Con sentenza del 16 luglio 2020, la Corte Europea ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“c.d. Privacy Shield”).
Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi
Ai sensi del regolamento generale sulla protezione dei dati (in appresso āRGDPā) il trasferimento dei suddetti dati verso un Paese terzo puĆ² avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione puĆ² constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere puĆ² essere effettuato solo se lāesportatore dei dati personali, stabilito nellāUnione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi . Il RGDP stabilisce precisamente, inoltre, a quali condizioni puĆ² avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate .
Il Caso. Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, ĆØ iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dellāUnione, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato allāautoritĆ irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano unaprotezione sufficiente contro lāaccesso, da parte delle pubbliche autoritĆ , ai dati trasferiti verso tale paese. Tale denuncia ĆØ stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 Ā (cosiddetta decisione Ā«approdo sicuroĀ»), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione (in prosieguo la Ā«sentenza Schrems IĀ») .
A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, lāautoritĆ di controllo irlandese ha invitato questāultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invaliditĆ , da parte della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese. Egli chiede di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dallāUnione verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nellāallegato della decisione 2010/87 7. Considerando che il trattamento della denuncia del sig. Schrems dipenda, in particolare, dalla validitĆ della decisione 2010/87, lāautoritĆ di controllo irlandese ha avviato un procedimento dinanzi alla High Court affinchĆ© questāultima presentasse alla Corte una domanda di pronuncia pregiudiziale. Successivamente allāavvio di dettoprocedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy .
Con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio interroga la Corte sullāapplicabilitĆ del RGDP a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autoritĆ di controllo in tale contesto. La High Court solleva inoltre la questione della validitĆ tanto della decisione 2010/87 quanto della decisione 2016/1250.
La sentenza della Corte UE. Con la sua sentenza odierna, la Corte constata che, dallāesame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso āla Cartaā), non ĆØ emerso alcun elemento idoneo ad inficiarne la validitĆ . Essa dichiara, invece, invalida la decisione 2016/1250.
La Corte considera, anzitutto, che il diritto dellāUnione, e segnatamente il RGDP, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autoritĆ del Paese terzo considerato. La Corte precisa che tale tipo di trattamento di dati ad opera delle autoritĆ di un Paese terzo non puĆ² escludere un trasferimento siffatto dallāambito di applicazione del regolamento RGPD.
Per quanto riguarda il livello di protezione richiesto nellāambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito allāinterno dellāUnione da detto regolamento, letto alla luce della Carta. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciĆ² che ĆØ stipulato contrattualmente tra lāesportatore dei dati stabilito nellāUnione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autoritĆ di tale Paese terzo ai dati cosƬ trasferiti, gli elementi pertinenti del sistema giuridico di questāultimo.
Relativamente agli obblighi che incombono alle autoritĆ di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autoritĆ sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta daldiritto dellāUnione, non possa essere garantita con altri mezzi, ove lāesportatore stabilito nellāUnione non abbia esso stesso sospeso tale trasferimento o messo fine a questāultimo.
La Corte esamina poi la validitĆ della decisione 2010/87. Secondo la Corte, la validitĆ di tale decisione non ĆØ rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in questāultima, per il loro carattere contrattuale, non vincolano le autoritĆ del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validitĆ dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dellāUnione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilitĆ di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per lāesportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare lāesportatore dei dati della sua eventuale impossibilitĆ di conformarsi alle clausole tipo di protezione, con lāonere, in tal caso, per questāultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
La Corte procede infine allāesame della validitĆ della decisione 2016/1250 rispetto ai requisiti risultanti dal RGDP, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, allāinteresse pubblico e al rispetto della normativa statunitense, rendendo cosƬ possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autoritĆ statunitensi, di siffatti dati trasferiti dallāUnione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dellāUnione, dal principio di proporzionalitĆ , giacchĆ© i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo lāesistenza di limiti allāautorizzazione, in essa contenuta, dellāattuazione di tali programmi e neppure lāesistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autoritĆ statunitensi nellāattuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autoritĆ statunitensi azionabili dinanzi ai giudici.
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dellāUnione, tali da assicurare tanto lāindipendenza del Mediatore previsto da tale meccanismo quanto lāesistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
In sintesi: Con sentenza del 16 luglio 2020 nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook IrelandĀ la Corte Europea ha di fatto invalidato il Privacy Shield.
- Normalmente, per trasferire al di fuori dellāUE i dati personali degli utenti dellāUE ĆØ necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR.
- Prima di questa sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dellāUE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attivitĆ .
- Il Privacy Shield era un accordo stipulato affinchĆ© i dati trasferiti dallāUE agli Stati Uniti siano protetti secondo gli standard approvati dalla Commissione anche una volta fuoriusciti dai confini dellāUnione (e della Svizzera).
Secondo la Commissione Europea: “Il Privacy Shield UE-US impone obblighi piĆ¹ severi alle societĆ statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino piĆ¹ rigorosamente la normativa e cooperino piĆ¹ strettamente con le autoritĆ europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito allāaccesso ai dati da parte delle autoritĆ pubbliche.”
- Il Privacy Shield riguarda solo le aziende che trasferiscono dati di utenti UE o svizzeri negli Stati Uniti.
- La Corte di Giustizia europea ha ora dichiarato invalido queste modalitĆ di trasferimento basate sul Privacy Shield che, di conseguenza, non saranno piĆ¹ automaticamente conformi.
Va perĆ² ricordato che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito allāinterpretazione del diritto dellāUnione o alla validitĆ di un atto dellāUnione.
La Corte non risolve la controversia nazionale. SpetterĆ al giudice nazionale risolvere la causa conformemente alla decisione della Corte.
Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.