בית הדין של האיחוד האירופי (EGC) דחה את עתירתו של חבר הפרלמנט הצרפתי פיליפ לטומבה נגד הסדר העברת המידע האישי בין אירופה לארה"ב משנת 2023. כך, אישר בית הדין את המשך תוקפו של ה-DPF כמעניק הגנה נאותה למידע אישי על פי הוראות הדין האירופי, וסיפק וודאות משפטית לאלפי חברות ממגזרים שונים המבצעות העברת מידע אישי בין היבשות.
לטומבה טען בעתירתו כי מנגנון הביקורת האמריקאי, ה-Data Protection Review Court (DPRC) אינו עצמאי דיו, וכי פעילות איסוף המידע הגורף של סוכנויות המודיעין האמריקאיות חורגת מהדרישות שנקבעו בפסיקות קודמות של בית הדין. אולם השופטים קבעו כי מנגנון המינוי והפיקוח מבטיח את עצמאות שופטי ה-DPRC וכי החקיקה האמריקאית המעודכנת מבטיחה ביקורת שיפוטית בדיעבד על פעולות המודיעין, באופן שעומד ברמת ההגנה המקבילה לזו הנדרשת בדין האירופי.
בהכרעתו ציין בית הדין כי לנציבות האירופית יש חובה לעקוב באופן רציף אחרי יישום ההסדר, ולפעול לתיקונו או השעייתו במקרה שארצות הברית תשנה את המסגרת המשפטית שלה. בכך הבהיר בית הדין כי אמון האיחוד בהסדר אינו בלתי מוגבל, אלא תלוי בשמירה מתמשכת על סטנדרטים תואמים של הגנה על זכויות הפרט.
המשמעות המעשית של פסק הדין, כאמור, היא הענקת ודאות משפטית לשוק הדיגיטלי ולאלפי חברות אירופיות ואמריקאיות שתלויות בהעברת מידע חוצת גבולות. סוכנות הידיעות "רויטרס" הדגישה כי ההחלטה צפויה להרגיע חששות מצד חברות טכנולוגיה רב-לאומיות, שבמשך שנים חיו בחוסר ודאות רגולטורית סביב חוקיות העברת המידע לארה"ב. הפסיקה נתפסת כצעד משמעותי לשיקום האמון בין בריסל לוושינגטון לאחר ביטול ההסדרים הקודמים (“Safe Harbor” ו-“Privacy Shield”), ותעניק יציבות רגולטורית קריטית בתקופה שבה היקף המידע המועבר בצורה טרנסאטלנטית נמצא בעלייה מתמדת.
