeguatezza che rispettasse i requisiti di cui all’articolo 45, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, rettifica in GU 2018, L 127, pag. 2; in prosieguo: il «RGPD»), come interpretati dalla Corte.

7

Così, il 7 ottobre 2022, gli Stati Uniti d’America hanno adottato l’Executive Order 14086 (decreto presidenziale n. 14086; in prosieguo: l’«E.O. 14086»), il quale rafforza le misure di tutela della vita privata che disciplinano le attività di intelligence dei segnali svolte dagli enti di intelligence con sede negli Stati Uniti. Tale decreto è stato integrato dall’Attorney General Order n. 5517-2022 (regolamento del procuratore generale n. 5517-2022; in prosieguo: il «regolamento AG»), che ha aggiunto la parte 201 al titolo 28 del Code of Federal Regulations (CFR, codice dei regolamenti federali), il quale disciplina l’istituzione e il funzionamento della Data Protection Review Court (Corte incaricata del controllo della protezione dei dati; in prosieguo: la «DPRC»).

8

Il 10 luglio 2023, dopo aver esaminato tali sviluppi normativi negli Stati Uniti, la Commissione ha adottato, sulla base dell’articolo 45, paragrafo 3, del RGPD, la decisione impugnata, che istituisce il nuovo quadro transatlantico di flussi di dati personali tra l’Unione e gli Stati Uniti. L’articolo 1 di detta decisione dichiara che gli Stati Uniti d’America garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’Unione alle organizzazioni stabilite in tale paese e figuranti nell’elenco degli aderenti al «quadro per la protezione dei dati personali UE – Stati Uniti» (in prosieguo: il «DPF»), tenuto e pubblicato dal loro Dipartimento del Commercio (in prosieguo: le «organizzazioni del DPF»).

9

Il ricorrente chiede che il Tribunale voglia:

10

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, chiede che il Tribunale voglia:

11

Con atto separato, depositato presso la cancelleria del Tribunale il 1o dicembre 2023, la Commissione ha sollevato un’eccezione di irricevibilità a titolo dell’articolo 130 del regolamento di procedura del Tribunale.

12

La Commissione fa valere che il ricorso è irricevibile in quanto il ricorrente non ha legittimazione ad agire, non ha interesse ad agire e la parte della decisione impugnata di cui chiede l’annullamento è indissociabile dal resto di tale decisione.

13

Il ricorrente contesta l’argomentazione della Commissione e sostiene che il suo ricorso è ricevibile.

14

Occorre ricordare che il giudice dell’Unione ha il diritto di valutare, a seconda delle circostanze di ciascun caso di specie, se una buona amministrazione della giustizia giustifichi il rigetto nel merito di un ricorso, senza statuire preliminarmente sulla sua ricevibilità (v., in tal senso, sentenza del 26 febbraio 2002, Consiglio/Boehringer,C‑23/00 P, EU:C:2002:118, punti 51 e 52).

15

Pertanto, tenuto conto delle circostanze della presente causa, il Tribunale ritiene che, poiché il ricorso è, in ogni caso e per i motivi esposti ai punti da 16 a 204 infra, privo di fondamento, occorra, ai fini di una buona amministrazione della giustizia, esaminarne la fondatezza, senza statuire preliminarmente sulla sua ricevibilità (v., in tal senso, sentenze del 10 ottobre 2014, Marchiani/Parlamento, T‑479/13, non pubblicata, EU:T:2014:866, punto 23, e del 20 dicembre 2023, Naturstrom/Commissione, T‑60/21, non pubblicata, EU:T:2023:839, punto 74).

16

A sostegno del ricorso, il ricorrente deduce cinque motivi, vertenti:

17

All’udienza, il ricorrente ha rinunciato al suo primo motivo, vertente sulla violazione degli articoli 3 e 4 del regolamento n. 1/1958. Occorre quindi esaminare unicamente i motivi dal secondo al quinto.

18

In primo luogo, va osservato che l’articolo 45, paragrafo 1, del RGPD prevede che un trasferimento di dati personali verso un paese terzo possa essere autorizzato mediante una decisione della Commissione secondo la quale tale paese terzo, un territorio o uno o più settori specifici all’interno del medesimo garantiscono un livello di protezione adeguato. Tale disposizione è inclusa nel capo V di detto regolamento che, come indicato dalla Corte, mira globalmente a garantire la continuità dell’elevato livello di protezione dei dati personali, che è garantito dal diritto dell’Unione in forza di tale regolamento, quando questi ultimi sono trasferiti verso un paese terzo (v., in tal senso, sentenza Schrems II, punto 93).

19

A tal riguardo, la Corte ha precisato che, senza esigere che il paese terzo interessato garantisca un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione, l’espressione «livello di protezione adeguato», di cui all’articolo 45, paragrafo 1, del RGPD, doveva essere intesa nel senso che richiede che tale paese terzo garantisca effettivamente, in considerazione della sua legislazione interna o dei suoi impegni internazionali, un livello di tutela delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza di detto regolamento, letto alla luce della Carta dei diritti fondamentali (v., in tal senso, sentenza Schrems II, punti 94 e 162).

20

La Corte ha altresì dichiarato che, anche se i mezzi utilizzati dal paese terzo per garantire un livello adeguato di protezione dei dati personali potevano essere diversi da quelli utilizzati all’interno dell’Unione al fine di garantire il rispetto dei requisiti derivanti dalla direttiva 95/46, letta alla luce della Carta dei diritti fondamentali, tali mezzi dovevano tuttavia rivelarsi, in pratica, effettivi al fine di assicurare una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione (sentenza Schrems I, punto 74).

21

Inoltre, la Corte ha considerato che, tenuto conto, da un lato, del ruolo importante svolto dalla protezione dei dati personali alla luce del diritto fondamentale al rispetto della vita privata e, dall’altro, del numero significativo di persone i cui diritti fondamentali possono essere violati in caso di trasferimento di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato, il potere discrezionale della Commissione in ordine all’adeguatezza del livello di protezione assicurato da un paese terzo risultava ridotto, cosicché era necessario procedere ad un controllo stretto della legittimità di una decisione di adeguatezza (sentenza Schrems I, punto 78).

22

In secondo luogo, occorre ricordare che, per giurisprudenza costante, la legittimità di un atto dell’Unione deve essere valutata in base alla situazione di fatto e di diritto esistente al momento in cui l’atto è stato adottato, cosicché atti successivi all’adozione di una decisione non possono inficiare la validità di quest’ultima (v. sentenze del 17 ottobre 2019, Alcogroup e Alcodis/Commissione, C‑403/18 P, EU:C:2019:870, punto 45 e giurisprudenza citata, e del 28 gennaio 2021, Qualcomm e Qualcomm Europe/Commissione, C‑466/19 P, EU:C:2021:76, punto 82 e giurisprudenza citata). Pertanto, nel caso di specie, le valutazioni effettuate dalla Commissione riguardo alla legittimità della decisione impugnata devono essere esaminate alla luce dei soli elementi di cui essa disponeva nel momento in cui le ha effettuate.

23

È in tale contesto che occorre analizzare i motivi dedotti dal ricorrente esaminando anzitutto il terzo motivo, poi il secondo motivo, in seguito il quarto motivo e infine il quinto motivo.

24

Con il suo terzo motivo, il ricorrente sostiene che la Commissione ha violato l’articolo 47, secondo comma, della Carta dei diritti fondamentali e l’articolo 45, paragrafo 2, del RGPD, in quanto, nella decisione impugnata, essa ha ritenuto che la DPRC offrisse un livello di protezione adeguato per quanto riguardava il diritto dei cittadini dell’Unione a un giudice indipendente ed imparziale, precostituito per legge.

25

In via preliminare, occorre rilevare che i termini dell’articolo 47, secondo comma, della Carta dei diritti fondamentali sono i seguenti:

«Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare».

26

Secondo le spiegazioni relative alla Carta dei diritti fondamentali (GU 2007, C 303, pag. 17), l’articolo 47, secondo comma, di detta Carta corrisponde all’articolo 6, paragrafo 1, della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»). Tale disposizione è formulata nei termini seguenti:

«Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un tribunale indipendente e imparziale, costituito per legge, il quale deciderà sia delle controversie sui suoi diritti e doveri di carattere civile, sia della fondatezza di ogni accusa penale che le venga rivolta».

27

A tal riguardo, occorre ricordare che, secondo la giurisprudenza, poiché la CEDU non costituisce, fintantoché l’Unione non vi abbia aderito, un atto giuridico formalmente integrato nell’ordinamento giuridico dell’Unione, l’esame della validità di un atto di diritto derivato deve essere effettuato alla luce unicamente dei diritti fondamentali garantiti dalla Carta dei diritti fondamentali (sentenza del 3 settembre 2015, Inuit Tapiriit Kanatami e a./Commissione, C‑398/13 P, EU:C:2015:535, punti 45 e 46).

28

Tuttavia, la giurisprudenza riconosce, da un lato, che ai sensi dell’articolo 6, paragrafo 3, TUE, i diritti fondamentali riconosciuti dalla CEDU fanno parte del diritto dell’Unione in quanto principi generali e, dall’altro, che risulta dall’articolo 52, paragrafo 3, della Carta dei diritti fondamentali che, laddove essa contenga diritti corrispondenti a quelli garantiti dalla CEDU, il significato e la portata degli stessi sono uguali a quelli conferiti dalla CEDU (v. sentenza del 31 maggio 2018, Korwin-Mikke/Parlamento,T‑770/16, EU:T:2018:320, punto 38 e giurisprudenza citata).

29

Di conseguenza, secondo la giurisprudenza, per motivi di coerenza e senza che ciò pregiudichi l’autonomia del diritto dell’Unione e della Corte di giustizia dell’Unione europea, anche i diritti contenuti nella Carta dei diritti fondamentali che corrispondono a quelli garantiti dalla CEDU devono essere interpretati alla luce della giurisprudenza della Corte europea dei diritti dell’uomo (in prosieguo: la «Corte EDU») [v., in tal senso, sentenze del 9 novembre 2023, Staatssecretaris van Justitie en Veiligheid (Nozione di danni gravi), C‑125/22, EU:C:2023:843, punto 59, e del 31 maggio 2018, Korwin-Mikke/Parlamento,T‑770/16, EU:T:2018:320, punto 38].

30

Ne consegue, secondo la giurisprudenza, che la Corte deve garantire, ai sensi dell’articolo 52, paragrafo 3, della Carta dei diritti fondamentali, che l’interpretazione da essa fornita dell’articolo 47, secondo comma, di detta Carta assicuri un livello di protezione che non violi quello garantito dall’articolo 6, paragrafo 1, della CEDU, come interpretato dalla Corte EDU [v. sentenza del 6 ottobre 2021, W.Ż. (Sezione di controllo straordinario e delle questioni pubbliche della Corte suprema – Nomina), C‑487/19, EU:C:2021:798, punto 123 e giurisprudenza citata).

31

Occorre altresì osservare che l’articolo 45, paragrafo 2, del RGPD prevede che, nel valutare l’adeguatezza del livello di protezione offerto da un paese terzo, la Commissione prende in considerazione in particolare i seguenti elementi:

32

È alla luce degli elementi summenzionati che occorre esaminare le due censure sollevate dal ricorrente a sostegno del presente motivo.

33

Con la prima censura del suo terzo motivo, il ricorrente sostiene che la DPRC non è un giudice indipendente ed imparziale ai sensi dell’articolo 47, secondo comma, della Carta dei diritti fondamentali, bensì un organo paragiurisdizionale dipendente dal potere esecutivo.

