Privacy, la Corte di giustizia boccia l'accordo Ue - Usa sul trasferimento dati

di Francesco Machina Grifeo

16 Luglio 2020

La Corte Ue, giudicando sul caso Schrems II, ha dichiarato non valida la decisione della Commissione (2016/1250) sull'adeguatezza della protezione dei dati offerta dal regime dello scudo UE-USA in materia di privacy. Con la sentenza nella causa C-311/18, i giudici di Lussemburgo hanno infatti evidenziato che la normativa statunitense non offre garanzie in linea con quelle europee, dal momento che i programmi di sorveglianza statale sono particolarmente invasivi. La questione riguarda il trasferimento dei dati personali a Facebook in Usa. I giudici hanno invece considerato valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

Usa, profondamente delusi - Gli Usa si sono detti "profondamente delusi" per la decisione della Corte Ue che ha invalidato il Privacy Shield. "Stiamo studiando la decisione per comprenderne appieno l'impatto pratico", ha dichiarato il segretario Usa al Commercio Wilbur Ross. "Resteremo in stretto contatto con la Commissione Ue - ha aggiunto -. Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi".

Consumatori Ue, bene decisione - "Accogliamo con favore la decisione della Corte di giustizia Ue" che ha deciso di invalidare il Privacy shield. "Dalla sua adozione nel 2016 abbiamo affermato che lo scudo per la privacy non era adeguato per proteggere i dati personali dei consumatori". Così la direttrice dell'associazione dei consumatori europei del Beuc Monique Goyens.

La vicenda - Il cittadino austriaco Maximillian Schrems iscritto a Facebook dal 2008, ha presentato all'autorità irlandese una denuncia diretta, in sostanza, a far vietare tali trasferimenti dei propri dati da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento, sostenendo che la protezione contro l'accesso da parte delle pubbliche autorità era insufficiente. La denuncia venne respinta sulla base del rilievo che nella sua d ecisione 2000/520 – cd. «approdo sicuro» -, la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione.

Investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), la Corte Ue con la sentenza pronunciata il 6 ottobre 2015 ha dichiarato invalida tale decisione («sentenza Schrems I»). A questo punto, il cittadino ha riformulato denuncia (tenendo conto della dichiarazione di invalidità della decisione 2000/520), chiedendo di sospendere o vietare i trasferimenti dei suoi dati personali dall'Unione verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nell'allegato della decisione 2010/87. Successivamente all'avvio del procedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Con la sentenza odierna, la Corte constata che, dall'esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso "la Carta"), non è emerso alcun elemento idoneo ad inficiarne la validità. I giudici dichiarano, invece, invalida la decisione 2016/1250 rispetto ai requisiti risultanti dal RGDP (Regolamento (UE) 2016/679 relativo alla protezionei dati personali), letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva.

Usa, garanzie insufficienti - A tal proposito la Corte rileva che la decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all'interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall'Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell'Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. La Corte rileva che, per taluni programmi di sorveglianza, non emerge in alcun modo l'esistenza di limiti all'autorizzazione e neppure l'esistenza di garanzie per gli stranieri. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell'attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell'Unione, tali da assicurare tanto l'indipendenza del Mediatore previsto da tale meccanismo quanto l'esistenza di norme che consentano al Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.

Salva la decisione sulle clausole di protezione - La Corte esamina poi la validità della decisione 2010/87. Secondo la Corte, la validità di tale decisione non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in quest'ultima, per il loro carattere contrattuale, non vincolano le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell'Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per l'esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l'esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l'onere, in tal caso, per quest'ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Il commento- "La sentenza di oggi - spiega l'avvocato Giulio Coraggio, partner di DLA Piper- ha rilevanti implicazioni sul trasferimento di dati personali al di fuori dell'UE ed è un campanello d'allarme per le imprese situate nell'Unione europea. Per le aziende che in precedenza si affidavano al Privacy Shield, è necessario trovare un meccanismo di trasferimento alternativo. Tuttavia, prima di utilizzare le clausole contrattuali standard (il meccanismo di trasferimento dei dati al di fuori dell'UE alternativo più comunemente utilizzato), le imprese dovranno verificare l'esistenza di adeguate salvaguardie, tenendo conto dei rischi reali di tale trasferimento, nel contesto del settore / industria e di altri fattori rilevanti, compreso il paese di destinazione. Ciò si applicherà anche alle imprese che attualmente utilizzano clausole contrattuali standard. Le autorità privacy dei Paesi UE avranno il compito non invidiabile di determinare l'adeguatezza delle salvaguardie appropriate. È probabile che ciò inneschi un ulteriore ciclo di trattative politiche tra l'UE e gli Stati Uniti".