La Corte Ue invalida il Privacy Shield, lo scudo Europa-Usa per la privacy

Con sentenza del 16 luglio 2020, la Corte Europea ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“c.d. Privacy Shield”).

Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi

Ai sensi del regolamento generale sulla protezione dei dati (in appresso ā€œRGDPā€) il trasferimento dei suddetti dati verso un Paese terzo puĆ² avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione puĆ² constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere puĆ² essere effettuato solo se lā€™esportatore dei dati personali, stabilito nellā€™Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi . Il RGDP stabilisce precisamente, inoltre, a quali condizioni puĆ² avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate .

Il Caso. Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, ĆØ iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dellā€™Unione, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato allā€™autoritĆ  irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano unaprotezione sufficiente contro lā€™accesso, da parte delle pubbliche autoritĆ , ai dati trasferiti verso tale paese. Tale denuncia ĆØ stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 Ā (cosiddetta decisione Ā«approdo sicuroĀ»), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione (in prosieguo la Ā«sentenza Schrems IĀ») .

A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, lā€™autoritĆ  di controllo irlandese ha invitato questā€™ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invaliditĆ , da parte della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese. Egli chiede di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dallā€™Unione verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nellā€™allegato della decisione 2010/87 7. Considerando che il trattamento della denuncia del sig. Schrems dipenda, in particolare, dalla validitĆ  della decisione 2010/87, lā€™autoritĆ  di controllo irlandese ha avviato un procedimento dinanzi alla High Court affinchĆ© questā€™ultima presentasse alla Corte una domanda di pronuncia pregiudiziale. Successivamente allā€™avvio di dettoprocedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy .

Con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio interroga la Corte sullā€™applicabilitĆ  del RGDP a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autoritĆ  di controllo in tale contesto. La High Court solleva inoltre la questione della validitĆ  tanto della decisione 2010/87 quanto della decisione 2016/1250.

La sentenza della Corte UE. Con la sua sentenza odierna, la Corte constata che, dallā€™esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso ā€œla Cartaā€), non ĆØ emerso alcun elemento idoneo ad inficiarne la validitĆ . Essa dichiara, invece, invalida la decisione 2016/1250.

La Corte considera, anzitutto, che il diritto dellā€™Unione, e segnatamente il RGDP, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autoritĆ  del Paese terzo considerato. La Corte precisa che tale tipo di trattamento di dati ad opera delle autoritĆ  di un Paese terzo non puĆ² escludere un trasferimento siffatto dallā€™ambito di applicazione del regolamento RGPD.

Per quanto riguarda il livello di protezione richiesto nellā€™ambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito allā€™interno dellā€™Unione da detto regolamento, letto alla luce della Carta. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciĆ² che ĆØ stipulato contrattualmente tra lā€™esportatore dei dati stabilito nellā€™Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autoritĆ  di tale Paese terzo ai dati cosƬ trasferiti, gli elementi pertinenti del sistema giuridico di questā€™ultimo.

Relativamente agli obblighi che incombono alle autoritĆ  di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autoritĆ  sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta daldiritto dellā€™Unione, non possa essere garantita con altri mezzi, ove lā€™esportatore stabilito nellā€™Unione non abbia esso stesso sospeso tale trasferimento o messo fine a questā€™ultimo.

La Corte esamina poi la validitĆ  della decisione 2010/87. Secondo la Corte, la validitĆ  di tale decisione non ĆØ rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in questā€™ultima, per il loro carattere contrattuale, non vincolano le autoritĆ  del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validitĆ  dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dellā€™Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilitĆ  di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per lā€™esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare lā€™esportatore dei dati della sua eventuale impossibilitĆ  di conformarsi alle clausole tipo di protezione, con lā€™onere, in tal caso, per questā€™ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

La Corte procede infine allā€™esame della validitĆ  della decisione 2016/1250 rispetto ai requisiti risultanti dal RGDP, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, allā€™interesse pubblico e al rispetto della normativa statunitense, rendendo cosƬ possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.

Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autoritĆ  statunitensi, di siffatti dati trasferiti dallā€™Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dellā€™Unione, dal principio di proporzionalitĆ , giacchĆ© i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo lā€™esistenza di limiti allā€™autorizzazione, in essa contenuta, dellā€™attuazione di tali programmi e neppure lā€™esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autoritĆ  statunitensi nellā€™attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autoritĆ  statunitensi azionabili dinanzi ai giudici.

Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dellā€™Unione, tali da assicurare tanto lā€™indipendenza del Mediatore previsto da tale meccanismo quanto lā€™esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.

In sintesi: Con sentenza del 16 luglio 2020 nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook IrelandĀ la Corte Europea ha di fatto invalidato il Privacy Shield.

  • Normalmente, per trasferire al di fuori dellā€™UE i dati personali degli utenti dellā€™UE ĆØ necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR.
  • Prima di questa sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dellā€™UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attivitĆ .
  • Il Privacy Shield era un accordo stipulato affinchĆ© i dati trasferiti dallā€™UE agli Stati Uniti siano protetti secondo gli standard approvati dalla Commissione anche una volta fuoriusciti dai confini dellā€™Unione (e della Svizzera).

    Secondo la Commissione Europea: “Il Privacy Shield UE-US impone obblighi piĆ¹ severi alle societĆ  statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino piĆ¹ rigorosamente la normativa e cooperino piĆ¹ strettamente con le autoritĆ  europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito allā€™accesso ai dati da parte delle autoritĆ  pubbliche.”

  • Il Privacy Shield riguarda solo le aziende che trasferiscono dati di utenti UE o svizzeri negli Stati Uniti.
  • La Corte di Giustizia europea ha ora dichiarato invalido queste modalitĆ  di trasferimento basate sul Privacy Shield che, di conseguenza, non saranno piĆ¹ automaticamente conformi.

Va perĆ² ricordato che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito allā€™interpretazione del diritto dellā€™Unione o alla validitĆ  di un atto dellā€™Unione.

La Corte non risolve la controversia nazionale. SpetterĆ  al giudice nazionale risolvere la causa conformemente alla decisione della Corte.

Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

Lascia un commento

Il tuo indirizzo email non sarĆ  pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.