Persona beruft sich auf das EU-US Data Privacy Framework (DPF), den Nachfolger des Privacy Shield. Das DPF basiert allerdings auf der US-Executive Order 14086, einer präsidialen Anordnung, die jeder künftige Präsident per Federstrich ändern kann. Es handelt sich nicht um ein Gesetz. Die Datenschutzorganisation noyb hat das DPF bereits angefochten. Zudem wurden Anfang 2025 drei von fünf Mitgliedern des US Privacy and Civil Liberties Oversight Board (der Aufsichtsbehörde für die DPF-Zusicherungen) abberufen, sodass das Gremium seit fast einem Jahr nicht mehr beschlussfähig war.

Der Europäische Datenschutzausschuss (EDPB) hat in seinem Überprüfungsbericht von November 2024 eine Neubewertung innerhalb von drei Jahren empfohlen. Das Europäische Parlament hatte bereits 2023 davor gewarnt, dass das DPF keine wesentliche Gleichwertigkeit herstelle.

Für europäische Nutzer bedeutet das: Der Schutzrahmen, unter dem ihre biometrischen Daten angeblich sicher sein sollen, steht auf fragilen Fundamenten.