Torna al Blog

Data Transfer · Trump v. Slaughter

L'indipendenza revocata: Trump v. Slaughter e il destino del DPF

·8 min lettura
Un edificio istituzionale con uno scudo di vigilanza che si stacca, tra una piattaforma europea e una statunitense

Il 29 giugno 2026, con Trump v. Slaughter, la Corte Suprema ha stabilito che il Presidente può rimuovere a piacimento i commissari della Federal Trade Commission, ribaltando 91 anni di Humphrey's Executor. Una sentenza di diritto costituzionale interno che scuote, però, il pilastro su cui poggia l'adeguatezza UE–USA: l'enforcement indipendente.

In una rigaLe protezioni "for cause" dei commissari FTC violano la separazione dei poteri. Humphrey's Executor (1935) è overruled. La FTC non è più un'agenzia indipendente — e il DPF si fonda(va) proprio su quella indipendenza.

Non è una sentenza sulla privacy. Non tocca il GDPR, non riguarda i trasferimenti di dati, non introduce nuovi poteri di sorveglianza. Eppure Trump v. Slaughter potrebbe rivelarsi la decisione più rilevante del 2026 per chi trasferisce dati personali dall'Europa agli Stati Uniti. Perché quando cade l'indipendenza dell'autorità che vigila sul Data Privacy Framework, a tremare sono le fondamenta stesse della decisione di adeguatezza europea. E perché — questa è la nostra tesi — la sentenza non crea un problema nuovo: ratifica una dipendenza strutturale che il mondo dei servizi digitali conosce da tempo.

Il fatto: un licenziamento «pursuant to Article II»

Marzo 2025. Il Presidente Trump rimuove due commissari democratici della Federal Trade Commission, Rebecca Slaughter e Alvaro Bedoya. Nessuna contestazione di inefficienza, negligenza o malafede — le tre cause tassative previste dal FTC Act del 1914. La motivazione è un'altra: la loro permanenza è «inconsistent with [the] Administration's priorities», e la rimozione avviene «pursuant to [the President's] authority under Article II of the Constitution».

Slaughter impugna. Il giudice distrettuale di Washington le dà ragione e la reintegra: Humphrey's Executor v. United States (1935) — il precedente che per novant'anni ha coperto le agenzie indipendenti multimembro — è ancora diritto vivente, e solo la Corte Suprema può superarlo. La D.C. Circuit conferma. La Corte Suprema, a settembre 2025, concede lo stay (permettendo di fatto la rimozione), avoca il caso con certiorari before judgment e fissa l'udienza a dicembre.

  • Marzo 2025Trump rimuove Slaughter e Bedoya dalla FTC senza indicare alcuna delle cause previste dal 15 U.S.C. § 41.
  • 17 luglio 2025La District Court (D.D.C.) dichiara la rimozione ultra vires e reintegra Slaughter con ingiunzione permanente.
  • 22 settembre 2025La Corte Suprema sospende la reintegrazione, concede il certiorari before judgment e calendarizza il caso.
  • 8 dicembre 2025Udienza. Roberts definisce Humphrey's Executor «a dried husk» — un guscio disseccato — di ciò che si pensava fosse.
  • 29 giugno 2026Decisione 6-3: le protezioni for-cause dei commissari FTC sono incostituzionali. Humphrey's Executor è formalmente overruled. Reversed and remanded.

La sentenza: l'esecutivo unitario diventa dottrina

Il Chief Justice Roberts, per la maggioranza (con Alito, Gorsuch, Kavanaugh, Barrett e — salvo una parte — Thomas), parte dal testo: l'art. II della Costituzione affida «the executive Power» a una sola persona, il Presidente, insieme al dovere di «take Care that the Laws be faithfully executed». Chi esercita potere esecutivo per suo conto è un suo subordinato; e un subordinato che il Presidente non può rimuovere non è, costituzionalmente, un subordinato.