34

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

35

In via preliminare, occorre rilevare che, secondo la giurisprudenza, il requisito dell’indipendenza degli organi giurisdizionali, inerente al compito di giudicare, rientra nel contenuto essenziale del diritto a una tutela giurisdizionale effettiva e del diritto fondamentale a un equo processo, che riveste importanza cardinale quale garanzia della tutela dell’insieme dei diritti spettanti ai singoli in forza del diritto dell’Unione e della salvaguardia dei valori comuni agli Stati membri enunciati all’articolo 2 TUE, in particolare del valore dello Stato di diritto [sentenza del 15 luglio 2021, Commissione/Polonia (Regime disciplinare dei giudici),C‑791/19, EU:C:2021:596, punto 58 e giurisprudenza citata]. Conformemente al principio di separazione dei poteri che caratterizza il funzionamento di uno Stato di diritto, l’indipendenza dei giudici dai poteri legislativo ed esecutivo deve essere garantita (v. sentenza del 18 maggio 2021, AsociaţiaForumul Judecătorilor din România e a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 e C‑397/19, EU:C:2021:393, punto 195 e giurisprudenza citata).

36

La giurisprudenza precisa che il requisito dell’indipendenza degli organi giurisdizionali presenta due aspetti. Il primo aspetto, di carattere esterno, richiede che l’organo interessato eserciti le sue funzioni in piena autonomia, senza essere soggetto ad alcun vincolo gerarchico o di subordinazione nei confronti di alcuno e senza ricevere ordini o istruzioni da alcuna fonte, con la conseguenza di essere quindi tutelato dagli interventi o dalle pressioni esterni idonei a compromettere l’indipendenza di giudizio dei suoi membri e a influenzare le loro decisioni. Il secondo aspetto, di carattere interno, si ricollega alla nozione di «imparzialità» e concerne l’equidistanza dalle parti della controversia e dai loro rispettivi interessi riguardo all’oggetto di quest’ultima. Questo aspetto impone il rispetto dell’obiettività e l’assenza di qualsivoglia interesse nella soluzione da dare alla controversia all’infuori della stretta applicazione della norma giuridica (v. sentenza del 21 dicembre 2021, Euro Box Promotion e a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 e C‑840/19, EU:C:2021:1034, punto 224 e giurisprudenza citata).

37

Le garanzie di indipendenza ed imparzialità che il diritto dell’Unione richiede presuppongono l’esistenza di norme relative, in particolare, alla composizione dell’organo, alla nomina, alla durata delle funzioni nonché alle cause di astensione, ricusazione e revoca dei suoi membri, che consentano di fugare qualsiasi legittimo dubbio che gli individui possano nutrire in merito all’impermeabilità di detto organo nei confronti di elementi esterni e alla sua neutralità rispetto agli interessi contrapposti [v. sentenza del 15 luglio 2021, Commissione/Polonia (Regime disciplinare dei giudici),C‑791/19, EU:C:2021:596, punto 59 e giurisprudenza citata].

38

È in tale contesto che occorre esaminare i tre argomenti sollevati dal ricorrente a sostegno della presente censura.

39

Con il suo primo argomento, il ricorrente fa valere, in sostanza, che la DPRC non è un giudice indipendente ed imparziale, dal momento che il suo compito consiste nel riesaminare le decisioni del Civil Liberties Protection Officer of the Director of National Intelligence (Responsabile per la tutela delle libertà civili del direttore dell’intelligence nazionale; in prosieguo: il «CLPO», Stati Uniti), che è collegato all’ufficio del direttore dell’intelligence nazionale degli Stati Uniti (in prosieguo: il «direttore dell’intelligence nazionale»).

40

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

41

A fini di chiarezza, occorre precisare che il primo argomento della prima censura del terzo motivo deve essere interpretato nel senso che, in sostanza, secondo il ricorrente, da un lato, in occasione del trattamento di un reclamo riguardante i dati personali depositato da un interessato nell’Unione che intenda far valere una violazione del diritto degli Stati Uniti a disciplina delle attività di intelligence dei segnali lesiva dei suoi interessi in materia di tutela della vita privata e delle libertà civili (in prosieguo: il «reclamo riguardante i dati personali»), il CLPO non è accompagnato da garanzie sufficienti ad assicurarne l’indipendenza, in quanto è collegato all’ufficio del direttore dell’intelligence nazionale e, dall’altra, la DPRC non è un giudice indipendente ed imparziale a causa delle garanzie insufficienti applicabili al CLPO.

42

Anzitutto, occorre rilevare che l’esame delle garanzie relative all’indipendenza del CLPO è irrilevante per valutare se la DPRC costituisca un giudice indipendente ed imparziale. Infatti, la DPRC è stata istituita quale organo di controllo indipendente del CLPO al quale, come risulta dal considerando 184 della decisione impugnata, la persona che ha presentato il reclamo riguardante i dati personali nonché ciascun servizio della comunità dell’intelligence può chiedere il riesame della decisione del CLPO e diverse garanzie sono state previste nell’E.O. 14086 affinché le decisioni del CLPO possano essere riesaminate e, se del caso, riformate in modo indipendente ed imparziale dalla DPRC.

43

In primo luogo, dai considerando 185 e 186 della decisione impugnata, senza che il ricorrente lo contesti, risulta che la DPRC è composta da almeno sei giudici nominati dall’Attorney General (procuratore generale, Stati Uniti; in prosieguo: il «procuratore generale»), previa consultazione del Privacy and Civil Liberties Oversight Board (Autorità per la tutela della vita privata e delle libertà civili, Stati Uniti; in prosieguo: la «PCLOB»), del Secretary of Commerce (Segretario di Stato al commercio, Stati Uniti) e del direttore dell’intelligence nazionale, per mandati rinnovabili di quattro anni, utilizzando gli stessi criteri applicabili ai giudici della magistratura federale e tenendo conto della loro precedente esperienza giudiziaria. Pertanto, i giudici devono essere operatori della giustizia, ossia membri attivi in regola dell’ordine forense e debitamente abilitati a esercitare la professione legale, e avere un’esperienza adeguata in relazione al diritto in materia di tutela della vita privata e di sicurezza nazionale. Inoltre, il procuratore generale deve garantire che almeno la metà dei giudici disponga di un’esperienza giudiziaria precedente e tutti i giudici devono essere in possesso di un nulla osta di sicurezza per poter accedere a informazioni classificate relative alla sicurezza nazionale. Soltanto le persone che soddisfano le qualifiche di cui sopra e che non sono dipendenti del ramo esecutivo al momento della loro nomina o che non lo sono state nei due anni antecedenti possono essere nominate alla DPRC. Analogamente, durante il loro mandato presso la DPRC, i giudici non possono svolgere funzioni o impieghi ufficiali all’interno del governo statunitense.

44

In secondo luogo, dai considerando 188 e 189 della decisione impugnata, senza che il ricorrente lo contesti, risulta che le decisioni del CLPO sono riesaminate, integralmente, da un collegio di tre giudici della DPRC assistiti da un avvocato speciale. Orbene, in occasione di detto riesame, la DPRC non si basa unicamente sul fascicolo fornito dal CLPO, ma anche sulle informazioni e sulle osservazioni trasmesse dal reclamante, dall’avvocato speciale che assiste i suoi giudici e dagli enti di intelligence nonché, se del caso, sulle informazioni aggiuntive da essa richieste nel corso dell’istruzione del reclamo riguardante i dati personali. Inoltre, in occasione di tale riesame, essa deve applicare la giurisprudenza pertinente della Supreme Court of the United States (Corte suprema degli Stati Uniti).

45

In terzo luogo, dai considerando 190 e 191 della decisione impugnata risulta, senza che il ricorrente lo contesti, che la DPRC ha un potere di riforma, non è vincolata alla decisione del CLPO e, in caso di disaccordo con quest’ultimo, può adottare la propria decisione relativa al reclamo riguardante i dati personali. Inoltre, indipendentemente dalla decisione adottata dalla DPRC, tale decisione è vincolante e definitiva. Pertanto, sia gli enti di intelligence che il governo degli Stati Uniti sono tenuti a conformarvisi.

46

Da quanto precede risulta che le garanzie previste dall’E.O. 14086 per quanto riguarda il funzionamento e i poteri della DPRC consentono un riesame indipendente e imparziale delle decisioni adottate dal CLPO. Il ricorrente non può quindi fondatamente sostenere che l’insufficienza delle garanzie applicabili al CLPO pregiudica l’indipendenza e l’imparzialità della DPRC.

47

In ogni caso, per quanto riguarda l’asserita insufficienza delle garanzie dirette ad assicurare l’indipendenza del CLPO, va osservato quanto segue.

48

Occorre rilevare, come risulta dai considerando da 176 a 181 della decisione impugnata, senza che il ricorrente lo contesti, che l’E.O. 14086, integrato dal regolamento AG, ha posto in essere uno specifico meccanismo di ricorso al fine di trattare il reclamo riguardante i dati personali. Tale reclamo deve essere depositato presso l’autorità di controllo incaricata, in ciascuno Stato membro, del controllo del trattamento dei dati personali, che la trasmette successivamente al CLPO, a condizione che contenga gli elementi indicati al considerando 178 della decisione impugnata, vale a dire informazioni concernenti i dati personali che si ritiene ragionevolmente siano stati trasferiti negli Stati Uniti e ai mezzi con cui si ritiene che tale trasferimento sia avvenuto, l’identità degli enti pubblici statunitensi che si ritiene siano coinvolti nella presunta violazione, laddove nota, il fondamento della presunta violazione del diritto statunitense e la natura del provvedimento richiesto. In tale contesto, il CLPO deve valutare se gli enti di intelligence abbiano violato il diritto statunitense applicabile e, in caso affermativo, può ordinare che essi attuino misure correttive. La decisione del CLPO relativa a detto reclamo è vincolante.

49

È vero che, al considerando 179 della decisione impugnata, la Commissione indica che il CLPO fa parte dell’ufficio del direttore dell’intelligence nazionale e che, oltre alla sua competenza specifica ad esaminare il reclamo riguardante i dati personali, esso è tenuto, più in generale, ad assicurarsi che la tutela delle libertà civili e della vita privata sia adeguatamente integrata nelle politiche e procedure di detto ufficio e degli enti di intelligence e che questi ultimi rispettino i requisiti applicabili in materia di tutela della vita privata e delle libertà civili. Tuttavia, da un lato, occorre osservare che, come menzionato in tale considerando, al fine di garantire l’indipendenza del CLPO, l’E.O. 14086 prevede che quest’ultimo possa essere rimosso dalle sue funzioni solo da detto direttore e per giusta causa, ossia in caso di condotta illecita, concussione, violazione della sicurezza, negligenza o incapacità. D’altro lato, come risulta dal considerando 180 della decisione impugnata, è vietato agli enti di intelligence e al direttore dell’intelligence nazionale ostacolare o influenzare indebitamente il lavoro del CLPO che, in sede di esame del reclamo relativo ai dati personali, deve applicare la legge in modo imparziale, tenendo conto al contempo degli interessi attinenti alla sicurezza nazionale e alla tutela della vita privata.

50

Ciò posto, occorre respingere il presente argomento.

51

Con il suo secondo argomento, il ricorrente afferma, in sostanza, che la DPRC non è un giudice indipendente ed imparziale, in quanto è composta da giudici nominati dal procuratore generale previa consultazione della PCLOB, che è un organo dipendente dal potere esecutivo.

52

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

53

In primo luogo, dal considerando 110 della decisione impugnata risulta che la PCLOB è un ente indipendente, istituito in seno al potere esecutivo. L’indipendenza di tale ente risulta in particolare dalla sua composizione. Infatti, esso è composta da un consiglio bipartitico costituito da cinque membri nominati dal presidente degli Stati Uniti, con l’approvazione del Senato, per un mandato fisso di sei anni. I membri della PCLOB devono essere selezionati unicamente sulla base delle loro qualifiche professionali, dei risultati da loro conseguiti, della loro reputazione pubblica, delle loro competenze in materia di libertà civili e tutela della vita privata e della loro esperienza, senza tener conto dell’appartenenza politica. La PCLOB non può contare più di tre membri appartenenti allo stesso partito politico. Una persona nominata membro della PCLOB non può, durante il suo mandato, essere un rappresentante eletto, un funzionario o un dipendente del governo federale, se non nella sua qualità di membro della PCLOB.

