Con sentenza del 16 luglio 2020, la Corte Europea ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“c.d. Privacy Shield”).
Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi
Ai sensi del regolamento generale sulla protezione dei dati (in appresso “RGDP”) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi . Il RGDP stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate .
Il Caso. Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, è iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano unaprotezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese. Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 (cosiddetta decisione «approdo sicuro»), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione (in prosieguo la «sentenza Schrems I») .
A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, l’autorità di controllo irlandese ha invitato quest’ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invalidità, da parte della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese. Egli chiede di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87 7. Considerando che il trattamento della denuncia del sig. Schrems dipenda, in particolare, dalla validità della decisione 2010/87, l’autorità di controllo irlandese ha avviato un procedimento dinanzi alla High Court affinché quest’ultima presentasse alla Corte una domanda di pronuncia pregiudiziale. Successivamente all’avvio di dettoprocedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy .
Con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio interroga la Corte sull’applicabilità del RGDP a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale contesto. La High Court solleva inoltre la questione della validità tanto della decisione 2010/87 quanto della decisione 2016/1250.
La sentenza della Corte UE. Con la sua sentenza odierna, la Corte constata che, dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità. Essa dichiara, invece, invalida la decisione 2016/1250.
La Corte considera, anzitutto, che il diritto dell’Unione, e segnatamente il RGDP, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato. La Corte precisa che tale tipo di trattamento di dati ad opera delle autorità di un Paese terzo non può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento RGPD.
Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo.
Relativamente agli obblighi che incombono alle autorità di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta daldiritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
La Corte esamina poi la validità della decisione 2010/87. Secondo la Corte, la validità di tale decisione non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
La Corte procede infine all’esame della validità della decisione 2016/1250 rispetto ai requisiti risultanti dal RGDP, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
In sintesi: Con sentenza del 16 luglio 2020 nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland la Corte Europea ha di fatto invalidato il Privacy Shield.
- Normalmente, per trasferire al di fuori dell’UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR.
- Prima di questa sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell’UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.
- Il Privacy Shield era un accordo stipulato affinché i dati trasferiti dall’UE agli Stati Uniti siano protetti secondo gli standard approvati dalla Commissione anche una volta fuoriusciti dai confini dell’Unione (e della Svizzera).
Secondo la Commissione Europea: “Il Privacy Shield UE-US impone obblighi più severi alle società statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino più rigorosamente la normativa e cooperino più strettamente con le autorità europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito all’accesso ai dati da parte delle autorità pubbliche.”
- Il Privacy Shield riguarda solo le aziende che trasferiscono dati di utenti UE o svizzeri negli Stati Uniti.
- La Corte di Giustizia europea ha ora dichiarato invalido queste modalità di trasferimento basate sul Privacy Shield che, di conseguenza, non saranno più automaticamente conformi.
Va però ricordato che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione.
La Corte non risolve la controversia nazionale. Spetterà al giudice nazionale risolvere la causa conformemente alla decisione della Corte.
Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.