Il cuore del ragionamento è la demolizione della finzione su cui reggeva Humphrey's Executor: l'idea che la FTC del 1935 esercitasse funzioni «né politiche né esecutive», ma solo «quasi-legislative» e «quasi-giudiziarie». La FTC di oggi — osserva la Corte — amministra circa 80 statuti che coprono quasi ogni settore dell'economia, emana regole con forza di legge, conduce indagini, adjudica in-house con sanzioni pecuniarie e agisce in giudizio in nome degli Stati Uniti. Esercita, «unquestionably», potere esecutivo.

«If anything more is left of Humphrey's, we overrule it.»

Roberts, C.J. — Trump v. Slaughter, opinion of the Court

Il precedente del 1935 non viene distinto, ridotto o aggirato, come nelle tappe precedenti (Free Enterprise Fund, 2010; Seila Law, 2020; Collins, 2021): viene espressamente superato. All'argomento dell'affidamento — Congresso e istituzioni hanno costruito per novant'anni sull'assunto dell'indipendenza — la Corte risponde ribaltando la prospettiva: le agenzie «indipendenti» non sono mai state davvero indipendenti nel senso di rispondere «solo al popolo»; l'insulamento dal Presidente produce semmai «increased subservience to congressional direction».

Le eccezioni (per ora)

La maggioranza traccia due riserve. La prima, decisa lo stesso giorno in Trump v. Cook (5-4): la Federal Reserve, in quanto entità «quasi-privata» che si colloca nella tradizione storica della First e Second Bank, resta fuori dal perimetro — il tentativo di rimuovere la governor Lisa Cook non passa, almeno in via cautelare. La seconda: le tenure protections dei giudici delle corti non-Article III (Tax Court, Court of Federal Claims) restano «questioni per un altro giorno». Tutto il resto — FERC, CPSC, NRC, MSPB, NLRB, SEC, per citare le agenzie evocate dalla dissenting — entra nel cono del removal at will.

La dissenting: un potere «sconosciuto persino alla Corona inglese»

La Justice Sotomayor — che ha letto la sintesi del dissenso dal banco, gesto raro che segnala la gravità istituzionale percepita — scrive, con Kagan e Jackson, che la decisione «reshapes our Government»: decine di commissioni indipendenti diventano agenzie puramente esecutive, trasferendo «tremendous power over broad swaths of American life» nelle mani del Presidente. Il dovere di far eseguire fedelmente le leggi si trasforma, nelle sue parole, in una licenza di agire in spregio di quelle stesse leggi.

La scheda

Caso
Trump v. Slaughter, No. 25-332, 609 U.S. ___ (2026)
Esito
Reversed and remanded, 6-3
Norma caducata
15 U.S.C. § 41 — rimozione solo per «inefficiency, neglect of duty, or malfeasance in office»
Precedente superato
Humphrey's Executor v. United States, 295 U.S. 602 (1935)
Dottrina
Unitary executive: chi esercita potere esecutivo è rimovibile at will dal Presidente
Eccezioni
Federal Reserve (Trump v. Cook); corti non-Article III (questione riservata)

Il nodo europeo: 259 riferimenti a un'indipendenza che non c'è più

Qui la sentenza smette di essere un affare interno americano. Il diritto primario dell'Unione — art. 16, par. 2, TFUE e art. 8, par. 3, della Carta dei diritti fondamentali — esige che il controllo sulla protezione dei dati personali sia affidato ad autorità indipendenti. E la giurisprudenza Schrems I e Schrems II ha chiarito che un Paese terzo, per beneficiare di una decisione di adeguatezza, deve garantire un livello di protezione «sostanzialmente equivalente» — vigilanza indipendente inclusa.

Nel Data Privacy Framework, quel ruolo lo svolge in larga parte la FTC: è l'autorità che vigila sul rispetto dei principi da parte delle società statunitensi certificate e che costituisce un canale di tutela per gli interessati europei. Secondo il conteggio di noyb, la decisione di esecuzione (UE) 2023/1795 richiama la FTC — e la sua indipendenza — 259 volte. Trump v. Slaughter ha appena dichiarato quell'indipendenza incostituzionale come questione di diritto interno americano.