54

Ne consegue che, sebbene la PCLOB sia stata istituita in seno al potere esecutivo, essa è stata concepita, con il suo statuto fondatore, come un ente indipendente il cui compito consiste nel supervisionare, in modo imparziale, il lavoro svolto dal potere esecutivo al fine di tutelare, in particolare, la vita privata e le libertà civili. Pertanto, come indicato al considerando 194 della decisione impugnata, senza che il ricorrente lo contesti, essa deve verificare ogni anno se il CLPO e la DPRC abbiano trattato i casi ricevuti entro i termini impartiti, se abbiano avuto accesso a tutte le informazioni necessarie, se abbiano tenuto conto di tutte le garanzie previste dall’E.O. 14086 e se gli enti di intelligence si siano conformati alle loro decisioni. A seguito di tale verifica, essa deve certificare pubblicamente che il CLPO e la DPRC hanno rispettato tali garanzie. Inoltre, deve presentare una relazione al presidente degli Stati Uniti, al procuratore generale, al direttore dell’intelligence nazionale, ai capi degli enti di intelligence, al CLPO e alle commissioni di intelligence dell’United States Congress (Congresso degli Stati Uniti). Tale relazione è resa pubblica in una versione non classificata. Il procuratore generale, il direttore dell’intelligence nazionale, il CLPO e i capi degli enti di intelligence sono tenuti ad attuare tutte le raccomandazioni contenute nella suddetta relazione.

55

Ciò premesso, il fatto che la PCLOB sia stata istituita in seno al potere esecutivo non consente di per sé di concludere che, a causa della sua consultazione prima della nomina dei giudici della DPRC, quest’ultima non sia un giudice indipendente ed imparziale.

56

In secondo luogo, occorre osservare che, per assicurarsi che i giudici della DPRC siano indipendenti dal potere esecutivo, l’E.O. 14086 prevede che, al momento della loro nomina, il procuratore generale debba rispettare i criteri e le condizioni indicati al precedente punto 43. Inoltre, come risulta dal considerando 187 della decisione impugnata, i giudici della DPRC possono essere revocati solo dal procuratore generale e unicamente per giusta causa, ossia condotta illecita, concussione, violazione della sicurezza, negligenza o incapacità, dopo aver tenuto debitamente conto delle norme applicabili ai giudici federali stabilite nelle norme per i procedimenti in materia di condotta della magistratura e di disabilità della magistratura.

57

Ne consegue che le norme relative alla nomina e alla revoca dei giudici della DPRC non possono mettere in discussione la sua indipendenza e la sua imparzialità.

58

In terzo luogo, occorre rilevare che, ai sensi dell’articolo 3, paragrafo 1, della decisione impugnata, la Commissione è tenuta a seguire in modo permanente l’applicazione del quadro giuridico su cui si fonda detta decisione, in particolare le condizioni alle quali i trasferimenti successivi di dati personali sono effettuati, i diritti individuali sono esercitati e le autorità pubbliche degli Stati Uniti hanno accesso ai dati trasferiti sulla base di tale decisione, al fine di determinare se gli Stati Uniti d’America continuino a garantire un livello di protezione adeguato. Pertanto, conformemente al paragrafo 5 di detto articolo, la Commissione, qualora sia in possesso di elementi indicanti che non è più garantito un livello di protezione adeguato, ne informa le autorità degli Stati Uniti e, se necessario, decide di sospendere, modificare, abrogare la decisione impugnata o limitarne l’ambito di applicazione. Ne consegue che, se il contesto normativo in vigore negli Stati Uniti al momento dell’adozione della decisione impugnata che ha indotto la Commissione a ritenere, in quest’ultima, che la DPRC offrisse una tutela giuridica sostanzialmente equivalente a quella garantita dal diritto dell’Unione cambia, la Commissione decide, se necessario, di sospendere, modificare o abrogare la decisione impugnata o di limitarne l’ambito di applicazione.

59

Stante tutte le suesposte considerazioni, occorre respingere il presente argomento.

60

Con il suo terzo argomento, il ricorrente fa valere, in sostanza, che la DPRC non è un giudice indipendente ed imparziale, dal momento che il regolamento AG non esclude la possibilità che i suoi giudici subiscano forme di controllo diverse da quelle quotidiane da parte del potere esecutivo.

61

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

62

Va osservato che, sebbene dal fascicolo risulti che, ai sensi dell’articolo 201.7, lettera d), del regolamento AG, i giudici della DPRC non devono essere soggetti al controllo quotidiano del procuratore generale, il considerando 187 della decisione impugnata indica altresì che, ai sensi dell’E.O. 14086, gli enti di intelligence e il procuratore generale non devono ostacolare né influenzare indebitamente il lavoro della DPRC. Inoltre, dal fascicolo risulta che l’E.O. 14086 e il regolamento AG limitano la possibilità per il potere esecutivo di influenzare il lavoro della DPRC stabilendo che i suoi giudici possono essere revocati solo dal procuratore generale e unicamente per i motivi indicati al precedente punto 56.

63

In tale contesto, occorre respingere il presente argomento e, pertanto, la prima censura del terzo motivo nel suo insieme.

64

Con la seconda censura del suo terzo motivo, il ricorrente fa valere che la DPRC non è stata precostituita per legge, ai sensi dell’articolo 47, secondo comma, della Carta dei diritti fondamentali, in quanto non è stata istituita da una legge adottata dal Congresso degli Stati Uniti, bensì da un atto dell’esecutivo, ossia una decisione del procuratore generale.

65

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

66

In primo luogo, dalla giurisprudenza della Corte, elaborata alla luce di quella della Corte EDU relativa all’articolo 6, paragrafo 1, della CEDU (Corte EDU, 1o dicembre 2020, Guðmundur Andri Ástráðsson c. Islanda, CE:ECHR:2020:1201JUD002637418, § § 231 e 233), risulta che, sebbene il diritto a un giudice precostituito per legge costituisca un diritto autonomo, quest’ultimo ha nondimeno legami molto stretti con le garanzie di indipendenza e di imparzialità contenute nella medesima disposizione. Più in particolare, sebbene tutti i requisiti imposti da dette nozioni perseguano ciascuno uno scopo preciso che li rende garanzie specifiche di un equo processo, tali garanzie sono volte al rispetto di principi fondamentali che sono la preminenza del diritto e la separazione dei poteri. Alla base di ciascuno di tali requisiti si trova, quindi, l’imperativo di preservare la fiducia che il potere giudiziario deve ispirare al singolo e l’indipendenza di tale potere rispetto agli altri poteri [v. sentenze del 22 febbraio 2022, Openbaar Ministerie (Giudice costituito per legge nello Stato membro emittente), C‑562/21 PPU e C‑563/21 PPU, EU:C:2022:100, punto 56 e giurisprudenza citata, e del 29 marzo 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, punto 117 e giurisprudenza citata].

67

La Corte ha altresì precisato, in linea con la giurisprudenza della Corte EDU (Corte EDU, 8 luglio 2014, Biagioli c. San Marino, CE:ECHR:2014:0708DEC000816213, § § da 72 a 74; v., altresì, Corte EDU, 2 maggio 2019, Pasquini c. San Marino, CE:ECHR:2019:0502JUD005095616, § § 100 e 101 e giurisprudenza citata), che l’espressione «precostituito per legge» ha lo scopo di evitare che l’organizzazione del sistema giudiziario sia lasciata alla discrezionalità dell’esecutivo e di fare in modo che tale materia sia disciplinata da una legge adottata dal potere legislativo in modo conforme alle norme che disciplinano l’esercizio della sua competenza. Tale espressione riflette dunque il principio dello Stato di diritto e riguarda non solo il fondamento normativo dell’esistenza stessa del giudice, ma anche la composizione del collegio in ciascuna causa nonché qualsiasi altra disposizione del diritto interno la cui inosservanza renda irregolare la partecipazione di uno o più giudici all’esame della causa, il che include, in particolare, disposizioni riguardanti l’indipendenza e l’imparzialità dei membri dell’organo giurisdizionale interessato (v. sentenza del 29 marzo 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, punto 121 e giurisprudenza citata).

68

In tale contesto, la Corte ha dichiarato che una constatazione relativa all’esistenza di una violazione del requisito di un giudice precostituito per legge e alle conseguenze di una siffatta violazione era soggetta a una valutazione globale di un certo numero di elementi che, considerati nel loro insieme, contribuiscono a suscitare nei singoli dubbi legittimi per quanto riguarda l’indipendenza e l’imparzialità dei giudici [v. sentenza del 22 febbraio 2022, Openbaar Ministerie (Giudice costituito per legge nello Stato membro emittente), C‑562/21 PPU e C‑563/21 PPU, EU:C:2022:100, punto 74 e giurisprudenza citata].

69

In tal senso, la Corte ha considerato che la circostanza che un organo, come un Consiglio nazionale della magistratura, coinvolto nel processo di designazione dei giudici sia, in modo preponderante, composto da membri scelti dal potere legislativo non può, di per sé, indurre a dubitare dell’indipendenza dei giudici nominati al termine di tale processo, ma che, tuttavia, la situazione può essere diversa qualora tale circostanza, combinata ad altri elementi pertinenti e alle condizioni in cui tali scelte sono state operate, induca a suscitare siffatti dubbi [v. sentenza del 22 febbraio 2022, Openbaar Ministerie (Giudice costituito per legge nello Stato membro emittente), C‑562/21 PPU e C‑563/21 PPU, EU:C:2022:100, punto 75 e giurisprudenza citata].

70

Peraltro, nella sentenza del 1o dicembre 2020, Guðmundur Andri Ástráðsson c. Islanda (CE:ECHR:2020:1201JUD002637418, § § 207 e 212), la Corte EDU ha ritenuto ammissibile la nomina di giudici da parte dell’esecutivo o del legislatore, purché i giudici così nominati siano liberi da qualsiasi pressione o influenza nell’esercizio del loro ruolo giurisdizionale.

71

Da tale giurisprudenza risulta, in sostanza, che, per valutare se i requisiti derivanti dall’articolo 47, secondo comma, della Carta dei diritti fondamentali siano soddisfatti, non occorre limitarsi a valutare la natura formale del testo giuridico che istituisce un giudice e definisce le sue norme di funzionamento, ma occorre verificare se tale testo giuridico preveda garanzie sufficienti ad assicurare la sua indipendenza e la sua imparzialità nei confronti degli altri poteri, in particolare del potere esecutivo.

72

In secondo luogo, occorre ricordare che, come dichiarato dalla Corte nelle sentenze Schrems I e Schrems II, nell’ambito di una decisione di adeguatezza, la Commissione non è tenuta a garantire che le disposizioni pertinenti del paese terzo siano identiche a quelle in vigore nell’Unione, ma che esse siano sostanzialmente equivalenti a quelle garantite dal diritto dell’Unione in forza del RGPD, letto alla luce della Carta dei diritti fondamentali (v., punti 19 e 20 supra). Ne consegue che, nel caso di specie, il Tribunale è tenuto a verificare la fondatezza della constatazione di adeguatezza effettuata dalla Commissione nella decisione impugnata, secondo la quale le disposizioni del diritto statunitense relative all’istituzione e al funzionamento della DPRC offrono garanzie sostanzialmente equivalenti a quelle previste dal diritto dell’Unione all’articolo 47, secondo comma, di detta Carta. Siffatte garanzie sono offerte, in particolare, quando il testo giuridico che istituisce tale giudice e che definisce le sue norme di funzionamento mira ad assicurare la sua indipendenza e la sua imparzialità rispetto agli altri poteri, in particolare del potere esecutivo, e ciò nonostante il fatto che detto testo non costituisca, da un punto di vista formale, una legge.

73

Nel caso di specie, dal considerando 185 della decisione impugnata emerge, senza che il ricorrente lo contesti, che la DPRC è stata istituita dal regolamento AG. Ne consegue che la DPRC non è stata istituita da una legge adottata dal potere legislativo, vale a dire il Congresso degli Stati Uniti, bensì da un atto emanato dal potere esecutivo. Il procuratore generale è, infatti, il capo del dipartimento della giustizia degli Stati Uniti e il principale responsabile dell’applicazione della legge in seno al governo federale degli Stati Uniti. È il principale consulente del presidente degli Stati Uniti per tutte le questioni giuridiche e fa parte del suo gabinetto.

74

In tale contesto, occorre verificare se, in modo sostanzialmente equivalente al diritto dell’Unione, l’E.O. 14086 e il regolamento AG prevedano garanzie dirette ad assicurare l’indipendenza e l’imparzialità della DPRC.

75

A tal riguardo, in primo luogo, occorre osservare che dal fascicolo risulta, in modo incontestato, che:

76

In secondo luogo, da un lato, occorre ricordare che dalla decisione impugnata risulta, in sostanza, che:

77

D’altro lato, come emerge dai considerando da 187 a 189 della decisione impugnata, i giudici della DPRC devono rispettare, nello svolgimento dei loro compiti all’interno di quest’ultima, le seguenti garanzie procedurali:

78

In terzo luogo, occorre rilevare che è stato posto rimedio alle carenze rilevate dalla Corte nella sentenza Schrems II per quanto riguardava l’assenza di garanzie relative alla revoca, da parte del potere esecutivo, del Mediatore dello scudo per la privacy e alla mancanza di carattere vincolante delle sue decisioni. Infatti, dal fascicolo risulta che l’E.O. 14086 limita le ipotesi in cui il procuratore generale può revocare i giudici della DPRC e prevede che le sue decisioni siano vincolanti.

79

In tale contesto, occorre respingere la seconda censura del terzo motivo.

80

Tale conclusione non può essere messa in discussione dal fatto che dal fascicolo risulta che, al pari di altri giudici del sistema giuridico degli Stati Uniti, pur essendo legittimata a statuire su questioni giuridiche, la DPRC non costituisce un’autorità giudiziaria istituita ai sensi dell’articolo III della Costituzione degli Stati Uniti.

81

Infatti, nella sentenza Schrems II, la Corte ha ritenuto che una tutela giurisdizionale effettiva potesse essere garantita non solo da un organo giurisdizionale appartenente all’ordine giudiziario, ma anche da qualsiasi altro «organo» che offrisse alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta dei diritti fondamentali (sentenza Schrems II, punto 197).

82

Alla luce del complesso delle considerazioni che precedono, occorre respingere integralmente il terzo motivo.

83

Con il suo secondo motivo, il ricorrente fa valere che la Commissione ha violato gli articoli 7 e 8 della Carta dei diritti fondamentali, in quanto, nella decisione impugnata, essa ha ritenuto che gli Stati Uniti d’America garantissero un livello di protezione adeguato per quanto riguardava la raccolta in blocco, da parte degli enti di intelligence di tale paese, di dati personali.

84

Occorre notare che, alle pagine 2 e 23 del ricorso nonché alla pagina 4 della replica, quando enuncia la formulazione del secondo motivo, il ricorrente si riferisce alla violazione, da parte della Commissione, degli articoli 7 e 8 della Carta dei diritti fondamentali per quanto riguarda non solo la raccolta in blocco, ma anche la raccolta massiccia di dati personali. Tuttavia, nei rilievi che seguono l’enunciazione della formulazione di detto motivo, il ricorrente concentra la sua argomentazione unicamente sulla raccolta in blocco di tali dati.

85

Dalla nota a piè di pagina n. 250 di cui alla pagina 46 della decisione impugnata, dal considerando 141 di detta decisione, senza contestazioni, nonché dalle risposte fornite dalle parti ai quesiti posti mediante una misura di organizzazione del procedimento e in udienza, risulta che:

86

Da quanto precede risulta che, poiché la raccolta massiccia non è autorizzata negli Stati Uniti e la raccolta in blocco può essere effettuata unicamente al di fuori degli Stati Uniti, l’oggetto del presente motivo si limita, nel caso di specie, alla valutazione dell’esistenza di una violazione, da parte della Commissione, degli articoli 7 e 8 della Carta dei diritti fondamentali per quanto riguarda la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione verso le organizzazioni del DPF, ad esclusione di qualsiasi raccolta di dati personali effettuata, se del caso, nel territorio dell’Unione dagli enti di intelligence degli Stati Uniti o degli Stati membri.

87

Con la prima censura del suo secondo motivo, il ricorrente fa valere che la Commissione ha violato gli articoli 7 e 8 della Carta dei diritti fondamentali in quanto, nella decisione impugnata, essa ha considerato, in sostanza, che gli Stati Uniti d’America offrivano un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’Unione in forza del RGPD, letto alla luce di detta Carta, sebbene l’articolo 702 del FISA conceda agli enti di intelligence degli Stati Uniti la possibilità di raccogliere in blocco i dati personali di cittadini di altri paesi.

88

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

89

Occorre rilevare che l’articolo 702 del FISA non autorizza la raccolta in blocco, ma unicamente la raccolta mirata di dati personali.

90

Ne consegue che, nella misura in cui l’articolo 702 del FISA non riguarda la raccolta in blocco di dati personali, esso è irrilevante nel caso di specie.

91

Pertanto, occorre respingere la prima censura del secondo motivo.

92

Con la seconda censura del suo secondo motivo, il ricorrente fa valere che la Commissione ha violato gli articoli 7 e 8 della Carta dei diritti fondamentali in quanto, nella decisione impugnata, essa ha considerato che gli Stati Uniti d’America offrivano un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’Unione in forza del RGPD, letto alla luce di detta Carta, sebbene l’E.O. 14086 non stabilisca l’obbligo, per gli enti di intelligence degli Stati Uniti, di ottenere, a monte della raccolta in blocco di dati personali, la previa autorizzazione di un’autorità giudiziaria o amministrativa.

93

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

94

Nel caso di specie, dal fascicolo risulta, senza che ciò sia contestato dalle parti, che il diritto degli Stati Uniti non stabilisce l’obbligo, per gli enti di intelligence, di ottenere la previa autorizzazione di un’autorità giudiziaria o amministrativa prima di procedere alla raccolta in blocco di dati personali in transito dall’Unione verso le organizzazioni del DPF.

95

Occorre stabilire se tale mancanza di autorizzazione preventiva possa incidere sulla legittimità della decisione impugnata, in quanto potrebbe mettere in discussione la conclusione di cui all’articolo 1 di detta decisione, secondo la quale gli Stati Uniti d’America offrono un livello adeguato di protezione dei dati personali.

96

In via preliminare, occorre ricordare che, come dichiarato dalla Corte nella sentenza Schrems II, per valutare la legittimità di una decisione di adeguatezza, è necessario valutare se il diritto del paese terzo garantisca un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza del RGPD, letto alla luce della Carta dei diritti fondamentali (v. punto 45 supra).

97

È in tale contesto che occorre esaminare i quattro argomenti sollevati dal ricorrente a sostegno della presente censura.

98

Con il suo primo argomento, il ricorrente fa valere, in sostanza, che, come avveniva per la decisione sull’adeguatezza dello scudo per la privacy annullata dalla Corte nella sentenza Schrems II a motivo, segnatamente, della mancata istituzione di un controllo giudiziario, la raccolta in blocco di dati personali effettuata, nel caso di specie, dagli enti di intelligence degli Stati Uniti non è soggetta a controllo giudiziario e non è disciplinata da norme sufficientemente chiare e precise.

99

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

100

Va osservato che, nella sentenza Schrems II, la Corte ha dichiarato che gli articoli 7 e 8 della Carta dei diritti fondamentali facevano parte del livello di protezione richiesto all’interno dell’Unione e il cui rispetto doveva essere constatato dalla Commissione prima di adottare una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 1, del RGPD. Infatti, secondo la Corte, qualsiasi trattamento dei dati personali di una persona fisica, compreso il loro trasferimento verso un paese terzo nell’ambito di una decisione di adeguatezza, incide tanto sul diritto fondamentale di tale persona al rispetto della vita privata, garantito dall’articolo 7 di detta Carta, quanto sul suo diritto alla protezione dei suoi dati personali, sancito all’articolo 8 di tale Carta (sentenza Schrems II, punti da 169 a 171).

101

Tuttavia, la Corte ha precisato che i diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali non sono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (sentenza Schrems II, punto 172).

102

Pertanto, conformemente all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dagli articoli 7 e 8 di detta Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Inoltre, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni a tali diritti e libertà solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (sentenza Schrems II, punto 174).

103

In tale contesto, la Corte ha dichiarato che la possibilità offerta dal decreto presidenziale n.12333, come modificato, agli enti di intelligence degli Stati Uniti di accedere ai dati personali in transito dall’Unione, senza che tale accesso fosse stato oggetto di un qualsivoglia controllo giudiziario, non consentiva di disciplinare in modo sufficientemente chiaro e preciso la portata della raccolta in blocco di dati personali effettuata dagli enti di intelligence. Pertanto, essa ha ritenuto che detto decreto presidenziale non corrispondesse ai requisiti minimi connessi, nel diritto dell’Unione, al principio di proporzionalità e che i programmi di sorveglianza condotti sulla base di tale decreto non fossero limitati allo stretto necessario (sentenza Schrems II, punti 183 e 184).

104

Occorre precisare l’interpretazione che occorre dare all’espressione «qualsivoglia controllo giudiziario» di cui al punto 183 della sentenza Schrems II.

105

A tal riguardo, occorre rilevare che nessun elemento nella sentenza Schrems II, in particolare al punto 183 di detta sentenza e nell’espressione «qualsivoglia controllo giudiziario», suggerisce che la raccolta in blocco di dati personali debba obbligatoriamente essere oggetto di una previa autorizzazione rilasciata da un’autorità indipendente. Al contrario, da una lettura congiunta di detta espressione e dei punti da 186 a 197 di tale sentenza risulta che la decisione che autorizza una siffatta raccolta deve, come minimo, essere oggetto di un controllo giudiziario a posteriori.

106

Nel caso di specie, come indicato ai precedenti punti da 24 a 82, l’E.O. 14086 e il regolamento AG assoggettano le attività di intelligence dei segnali condotte dagli enti di intelligence degli Stati Uniti, anche quando queste ultime effettuano una raccolta in blocco di dati personali, al controllo giudiziario a posteriori della DPRC, le cui decisioni sono definitive e vincolanti e si impongono sia nei confronti del governo degli Stati Uniti sia di detti enti. Di conseguenza, contrariamente a quanto sostenuto dal ricorrente, non si può ritenere che la raccolta in blocco di dati personali effettuata dagli enti di intelligence sulla base della decisione impugnata non soddisfi i requisiti derivanti dalla sentenza Schrems II al riguardo.