La reazione è stata immediata. Il 30 giugno noyb ha inviato una lettera formale alla Commissione europea chiedendo il ritiro ordinato della decisione di adeguatezza e annunciando, in mancanza, un ricorso alla Corte di giustizia per l'annullamento — procedimento che l'organizzazione stessa stima in due-tre anni. La Commissione, per bocca di un portavoce, ha dichiarato di aver preso atto della sentenza e di volerne valutare attentamente le implicazioni. Nel frattempo pende già dinanzi alla CGUE l'appello nel caso Latombe, dopo che il Tribunale UE aveva respinto in primo grado, a settembre 2025, l'impugnazione dell'adeguatezza: la sentenza americana offre a quell'appello munizioni fresche.

«Given that there are no independent authorities in the US anymore, we call on the European Commission to orderly withdraw the adequacy decision.»

Max Schrems — noyb, 29 giugno 2026

Cosa cambia subito (e cosa no)

Serve lucidità, non allarme. La decisione di adeguatezza resta in vigore: può cadere solo per ritiro da parte della Commissione o per annullamento da parte della CGUE, e nessuna delle due cose è imminente. Le società statunitensi certificate DPF restano legittimate a ricevere dati personali dall'UE, e nessuna guidance EDPB ha chiesto di abbandonare lo strumento. Anche la FTC conserva i propri poteri di enforcement: ciò che è cambiato non è la sua competenza, ma la cornice istituzionale in cui la esercita — d'ora in poi, priorità e intensità dell'enforcement rispondono direttamente all'agenda politica della Casa Bianca.

Ma attenzione alla trappola del «fallback»: chi pensa di rifugiarsi nelle clausole contrattuali standard non è al riparo. Le SCC richiedono Transfer Impact Assessment che, nella prassi, poggiano proprio sugli stessi presidi oggi in discussione — la FTC, il Privacy and Civil Liberties Oversight Board (già paralizzato dall'amministrazione a inizio 2025) e la Data Protection Review Court. Se quei presidi non sono più qualificabili come indipendenti, i TIA vanno riscritti, e le conclusioni potrebbero non essere le stesse di ieri.

Cosa la sentenza non decide

Per leggere correttamente Trump v. Slaughter occorre delimitarne il perimetro:

  • Non è una sentenza sul DPF né sulla privacy: la Corte non menziona il GDPR, l'adeguatezza o i trasferimenti transatlantici.
  • Non invalida la decisione di adeguatezza, che resta efficace fino a ritiro della Commissione o annullamento della CGUE.
  • Non tocca la Federal Reserve (Trump v. Cook, stesso giorno) né le corti non-Article III: questioni espressamente riservate.
  • Non priva la FTC dei suoi poteri: cambia la catena di comando, non le competenze.
  • Non chiude il contenzioso: il caso torna al giudice di merito, e la partita europea (lettera noyb, appello Latombe) è appena iniziata.

La tesi: la sentenza ratifica ciò che già sapevamo

Il DPF era nato fragile già sotto l'amministrazione Biden: terzo tentativo dopo Safe Harbour e Privacy Shield, entrambi annullati dalla CGUE, costruito in larga misura sugli stessi materiali dei predecessori — executive order revocabili, organismi di redress interni all'esecutivo, garanzie amministrative anziché legislative. Trump v. Slaughter non crea la vulnerabilità: la rende esplicita e la eleva a rango costituzionale. Quella che molti sospettavano — una FTC esposta all'influenza politica diretta — oggi è dottrina della Corte Suprema.

E c'è un livello più profondo. Anche se domani la CGUE annullasse il DPF, il problema europeo non sarebbe risolto, perché non è (solo) un problema di basi giuridiche del trasferimento. È un problema di dipendenza strutturale: infrastrutture, cloud, piattaforme e servizi digitali su cui gira l'economia europea sono in larga parte extra-SEE e soggetti a logiche di sicurezza nazionale statunitense. Il CLOUD Act — insieme agli altri strumenti di accesso previsti dall'ordinamento USA — rende l'accesso governativo ai dati possibile indipendentemente dalla collocazione fisica dei server. Localizzare i dati in Europa, da solo, non basta se il fornitore resta soggetto alla giurisdizione americana.

La vera emergenza europea, allora, non è l'astratta «sovranità sui dati» da convegno. È la costruzione — concreta, industriale, normativa — di un ecosistema che riduca questa dipendenza: cloud e infrastrutture europee competitive, alternative tech sovereign credibili, e una capacità di enforcement realmente indipendente che non dipenda dagli equilibri costituzionali di un Paese terzo. Dopo il 29 giugno 2026, non sono più opzioni di policy: sono priorità strategiche.

Operativo: cosa fare ora

Per le imprese che trasferiscono dati personali verso gli Stati Uniti — direttamente o attraverso la propria filiera di fornitori — il momento impone metodo:

  1. 01Mappare i trasferimenti. Censire tutti i flussi verso gli USA (fornitori cloud, SaaS, analytics, HR tech, sub-responsabili) e identificare per ciascuno lo strumento di trasferimento utilizzato: DPF, SCC, BCR.
  2. 02Adottare il doppio binario. Per i flussi oggi basati sul solo DPF, predisporre SCC di riserva già firmate o attivabili rapidamente, come molte organizzazioni hanno imparato a fare dopo Schrems II.
  3. 03Aggiornare i TIA. Rivedere i Transfer Impact Assessment che citano FTC, PCLOB o DPRC come presidi di garanzia: la loro qualificazione come autorità indipendenti è oggi giuridicamente contestata e va rivalutata, documentando misure supplementari (crittografia con chiavi sotto controllo europeo, pseudonimizzazione, minimizzazione).
  4. 04Valutare alternative europee. Per i trattamenti a maggior rischio o a maggiore sensibilità strategica, avviare una valutazione seria di fornitori SEE o di architetture che riducano l'esposizione a giurisdizioni terze — non come esercizio ideologico, ma come gestione del rischio di continuità operativa.
  5. 05Monitorare le mosse istituzionali. Commissione europea, EDPB e CGUE (appello Latombe, eventuale ricorso noyb) detteranno i tempi. Chi arriva con i flussi mappati e i fallback pronti non verrà colto di sorpresa, qualunque sia l'esito.

Fonti

U.S. Supreme Court, Trump v. Slaughter, No. 25-332, 609 U.S. ___ (29 giugno 2026); U.S. Supreme Court, Trump v. Cook (29 giugno 2026); Humphrey's Executor v. United States, 295 U.S. 602 (1935); Myers v. United States, 272 U.S. 52 (1926); Seila Law LLC v. CFPB, 591 U.S. 197 (2020); Free Enterprise Fund v. PCAOB, 561 U.S. 477 (2010); 15 U.S.C. § 41 (FTC Act); Decisione di esecuzione (UE) 2023/1795 della Commissione (EU-US Data Privacy Framework); artt. 16 TFUE e 8 Carta dei diritti fondamentali UE; CGUE, C-362/14 Schrems I e C-311/18 Schrems II; Tribunale UE, Latombe c. Commissione (settembre 2025, appello pendente); noyb, «US Supreme Court just blew up EU-US Data Transfers» e lettera alla Commissione europea del 30 giugno 2026; U.S. CLOUD Act, 18 U.S.C. § 2713.

Questo articolo ha finalità informative e divulgative e non costituisce parere legale né sostituisce una consulenza professionale calibrata sul caso concreto. Le posizioni espresse riflettono l'analisi di Tomato Blue RegTech.

Il tuo stack regge a uno scenario post-DPF?

Tomato Blue affianca le imprese nella mappatura dei trasferimenti extra-SEE, nell'aggiornamento dei Transfer Impact Assessment e nella definizione di strategie di sovranità del dato — dalla gap analysis alla governance operativa.

Richiedi una Gap Analysis →