107

Inoltre, in primo luogo, giova ricordare che, come risulta dal considerando 141 della decisione impugnata, senza che il ricorrente lo contesti, l’E.O. 14086 stabilisce che gli enti di intelligence devono dare la priorità alla raccolta mirata di dati personali. Pertanto, la raccolta in blocco è autorizzata solo per far progredire una priorità convalidata in materia di intelligence che non può essere ragionevolmente ottenuta mediante una raccolta mirata. A tal riguardo, occorre osservare che dal considerando 135 della suddetta decisione risulta che le priorità convalidate in materia di intelligence sono stabilite nell’ambito di una procedura speciale volta a garantire il rispetto dei requisiti giuridici applicabili, in particolare quelli relativi alla vita privata e alle libertà civili. Più precisamente, le priorità in materia di intelligence sono definite dal direttore dell’intelligence nazionale e sono soggette all’approvazione del presidente degli Stati Uniti. Orbene, prima di proporre al presidente degli Stati Uniti priorità in materia di intelligence, detto direttore deve ottenere, per ciascuna priorità, una valutazione da parte del CLPO. Nell’ambito di tale valutazione, il CLPO deve stabilire se la priorità in questione faccia progredire uno o più degli obiettivi legittimi elencati nell’E.O. 14086, se non sia stata concepita per la raccolta dell’intelligence dei segnali a fini vietati e se sia stata stabilita dopo aver tenuto in debita considerazione gli aspetti relativi alla vita privata e alle libertà civili di tutte le persone interessate, indipendentemente dalla loro nazionalità e dal loro luogo di residenza.

108

In secondo luogo, occorre rilevare che, come evidenziato dai considerando da 127 a 131, 134 e 135 della decisione impugnata, senza che il ricorrente lo contesti, l’E.O. 14086 fissa requisiti fondamentali applicabili a tutte le attività di intelligence dei segnali, anche quando queste sono effettuate mediante la raccolta in blocco di dati personali.

109

Sotto un primo profilo, le attività di intelligence dei segnali devono basarsi su una legge o su un’autorizzazione presidenziale e devono essere svolte conformemente al diritto statunitense, in particolare alla Costituzione.

110

Sotto un secondo profilo, le attività di intelligence dei segnali possono essere svolte solo dopo aver stabilito, sulla base di una valutazione ragionevole di tutti i fattori pertinenti, che esse sono necessarie per perseguire una priorità convalidata in materia di intelligence.

111

Sotto un terzo profilo, le attività di intelligence dei segnali devono essere svolte in modo proporzionato alla priorità di intelligence convalidata per la quale sono state autorizzate, al fine di trovare il giusto equilibrio tra l’importanza della priorità perseguita in materia di intelligence e l’impatto sulla vita privata e sulle libertà civili dell’interessato, indipendentemente dalla sua nazionalità e dal suo luogo di residenza.

112

Sotto un quarto profilo, l’E.O. 14086 elenca gli obiettivi generali che non possono essere perseguiti mediante attività di intelligence dei segnali. Si tratta, in particolare, degli obiettivi consistenti nell’ostacolare le critiche, i disaccordi o la libera espressione di idee o opinioni politiche da parte di persone o attraverso la stampa, di svantaggiare le persone per motivi di appartenenza etnica, razza, genere, identità sessuale, orientamento sessuale o religione o per conferire un vantaggio concorrenziale alle imprese stabilite negli Stati Uniti.

113

In terzo luogo, dal considerando 141 della decisione impugnata, senza che il ricorrente lo contesti, risulta che l’E.O. 14086 stabilisce garanzie specifiche applicabili alla raccolta in blocco di dati personali.

114

Innanzitutto, l’E.O. 14086 prevede che devono essere applicati metodi e misure tecniche per limitare i dati raccolti a quanto necessario per far progredire una priorità convalidata in materia di intelligence, riducendo al minimo la raccolta di informazioni non pertinenti.

115

Inoltre, l’E.O. 14086 indica che la raccolta in blocco di dati personali può essere effettuata solo per rispondere a sei obiettivi specifici (in prosieguo: gli «obiettivi specifici della raccolta in blocco»), vale a dire la protezione contro il terrorismo, lo spionaggio, le armi di distruzione di massa, le minacce informatiche, le minacce dirette contro il personale degli Stati Uniti o dei suoi alleati e la criminalità transnazionale. Esso prevede la possibilità, per il presidente degli Stati Uniti, di aggiornare detti obiettivi specifici qualora emergano nuove esigenze di sicurezza nazionale, quali nuove minacce o maggiori minacce alla sicurezza nazionale per le quali quest’ultimo ritiene che si potrebbe procedere alla raccolta in blocco di dati personali. Tali aggiornamenti devono, in linea di principio, essere resi pubblici dal direttore dell’intelligence nazionale, a meno che il presidente degli Stati Uniti non ritenga che ciò costituisca di per sé un rischio per la sicurezza nazionale di tale paese.

116

Infine, l’E.O. 14086 prevede che qualsiasi interrogazione dei dati di intelligence dei segnali ottenuti in blocco può aver luogo solo se è necessaria per perseguire una priorità convalidata in materia di intelligence, nel quadro del perseguimento degli obiettivi specifici della raccolta in blocco e conformemente a politiche e procedure che tengano debitamente conto dell’impatto delle interrogazioni di tali dati sulla vita privata e sulle libertà civili di tutte le persone interessate, indipendentemente dalla loro cittadinanza o dal loro luogo di residenza.

117

Date siffatte circostanze, non si può validamente sostenere che l’attuazione della raccolta in blocco non sia disciplinata in modo sufficientemente chiaro e preciso.

118

Alla luce di tutte le suesposte considerazioni, occorre respingere il presente argomento.

119

Con il suo secondo argomento, il ricorrente, riferendosi espressamente al punto 189 della sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), sostiene che la Corte ha stabilito l’obbligo, per gli enti di intelligence, di ottenere l’autorizzazione preventiva di un’autorità giudiziaria o amministrativa prima della raccolta di dati di connessione presso gli operatori che li detenevano. A suo avviso, la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione non sarebbe, nel caso di specie, oggetto di una siffatta autorizzazione preventiva.

120

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

121

Occorre rilevare che, nella sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), la Corte ha segnatamente considerato che l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11), letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, doveva essere interpretato nel senso che esso non ostava a una normativa nazionale che imponeva ai fornitori di servizi di comunicazione elettronica di ricorrere alla raccolta in tempo reale dei dati relativi al traffico e dei dati relativi all’ubicazione, qualora quest’ultima fosse limitata alle persone nei confronti delle quali esisteva un motivo valido per sospettare che fossero coinvolte in attività terroristiche e soggette al controllo preventivo di un giudice o di un ente amministrativo indipendente (punto 192 di detta sentenza).

122

Ne consegue che l’ipotesi di cui trattasi nella causa che ha dato luogo alla sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791) differisce da quella di cui trattasi nel caso di specie. Nella specie, non si tratta di valutare la necessità di assoggettare la raccolta, da parte dei fornitori di servizi di comunicazione elettronica, dei dati relativi al traffico e dei dati relativi all’ubicazione degli utenti sospettati di essere in qualche modo coinvolti in attività terroristiche al controllo preventivo di un’autorità giudiziaria o amministrativa, bensì di valutare se il fatto che il diritto degli Stati Uniti non preveda un obbligo, per gli enti di intelligence, di ottenere, prima della raccolta in blocco di dati personali in transito verso tale paese, l’autorizzazione preventiva di un’autorità giudiziaria o amministrativa, metta in discussione la fondatezza della constatazione di adeguatezza effettuata dalla Commissione nella decisione impugnata.

123

Date siffatte circostanze, si deve concludere che il riferimento alla sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791) non è pertinente nel caso di specie.

124

Tale conclusione non può essere messa in discussione dalla presa in considerazione della sentenza del 30 aprile 2024, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione) (C‑470/21, EU:C:2024:370), sulla quale le parti della presente causa sono state invitate a pronunciarsi mediante una misura di organizzazione del procedimento.

125

Ciò che era in discussione nella causa che ha dato luogo alla sentenza del 30 aprile 2024, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione) (C‑470/21, EU:C:2024:370) era la legittimità dell’accesso, da parte di un’autorità pubblica nazionale incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet, ai dati conservati dai fornitori di servizi di comunicazione elettronica relativi all’identità civile corrispondenti a indirizzi IP a fini di lotta alla contraffazione. Più in particolare, tale accesso era giustificato dall’obiettivo di identificare il titolare di un indirizzo IP che aveva svolto un’attività lesiva dei diritti d’autore o dei diritti connessi, dal momento che aveva illegittimamente messo a disposizione su Internet opere protette ai fini del loro caricamento ad opera di altre persone. In tali circostanze, la Corte ha dichiarato che un controllo preventivo da parte di un giudice o di un ente amministrativo indipendente:

126

Ne consegue che la causa che ha dato luogo alla sentenza del 30 aprile 2024, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione) (C‑470/21, EU:C:2024:370) verte sull’accesso, da parte delle autorità nazionali, a un indirizzo IP a fini di lotta alla contraffazione e che un siffatto oggetto si distingue dalla raccolta in blocco, da parte degli enti di intelligence, di dati personali in transito dall’Unione. Pertanto, non si può ritenere, alla luce di detta sentenza, che la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione debba essere oggetto di un’autorizzazione preventiva.

127

Occorre quindi respingere il presente argomento.

128

Con il suo terzo argomento, il ricorrente fa valere, in sostanza, che, nella sentenza della Corte EDU del 25 maggio 2021, Big Brother Watch e altri c. Regno Unito (CE:ECHR:2021:0525JUD005817013; in prosieguo: la «sentenza Big Brother Watch»), la Corte EDU ha considerato che le attività di intercettazione di massa di dati personali dovessero essere soggette all’autorizzazione preventiva di un’autorità indipendente a partire dal momento in cui erano definiti gli obiettivi e la portata dell’operazione di sorveglianza. A suo avviso, la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione non è oggetto, nel caso di specie, di una siffatta autorizzazione preventiva.

129

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

130

Occorre rilevare che la causa che ha dato luogo alla sentenza Big Brother Watch verteva in particolare sulla compatibilità, alla luce dell’articolo 8 della CEDU, del regime britannico di sorveglianza segreta che conferiva agli enti di intelligence la facoltà di intercettare in massa le comunicazioni elettroniche e i dati di comunicazione associati, vale a dire i dati sul traffico che si riferivano alle comunicazioni intercettate, che erano effettuate in linea di principio al di fuori delle isole britanniche.

131

Inoltre, come risulta dalla giurisprudenza citata al precedente punto 29, poiché l’articolo 8 della CEDU sancisce, al pari dell’articolo 7 della Carta dei diritti fondamentali, il diritto al rispetto della vita privata e familiare, la giurisprudenza della Corte EDU relativa all’articolo 8 della CEDU deve essere presa in considerazione per interpretare la portata dell’articolo 7 di detta Carta. Ne consegue che, se il Tribunale dovesse dichiarare che la sentenza Big Brother Watch è pertinente nel caso di specie, le considerazioni svolte dalla Corte EDU in tale sentenza, per quanto riguarda la portata dell’articolo 8 della CEDU, dovrebbero essere prese in considerazione per interpretare la portata dell’articolo 7 di tale Carta.

132

A tal riguardo, occorre ricordare che, nella sentenza Big Brother Watch, la Corte EDU si è pronunciata sulla legittimità dell’intercettazione di massa, da parte dei servizi di intelligence britannici, delle comunicazioni elettroniche e dei relativi dati di comunicazione effettuati in linea di principio al di fuori delle isole britanniche.

133

Orbene, come rilevato dalle parti della presente causa nella loro risposta alla misura di organizzazione del procedimento e in udienza, le considerazioni svolte dalla Corte EDU nella sentenza Big Brother Watch sono pertinenti nel caso di specie, in quanto l’intercettazione di massa di dati personali oggetto della causa che ha dato luogo a detta sentenza può essere considerata comprensiva della raccolta in blocco oggetto della decisione impugnata.

134

In primo luogo, si deve rilevare che, mentre la versione francese della sentenza Big Brother Watch impiega l’espressione «interception en masse» di dati, la versione inglese utilizza l’espressione «bulk intercettation», che corrisponde più precisamente alla nozione francese di «intercettazione in blocco».

135

In secondo luogo, contrariamente all’intercettazione mirata, l’intercettazione di informazioni in esame nella sentenza Big Brother Watch è stata definita dalla Corte EDU come quella che non riguardava persone determinate e, di conseguenza, poteva incidere su un gran numero di persone e di dati di comunicazione associati e quindi avere una portata molto ampia, in quanto consentiva in particolare di raccogliere informazioni nell’ambito dell’intelligence esterna e di individuare nuove minacce provenienti da attori noti o ignoti. Inoltre, secondo detta Corte, a causa della sua finalità connessa alla tutela della sicurezza nazionale, l’intercettazione di massa era generalmente effettuata dalle autorità competenti in segreto, il che implicava che esse rendessero pubbliche solo poche informazioni sul funzionamento del sistema, o addirittura nessuna informazione (v., in tal senso, sentenza Big Brother Watch, punto 322).

136

In terzo luogo, nella sentenza Big Brother Watch, la Corte EDU ha considerato che, sebbene non tutti i regimi di intercettazione di massa fossero concepiti sullo stesso modello e le loro modalità di attuazione potessero cambiare senza sempre rispettare un ordine cronologico rigoroso, l’intercettazione di massa era un processo graduale che si svolgeva, in sostanza, secondo le quattro fasi seguenti (in prosieguo: le «fasi dell’intercettazione»):

137

Ne consegue che un’operazione di raccolta in blocco di dati personali, come quella oggetto della decisione impugnata, rientra nel perimetro della prima delle fasi di intercettazione individuate dalla Corte EDU nella sentenza Big Brother Watch, in quanto consiste nel raccogliere, a fini di tutela della sicurezza nazionale, i dati personali in transito dall’Unione di un gran numero di persone.

138

In tale contesto, occorre trarre conseguenze dalla sentenza Big Brother Watch nell’ambito della valutazione della legittimità di una decisione di adeguatezza adottata sulla base dell’articolo 45, paragrafo 3, del RGPD, quale la decisione impugnata.

139

A tal riguardo, in primo luogo, occorre osservare che, nella sentenza Big Brother Watch, la Corte EDU ha precisato che l’articolo 8 della CEDU non vietava di ricorrere all’intercettazione di massa per proteggere la sicurezza nazionale o altri interessi nazionali essenziali da minacce esterne gravi e che gli Stati godevano di un ampio margine di discrezionalità per determinare il tipo di regime di intercettazione di cui avevano bisogno (sentenza Big Brother Watch, punto 347).

140

In secondo luogo, la Corte EDU ha indicato che l’intercettazione di massa dei dati personali doveva essere accompagnata da varie garanzie da punto a punto che, considerate congiuntamente, costituivano la pietra angolare di qualsiasi sistema di intercettazione di massa, vale a dire:

141

In terzo luogo, la Corte EDU ha fatto valere che, se l’articolo 8 della CEDU si applicava a ciascuna delle fasi dell’intercettazione, l’esigenza di prevedere garanzie aumentava man mano che il processo superava tali diverse fasi e, di conseguenza, l’intensità della lesione del diritto al rispetto della vita privata diveniva più significativa. Pertanto, a suo avviso, è alla fine del processo, quando vengono analizzate informazioni relative a una determinata persona o quando il contenuto di comunicazioni è esaminato da un analista, che la presenza di garanzie è più che mai necessaria (v., in tal senso, sentenza Big Brother Watch, punti 330 e 331).

142

In quarto luogo, la Corte EDU ha statuito che, poiché l’inclusione di tutti i selettori usati dagli enti di intelligence per filtrare le comunicazioni raccolte nel perimetro dell’autorizzazione preventiva non era fattibile sul piano pratico, la portata di tale autorizzazione doveva essere limitata al fine di includervi almeno i tipi o le categorie di selettori da utilizzare (sentenza Big Brother Watch, punto 354).

143

Nel caso di specie, da un lato, occorre ricordare che, come dichiarato dalla Corte nelle sentenze Schrems I e Schrems II, la Commissione non è tenuta, nell’ambito di una decisione di adeguatezza, ad assicurarsi che le disposizioni pertinenti del paese terzo siano identiche a quelle in vigore nell’Unione, bensì che siano sostanzialmente equivalenti (v., punti 19 e 20 supra).

144

D’altro lato, occorre considerare che, poiché la raccolta in blocco di dati personali effettuata dagli enti di intelligence degli Stati Uniti, contestata nell’ambito della presente controversia, può essere equiparata all’intercettazione di dati effettuata nell’ambito della prima delle fasi di intercettazione precisate dalla Corte EDU nella sentenza Big Brother Watch, la necessità di prevedere, per tale specifica fase della raccolta in blocco, garanzie che limitano il potere discrezionale degli enti di intelligence è più limitata, tenuto conto del contesto in cui l’intercettazione è effettuata. Infatti, ciò che è in discussione nel caso di specie è unicamente l’intercettazione iniziale in blocco di dati personali da parte di enti di intelligence, ad esclusione delle attività successive, che non sono oggetto di tale ricorso e che potrebbero consistere, se del caso, nell’applicazione di selettori specifici, nell’esame dei dati raccolti e nel loro uso o nella loro successiva comunicazione.

145

Ne consegue che il fatto di prevedere un’autorizzazione preventiva non è l’unica garanzia che deve accompagnare l’intercettazione di massa di dati personali, ma costituisce uno degli elementi che, considerati nel loro insieme, costituiscono la pietra angolare di qualsiasi regime di intercettazione di massa. A tal riguardo, giova ricordare che il diritto statunitense in vigore prevede norme giuridiche che disciplinano in modo sufficientemente chiaro e preciso l’attuazione, da parte degli enti di intelligence degli Stati Uniti, della raccolta in blocco di dati personali (v. punti da 107 a 116 supra) e concede alle persone interessate dal trasferimento dei loro dati il diritto a un ricorso giurisdizionale effettivo dinanzi alla DPRC (v. punti da 33 a 63 supra). Inoltre, i considerando da 162 a 169 della decisione impugnata indicano, senza che il ricorrente lo contesti, che le attività di intelligence svolte dagli enti di intelligence sono controllate dalla PCLOB che, come risulta dal precedente punto 54, è stata concepita dal suo statuto fondatore come un ente indipendente. Allo stesso modo, dette attività sono oggetto di sorveglianza, in primo luogo, da parte dei responsabili giuridici e dei delegati che, in seno a ciascun ente di intelligence, sono incaricati della sorveglianza e del rispetto di detto diritto, in secondo luogo, dell’ispettore generale indipendente incaricato, per ciascun ente di intelligence, di controllare le attività di intelligence esterna svolte dall’ente di cui trattasi e, in terzo luogo, dell’Intelligence Oversight Board (Consiglio di sorveglianza dell’intelligence, Stati Uniti), istituito in seno al President’s Intelligence Advisory Board (Consiglio consultivo in materia di intelligence sotto la responsabilità del presidente, Stati Uniti) e tenuto a vigilare sull’osservanza della legge da parte delle autorità statunitensi nonché, in quarto luogo, delle commissioni speciali istituite in seno al Congresso degli Stati Uniti che esercitano funzioni di sorveglianza su tutte le attività di intelligence esterna del paese di cui trattasi.

146

Sulla base di tali considerazioni, non si può concludere che il fatto di non prevedere un’autorizzazione preventiva applicabile alla raccolta iniziale in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione sia sufficiente per ritenere che il diritto degli Stati Uniti non fornisca, alla luce degli insegnamenti tratti dalla sentenza Big Brother Watch, garanzie sostanzialmente equivalenti a quelle previste dal diritto dell’Unione.

147

Occorre quindi respingere il presente argomento.

148

Con il suo quarto argomento, il ricorrente fa valere che, nel suo parere 5/2023, del 28 febbraio 2023, relativo al progetto di decisione di esecuzione della Commissione che constata il livello di protezione adeguato dei dati personali garantito dal quadro UE di protezione dei dati – Stati Uniti (in prosieguo: il «parere 5/2023»), il Comitato europeo per la protezione dei dati (in prosieguo: il «CEPD») ha sottolineato l’importanza di subordinare la raccolta in blocco di dati personali a un’autorizzazione preventiva. A suo avviso, la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione non è oggetto, nel caso di specie, di un’autorizzazione preventiva.

149

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

150

Occorre osservare che il parere 5/2023 è stato emesso dal CEPD sulla base dell’articolo 70, paragrafo 1, lettera s), del RGPD. Tale disposizione prevede che, di propria iniziativa o su richiesta della Commissione, il CEPD possa fornire a quest’ultima un parere per valutare l’adeguatezza del livello di protezione garantito da un paese terzo.

151

Orbene, quando agisce sulla base dell’articolo 70, paragrafo 1, del RGPD, il CEPD si limita a svolgere una funzione consultiva mediante la redazione di pareri, linee guida, raccomandazioni e raccomandazioni di buone pratiche che non producono effetti giuridici vincolanti (v., in tal senso, ordinanza del presidente della Corte del 29 novembre 2023, CEPD/CRU, C‑413/23 P, non pubblicata, EU:C:2023:1036, punto 11). Pertanto, tale parere non vincola la Commissione, la quale resta libera di valutare se il diritto di tale paese offra globalmente un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’Unione per quanto riguarda la raccolta in blocco di dati personali. In ogni caso, occorre constatare che, in detto parere, il CEPD non ha indicato che la mancata attuazione di un controllo preventivo relativo alla raccolta in blocco di dati personali pregiudicava necessariamente la valutazione positiva, da parte della Commissione, dell’adeguatezza del livello di protezione dei dati personali offerto dal DPF. Al contrario, esso ha rilevato, al punto 165 del medesimo parere, che tale valutazione dipendeva da tutte le circostanze del caso di specie e, in particolare, dall’istituzione, da parte degli Stati Uniti d’America, di un controllo giudiziario a posteriori e di un meccanismo di ricorso.

152

In tale contesto, il parere 5/2023 non consente di ritenere che la raccolta in blocco, da parte degli enti di intelligence degli Stati Uniti, di dati personali in transito dall’Unione debba essere oggetto di un’autorizzazione preventiva e che la protezione offerta da tale paese non sia sostanzialmente equivalente a quella garantita dal diritto dell’Unione.

153

Occorre quindi respingere il presente argomento e, pertanto, la seconda censura del secondo motivo nel suo insieme.

154

Con la terza censura del suo secondo motivo, il ricorrente fa valere che la Commissione ha violato gli articoli 7 e 8 della Carta dei diritti fondamentali quando ha considerato, nella decisione impugnata, che gli Stati Uniti d’America offrivano un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’Unione in forza del RGPD, letto alla luce di detta Carta, sebbene l’E.O. 14086 conferisca al presidente degli Stati Uniti, per ragioni di sicurezza nazionale, la facoltà di autorizzare un aggiornamento segreto degli obiettivi specifici della raccolta in blocco. Più in particolare, egli ritiene che, contrariamente a quanto dichiarato nella sentenza della Corte EDU del 4 dicembre 2015, Roman Zakharov c. Russia (CE:ECHR:2015:1204JUD004714306; in prosieguo: la «sentenza Zakharov»), l’attribuzione a detto presidente del potere di aggiornare tali obiettivi specifici non consenta alle persone interessate da un trasferimento di dati personali di individuare, in modo preciso, il contesto giuridico nel quale questi sono trattati negli Stati Uniti.

155

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

156

Occorre osservare che, nella sentenza Zakharov, la Corte EDU ha considerato che un’ingerenza nel diritto fondamentale al rispetto della vita privata e familiare poteva essere giustificata ai sensi dell’articolo 8, paragrafo 2, della CEDU solo se prevista dalla legge (sentenza Zakharov, punto 227). Orbene, secondo detta Corte, l’espressione «prevista dalla legge» significava che la misura controversa doveva essere accessibile alla persona interessata e che doveva essere prevedibile quanto ai suoi effetti (sentenza Zakharov, punto 228). In materia di intercettazione di comunicazioni, la «prevedibilità» non significava che un individuo doveva essere in grado di prevedere quando le autorità potevano intercettare le sue comunicazioni, bensì che, in sostanza, le limitazioni al suo diritto al rispetto della vita privata e familiare dovevano risultare da norme chiare (sentenza Zakharov, punto 229).

157

Occorre altresì ricordare che, conformemente alla giurisprudenza citata al precedente punto 29, poiché l’articolo 8 della CEDU sancisce, al pari dell’articolo 7 della Carta dei diritti fondamentali, il diritto al rispetto della vita privata e familiare, la giurisprudenza della Corte EDU relativa all’articolo 8 della CEDU, comprendente quindi la sentenza Zakharov, deve essere presa in considerazione per interpretare, come nel caso di specie, l’articolo 7 di detta Carta.

158

A tal riguardo, dalla sezione 2, lettera c), ii), C), dell’E.O. 14086 risulta che la facoltà concessa al presidente degli Stati Uniti di aggiornare l’elenco degli obiettivi specifici della raccolta in blocco non è illimitata, ma è circoscritta alle sole ipotesi in cui tale aggiornamento sia reso necessario dall’emergere di nuovi imperativi di sicurezza nazionale, quali nuove minacce o minacce maggiori per la sicurezza nazionale per le quali potrebbe essere utilizzata la raccolta in blocco di dati personali. Inoltre, da tale disposizione risulta, ed è stato confermato dagli Stati Uniti d’America in udienza, che l’aggiornamento, da parte di detto presidente, dei sopra citati obiettivi specifici non è segreto, ma è oggetto di una pubblicazione da parte del direttore dell’intelligence nazionale, a meno che tale presidente non ritenga che siffatta pubblicazione costituisca di per sé un rischio per la sicurezza nazionale del suo paese. Inoltre, anche in tale ipotesi, la raccolta in blocco è soggetta a tutte le garanzie e a tutte le limitazioni previste dall’E.O. 14086 e, se un interessato presenta un reclamo riguardante dati personali, questo è oggetto di una sorveglianza da parte del CLPO e, se del caso, di un riesame da parte della DPRC.

159

In tale contesto, non si può ritenere che la facoltà concessa al presidente degli Stati Uniti di aggiornare l’elenco degli obiettivi specifici della raccolta in blocco sia contraria ai requisiti individuati dalla Corte EDU nella sentenza Zakharov.

160

Pertanto, occorre respingere la terza censura del secondo motivo e, dunque, detto motivo nel suo insieme.

161

Con il suo quarto motivo, il ricorrente sostiene che la Commissione ha violato l’articolo 22 del RGPD in quanto, nella decisione impugnata, essa ha omesso di prevedere una disposizione che stabilisce il diritto degli interessati a non essere oggetto di decisioni fondate esclusivamente sul trattamento automatizzato di dati personali, compresa la profilazione, che producono effetti giuridici nei loro confronti o che incidono significativamente sugli stessi (in prosieguo: le «decisioni interamente automatizzate»).

162

In via preliminare, occorre rilevare che i termini dell’articolo 22 del RGPD sono i seguenti:

1.   L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2.   Il paragrafo 1 non si applica nel caso in cui la decisione:

163

Occorre altresì osservare che il termine «profilazione», di cui all’articolo 22, paragrafo 1, del RGPD, è definito all’articolo 4, paragrafo 4, del medesimo regolamento come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».

164

Ne consegue che, ai sensi dell’articolo 22 del RGPD, ogni interessato ha il diritto di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato di dati personali, anche quando tale misura consiste nell’analizzare e prevedere taluni aspetti del suo comportamento.

165

Orbene, dalla decisione impugnata risulta che essa non tratta specificamente la questione relativa alle decisioni interamente automatizzate.

166

Pertanto, occorre decidere se una siffatta omissione possa incidere sulla legittimità della decisione impugnata, in quanto potrebbe mettere in discussione la conclusione di cui all’articolo 1 di detta decisione, secondo la quale gli Stati Uniti d’America offrono un livello adeguato di protezione dei dati personali.

167

È in tale contesto che occorre analizzare le tre censure sollevate dal ricorrente a sostegno del suo quarto motivo, iniziando dalla prima e dalla terza censura che occorre esaminare congiuntamente.

168

Con la prima e la terza censura del suo quarto motivo, il ricorrente sostiene, da un lato, che il fatto che le decisioni interamente automatizzate siano generalmente adottate da titolari del trattamento che, essendo stabiliti nell’Unione, sono soggetti al RGPD non fornisce garanzie per quanto riguarda gli altri casi. D’altro lato, egli rileva che la circostanza che il diritto degli Stati Uniti offra tutele settoriali nell’ipotesi in cui l’adozione di siffatte decisioni non rientri nell’ambito di applicazione di detto regolamento è irrilevante nel caso di specie, in quanto tale circostanza non consente di concludere che, sul piano generale, la protezione che tale paese offre riguardo a tutte le decisioni interamente automatizzate sia equivalente a quella garantita dall’articolo 22 di tale regolamento.

169

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

170

Occorre rilevare che dal considerando 33 della decisione impugnata risulta che, in caso di trasferimento di dati personali dall’Unione verso gli Stati Uniti, occorre distinguere tre fattispecie per quanto riguarda l’adozione delle decisioni interamente automatizzate.

171

In primo luogo, è possibile che le decisioni interamente automatizzate siano adottate da un titolare del trattamento stabilito nell’Unione che ha raccolto, nell’Unione, i dati personali degli interessati. A tal riguardo, occorre osservare che l’articolo 4, paragrafo 7, del RGPD definisce il titolare del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. In tale ipotesi, nei limiti in cui, conformemente all’articolo 3, paragrafo 1, di detto regolamento, il titolare del trattamento è soggetto al medesimo regolamento, egli deve rispettare i requisiti previsti dall’articolo 22 di tale regolamento per quanto riguarda siffatte decisioni.

172

In secondo luogo, è possibile che le decisioni interamente automatizzate siano adottate da un responsabile del trattamento stabilito in un paese terzo, che agisce per conto del titolare del trattamento stabilito nell’Unione che gli ha trasferito i dati personali da lui raccolti nell’Unione, o da un ulteriore responsabile del trattamento, che agisce per conto del responsabile del trattamento stabilito nell’Unione che gli ha trasferito i dati da lui raccolti nell’Unione. A tal riguardo, occorre precisare che l’articolo 4, paragrafo 8, del RGPD definisce il responsabile del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. In tali ipotesi, nella misura in cui i responsabili del trattamento stranieri agiscono per conto del titolare del trattamento o del responsabile del trattamento dell’Unione, essi sono soggetti a detto regolamento in forza dell’articolo 3, paragrafo 1, di tale regolamento. Pertanto, per quanto riguarda dette decisioni, il titolare del trattamento e il responsabile del trattamento devono conformarsi ai requisiti previsti dall’articolo 22 del medesimo regolamento.

173

In terzo luogo, è possibile che le decisioni interamente automatizzate siano adottate da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, ma che si rivolge agli interessati che si trovano nell’Unione offrendo loro beni o servizi o seguendo il loro comportamento. Orbene, in tale ipotesi, l’articolo 3, paragrafo 2, del RGPD prevede che il titolare del trattamento e il responsabile del trattamento straniero siano soggetti a detto regolamento. Pertanto, per quanto riguarda le decisioni interamente automatizzate, esse devono conformarsi ai requisiti previsti dall’articolo 22 di detto regolamento.

174

Ne consegue che dalla decisione impugnata risulta che le ipotesi in cui le decisioni interamente automatizzate non rientrano nell’ambito di applicazione dell’articolo 22 del RGPD sono residuali e si limitano al caso in cui le organizzazioni del DPF raccolgano direttamente, nell’Unione, i dati personali, senza tuttavia offrire ai cittadini dell’Unione beni o servizi e senza seguire il loro comportamento, ai sensi dell’articolo 3, paragrafo 2, di detto regolamento.

175

Orbene, dai considerando 35 e 36 della decisione impugnata, senza che il ricorrente lo contesti, risulta che, in tali ipotesi, il diritto degli Stati Uniti offre tutele settoriali simili a quelle previste dal RGPD in settori quali l’erogazione di credito, le offerte di prestiti immobiliari, le decisioni di assunzioni, il lavoro, l’alloggio e le assicurazioni, nei quali è più probabile che le organizzazioni del DPF adottino decisioni interamente automatizzate.

176

Così, in materia di credito al consumo, il Fair Credit Reporting Act (legge sull’informazione leale in materia di credito) e l’Equal Credit Opportunity Act (legge sulle pari opportunità in materia di credito) contengono garanzie che offrono ai consumatori una forma di diritto alla spiegazione e un diritto di impugnare decisioni interamente automatizzate. Tali leggi si applicano a un gran numero di settori quali il credito, il lavoro, l’alloggio e l’assicurazione. Inoltre, il titolo VII del Civil Rights Act (legge sui diritti civili) e il Fair Housing Act (legge sull’equo alloggio) tutelano le persone fisiche dai modelli utilizzati nelle decisioni interamente automatizzate che potrebbero dar luogo a una discriminazione basata su determinate caratteristiche e conferiscono loro il diritto di impugnare tali decisioni. Inoltre, per quanto riguarda le informazioni sanitarie, le norme adottate dalle autorità statunitensi in applicazione dell’Health Insurance Portability and Accountability Act (legge sulla portabilità e la responsabilità in materia di assicurazione malattia) impongono ai prestatori di servizi medici di ricevere informazioni che consentano loro di informare le persone in merito ai sistemi decisionali interamente automatizzati utilizzati nel settore medico.

177

In tale contesto, contrariamente a quanto sostenuto dal ricorrente, non si può ritenere che le tutele settoriali previste dal diritto degli Stati Uniti siano irrilevanti nel caso di specie, dal momento che esse non hanno la stessa portata generale dell’articolo 22 del RGPD.

178

A tal riguardo, occorre rammentare che, nelle sentenze Schrems I e Schrems II, la Corte ha dichiarato che, senza esigere che il paese terzo interessato garantisca un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione, l’espressione «livello di protezione adeguato», di cui all’articolo 45, paragrafo 1, del RGPD, doveva essere intesa nel senso che esige che tale paese terzo garantisca effettivamente, in considerazione della sua legislazione interna o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza di detto regolamento, letto alla luce della Carta dei diritti fondamentali (v. punti 19 e 20 supra).

179

Inoltre, nella sentenza Schrems I, la Corte ha considerato che, sebbene i mezzi utilizzati dal paese terzo per garantire un livello adeguato di protezione dei dati personali potessero essere diversi da quelli utilizzati all’interno dell’Unione, tali mezzi dovevano tuttavia rivelarsi, in pratica, effettivi al fine di garantire una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione (v. punto 20 supra).

180

Sulla base di tutte le suesposte considerazioni, occorre respingere la prima e la terza censura del quarto motivo.

181

Con la seconda censura del suo quarto motivo, il ricorrente sostiene che il fatto che lo studio sulle decisioni interamente automatizzate, citato al punto 34 della decisione impugnata, che la Commissione aveva commissionato nel 2018 e i cui risultati figurano al punto 4.1.5 della relazione COM (2018) 860 final della Commissione al Parlamento europeo e al Consiglio, del 19 dicembre 2018, sul secondo esame annuale del funzionamento dello scudo per la privacy (in prosieguo: lo «studio del 2018»), abbia concluso che non esistevano prove circa l’esistenza di decisioni interamente automatizzate adottate da organizzazioni stabilite negli Stati Uniti aderenti allo scudo per la privacy, è irrilevante nel caso di specie. Più in particolare, egli fa valere che detto studio si riferisce alla decisione sull’adeguatezza dello scudo per la privacy che è stata annullata dalla Corte nella sentenza Schrems II e che esso non prende in considerazione la situazione attuale, caratterizzata da uno sviluppo estremamente rapido dei servizi interamente automatizzati basati sull’intelligenza artificiale.

182

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

183

Risulta in particolare dallo studio del 2018 che, da un lato, nessun dato consentiva, all’epoca, di ritenere che le imprese stabilite negli Stati Uniti che avevano aderito allo scudo per la privacy avessero adottato decisioni interamente automatizzate e, dall’altro, che gli Stati Uniti d’America avessero attuato normative settoriali in settori quali il credito al consumo, l’occupazione, l’alloggio, l’assicurazione e la sanità, nei quali era più probabile che venissero adottate decisioni interamente automatizzate.

184

A tal riguardo, in primo luogo, va osservato che lo studio del 2018 non è citato nella decisione sull’adeguatezza dello scudo per la privacy ed è stato commissionato dalla Commissione dopo l’entrata in vigore di detta decisione. Il fatto che tale decisione sia stata annullata dalla Corte nella sentenza Schrems II è quindi irrilevante nel caso di specie. Inoltre, nella sentenza Schrems II, la Corte non ha annullato detta decisione sulla base degli elementi indicati in detto studio.

185

In secondo luogo, è vero che lo studio del 2018 non ha preso in considerazione la situazione fattuale e giuridica presente negli Stati Uniti nel 2023, alla data di adozione della decisione impugnata, bensì quella presente nel 2018, quando è stato realizzato. Tuttavia, la natura residuale dei casi in cui organizzazioni stabilite negli Stati Uniti, aderenti allo scudo per la privacy, avevano adottato decisioni interamente automatizzate è stata confermata dalla relazione COM (2019) 495 final della Commissione al Parlamento europeo e al Consiglio, del 23 ottobre 2019, relativa al terzo esame annuale del funzionamento dello scudo per la privacy. Infatti, in tale relazione, veniva in particolare indicato che il numero di organizzazioni stabilite negli Stati Uniti, partecipanti allo scudo per la privacy, che avevano adottato decisioni interamente automatizzate era limitato e che le decisioni adottate da tali organizzazioni non avevano generalmente effetti giuridici e non producevano altri effetti nei confronti delle persone interessate.

186

In terzo luogo, occorre osservare che, nelle sue memorie, il ricorrente non ha fornito alcun elemento di prova che consenta di ritenere che, dopo la realizzazione dello studio del 2018, organizzazioni stabilite negli Stati Uniti abbiano adottato decisioni interamente automatizzate e egli non ha sufficientemente spiegato la ragione per cui l’evoluzione dell’intelligenza artificiale priverebbe di pertinenza detto studio.

187

In tale contesto, occorre respingere la seconda censura del quarto motivo e, pertanto, detto motivo nel suo insieme.

188

Con il suo quinto motivo, il ricorrente fa valere che la Commissione ha violato l’articolo 32 del RGPD, in combinato disposto con l’articolo 45, paragrafo 2, del medesimo regolamento, in quanto, nella decisione impugnata, essa ha considerato che gli Stati Uniti d’America offrivano un livello di protezione sostanzialmente equivalente a quello garantito nell’Unione per quanto riguarda l’attuazione, da parte dei titolari del trattamento e dei responsabili del trattamento stabiliti negli Stati Uniti, di misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento dei dati personali trasferiti dall’Unione verso tale paese.

189

A tal riguardo, in primo luogo, il ricorrente fa valere che il punto II.4, lettera a), dell’allegato 1 della decisione impugnata si limita a prevedere che le organizzazioni del DPF debbano adottare misure di sicurezza ragionevoli ed adeguate esclusivamente quando creano, mantengono, utilizzano o diffondono dati personali. Pertanto, non sarebbe richiesta alcuna misura di sicurezza qualora tali organizzazioni consultino dati personali provenienti dall’Unione. Il ricorrente sostiene che la consultazione fa tuttavia parte delle operazioni incluse nella nozione di «trattamento» dei dati personali di cui all’articolo 4, paragrafo 2, del RGPD.

190

In secondo luogo, il ricorrente sostiene che il punto III.6, lettera f), dell’allegato 1 della decisione impugnata prevede l’obbligo, per le organizzazioni stabilite negli Stati Uniti che escono dal DPF, di continuare a rispettare i principi contenuti in tale decisione, compresi quelli relativi alla sicurezza del trattamento, fintantoché esse conservano, utilizzano o divulgano dati personali trasferiti dall’Unione verso gli Stati Uniti, ma non prevede un siffatto obbligo qualora queste stesse organizzazioni consultino dati personali.

191

La Commissione, sostenuta dall’Irlanda e dagli Stati Uniti d’America, contesta l’argomento del ricorrente.

192

In via preliminare, anzitutto, occorre ricordare che i termini dell’articolo 32 del RGPD sono i seguenti:

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati».

193

Il termine «trattamento», contenuto nell’articolo 32 del RGPD, è poi definito all’articolo 4, paragrafo 2, del medesimo regolamento come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

194

Secondo la giurisprudenza, dall’espressione «qualsiasi operazione», di cui all’articolo 4, paragrafo 2, del RGPD, risulta in particolare che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia, il che è corroborato dal carattere non esaustivo, espresso dalla locuzione «come», delle operazioni elencate in detta disposizione (v. sentenza del 7 marzo 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, punto 29 e giurisprudenza citata).

195

Infine, occorre rilevare che, tra gli elementi che la Commissione deve prendere in considerazione nel valutare, ai sensi dell’articolo 45, paragrafo 2, lettera a), del RGPD, il livello di protezione offerto da un paese terzo, figurano le misure di sicurezza riguardanti i dati personali attuate da tale paese.

196

È in tale contesto che occorre esaminare, congiuntamente, i due argomenti sollevati dal ricorrente a sostegno del presente motivo.

197

A tal riguardo, occorre ricordare che i termini del punto II.4, lettera a), dell’allegato 1 della decisione impugnata sono i seguenti:

«L’organizzazione che crea, detiene, usa o diffonde informazioni personali deve adottare misure ragionevoli e adeguate per tutelarle contro la perdita, l’abuso e l’accesso, la divulgazione, l’alterazione e la distruzione non autorizzati, tenuto conto dei rischi insiti nel trattamento dei dati personali e nella loro natura».

198

Inoltre, i termini del punto III.6, lettera f), dell’allegato 1 della decisione impugnata sono i seguenti:

«Un’organizzazione deve attenersi ai principi per tutti i dati personali ricevuti dall’UE in virtù del DPF UE-USA. Per i dati personali ricevuti nel periodo in cui l’organizzazione gode dei vantaggi del DPF UE-USA, l’impegno a rispettare i relativi principi non decade col tempo: l’obbligo di applicarli vige fintantoché l’organizzazione conserva, usa o divulga i dati in questione, anche nel caso in cui abbia successivamente abbandonato il regime per qualsivoglia motivo».

199

Ne consegue che i punti II.4, lettera a) e III.6, lettera f), dell’allegato 1 della decisione impugnata non riguardano qualsiasi forma di trattamento dei dati personali, ai sensi dell’articolo 4, paragrafo 2, del RGPD. Al contrario, da un lato, il primo di detti punti limita l’obbligo delle organizzazioni del DPF di adottare misure di sicurezza alle sole ipotesi in cui esse creano, gestiscono, utilizzano o diffondono dati personali. Dall’altro lato, il secondo di detti punti prevede che le organizzazioni che lasciano il DPF debbano continuare ad applicare i principi contenuti nella decisione impugnata fintantoché esse conservano, utilizzano o divulgano dati personali trasferiti dall’Unione verso gli Stati Uniti.

200

Orbene, anzitutto, occorre ricordare che, nelle sentenze Schrems I e Schrems II, la Corte ha considerato che non era necessario che il paese terzo garantisse una tutela giuridica identica a quella garantita nell’ordinamento giuridico dell’Unione (v. punti 19 e 20 supra). Ne consegue che, sebbene, nella decisione impugnata, la Commissione ritenga che il diritto degli Stati Uniti in vigore al momento dell’adozione di tale decisione garantisca un livello di protezione sostanzialmente equivalente a quello previsto nel diritto dell’Unione, non è necessario che detta decisione contenga esattamente gli stessi termini contenuti nel RGPD.

201

I principi contenuti nel punto II.4, lettera a), dell’allegato 1 della decisione impugnata devono poi essere interpretati alla luce degli elementi contenuti nel considerando 23 di detta decisione, che, analogamente all’articolo 32 del RGPD, prevede quanto segue:

«I dati personali dovrebbero inoltre essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine i titolari e responsabili del trattamento dovrebbero adottare misure tecniche od organizzative per proteggere i dati personali da possibili minacce. Tali misure dovrebbero essere valutate tenendo conto dello stato dell’arte, dei costi correlati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti delle persone fisiche».

202

Inoltre, occorre rilevare che i termini «creare», «gestire», «usare» e «diffondere» di cui al punto II.4, lettera a), dell’allegato 1 della decisione impugnata nonché i termini «conservare», «usare» e «divulgare» di cui al punto III.6, lettera f), del medesimo allegato costituiscono manifestazioni specifiche dell’operazione consistente nel «trattamento» dei dati personali, ai sensi dell’articolo 32 del RGPD, e che, al pari di quest’ultimo, essi mirano a coprire un’ampia gamma di operazioni riguardanti i dati personali.

203

Infine, il termine «usare», contenuto sia nel punto II.4, lettera a), dell’allegato 1 della decisione impugnata sia nel punto III.6, lettera f), del medesimo allegato, si definisce come il fatto di ricorrere a qualcosa per uno scopo o un uso preciso. In quest’ottica, l’uso dei dati personali include la loro consultazione, nella misura in cui, per definizione, per poter ricorrere a dati è necessario avere accesso a tali dati e quindi consultarli. Ne consegue che è infondato l’argomento del ricorrente secondo cui nella decisione impugnata non è richiesta alcuna misura di sicurezza quando organizzazioni del DPF consultano dati personali provenienti dall’Unione.

204

Sulla base di tutti questi elementi, occorre respingere il quinto motivo e, pertanto, il ricorso nella sua interezza.

205

Ai sensi dell’articolo 134, paragrafo 1, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda.

206

Poiché la Commissione ne ha fatto domanda, il ricorrente, rimasto soccombente, dev’essere condannato a farsi carico, oltre che delle proprie spese, di quelle sostenute dalla Commissione, ivi compreso nell’ambito del procedimento sommario.

207

Inoltre, conformemente all’articolo 138, paragrafo 1, del regolamento di procedura, gli Stati membri e le istituzioni intervenuti nella causa si fanno carico delle proprie spese. La Commissione si farà quindi carico delle proprie spese.

208

Inoltre, ai sensi dell’articolo 138, paragrafo 3, del regolamento di procedura, il Tribunale può decidere che un interveniente, diverso da quelli indicati nei paragrafi 1 e 2 di tale articolo, si faccia carico delle proprie spese. Nel caso di specie, occorre decidere che gli Stati Uniti d’America si faranno carico delle proprie spese.

Per questi motivi,

IL TRIBUNALE (Decima Sezione ampliata)

dichiara e statuisce: