Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Grande Camera della Corte di Giustizia dell’Unione Europea ha invalidato la decisione n. 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, il c.d. Privacy Shield.
La sentenza è stata emessa al termine di un ennesimo ricorso presentato dal cittadino Maximilian Schrems, famoso per aver intrapreso una battaglia per la protezione dei dati dei cittadini europei sin dal 2008: fu proprio un suo ricorso a far caducare la precedente decisione di adeguatezza sul trasferimento dei dati tra l’UE e gli USA, il c.d. Safe Harbour, ed a spingere la Commissione ad una decisione di adeguatezza più stringente, ma che comunque non ha resistito agli urti del GDPR (e alle esigenze economiche europee).
Proviamo a capire le ragioni della decisione e le sue conseguenze in questo podcast dell’Avv. Paolo Palmieri.
Ascoltalo qui o sulla tua piattaforma preferita:
Versione testuale
La Corte UE dichiara invalido il Privacy Schield
Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Grande Camera della Corte di Giustizia dell’Unione Europea ha invalidato la decisione n. 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, il c.d. Privacy Shield. La sentenza è stata emessa al termine di un ennesimo ricorso presentato dal cittadino Maximilian Schrems, famoso per aver intrapreso una battaglia per la protezione dei dati dei cittadini europei sin dal 2008: fu proprio un suo ricorso a far caducare la precedente decisione di adeguatezza sul trasferimento dei dati tra l’UE e gli USA, il c.d. Safe Harbour, ed a spingere la Commissione ad una decisione di adeguatezza più stringente, ma che comunque non ha resistito agli urti del GDPR (e alle esigenze economiche europee).
GDPR e decisioni di adeguatezza della Commissione
Ai sensi dell’art. 45 del GDPR, il regolamento europeo sulla protezione dei dati personali 2016/679, il trasferimento dei dati personali verso un Paese terzo esterno all’UE può avvenire, in linea di principio, solo se la Commissione Europea decide che il Paese terzo garantisce a tali dati un adeguato livello di protezione.
Assorbendo le indicazioni fornite nella decisione Schrems I dalla Corte di Giustizia Europea (6 ottobre 2015, causa C‑362/14), il legislatore europeo ha puntualizzato al secondo comma dell’articolo 45 quali sono gli elementi di cui la Commissione deve tenere conto nel valutare l’adeguatezza del Paese terzo o dell’organizzazione internazionale: tra tutti, la necessaria presenza (e l’effettivo funzionamento) di una Autorità indipendente a protezione dei dati nel Paese terzo o che abbia poteri effettivi sull’Organizzazione, oltre che gli impegni internazionali giuridicamente vincolanti assunti dal Paese terzo. Inoltre, le decisioni di adeguatezza devono essere riesaminate ogni quattro anni (nel caso del Privacy Shield, ogni anno), in modo tale da garantire un monitoraggio continuo sulle tutele approntate dal Paese terzo.
Nel caso in cui la Commissione non si esprima positivamente riguardo all’adeguatezza di un soggetto terzo, ai sensi dell’art. 46 del GDPR, la Commissione può autorizzare il trasferimento quando sono presenti: strumenti giuridicamente vincolanti aventi efficacia tra le autorità o organismi pubblici; norme vincolanti d’impresa o binding corporate rules, come descritte nell’articolo 47 del GDPR; clausole tipo dette anche clausole contrattuali standard, adottate dalla Commissione secondo la procedura prevista all’articolo 93 del GDPR; codici di condotta e meccanismi di certificazione, approvati ai sensi del GDPR.
All’articolo 49, invece, sono elencati i casi in cui non è necessaria una specifica autorizzazione.
Dal Safe Harbour al Privacy Shield
I primi sconvolgimenti in materia di trasferimento dei dati tra l’UE e gli USA si ebbero quando il sig. Schrems presentò all’autorità irlandese di controllo una denuncia diretta a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurassero una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale Paese.
La denuncia fu inizialmente respinta sulla base del rilievo che con il Safe Harbour, la Commissione aveva constatato che gli Stati Uniti garantissero un livello adeguato di protezione. Con la sentenza pronunciata il 6 ottobre 2015, la Corte di Giustizia UE, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), dichiarò invalido il Safe Horbour.
Anche in virtù di detta sentenza, la Commissione Europea adottò la decisione 2016/1250 in oggetto, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, appunto il Privacy Shield.
In tale decisione, la Commissione afferma che “Lo scudo UE-USA per la privacy è costituito dai principi emanati dal Dipartimento del Commercio degli Stati Uniti il 7 luglio 2016, riportati nell’allegato II, e dalle dichiarazioni e impegni ufficiali riportati nei documenti di cui agli allegati I e da III a VII”. In altri termini, le organizzazioni statunitensi hanno potuto trasferire i dati degli europei nei propri server americani adottando lo “scudo privacy” di cui alla presente decisione di adeguatezza: il Privacy Shield altro non è, infatti che un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere sui propri server dati personali dall’Unione Europea.
La decisione di invalidità della Corte di Giustizia
Sempre su impulso del sig. Schrems, l’High Court irlandese ha sollevato questione pregiudiziale alla Corte di Giustizia U E sull’applicabilità del GDPR ai trasferimenti di dati personali fondati su clausole tipo di protezione (contenute nella decisione 2010/87) e sulla validità del Privacy Shield.
Con la sua sentenza nella causa C-311/2018, la Corte di Giustizia UE ha constatato che, dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità. Ha, invece, dichiarato invalida la decisione 2016/1250 ed il c.d. Privacy Shield.
Il ragionamento della Corte parte dal presupposto che il GDPR debba applicarsi anche al trasferimento di dati nei Paesi terzi.
La sentenza non invalida la decisione della Commissione 2010/87 sul trasferimento dei dati autorizzato dalla Commissione grazie alla presenza di clausole tipo di protezione realmente applicate nel Paese di destinazione, ma invalida solo la decisione 2016/1250 sul Privacy Shield che, a dire della Corte, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso gli USA.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti non sono tali da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione Europea, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario, e gli interessati non hanno diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.
In altri termini, gli interessati da questo tipo di trattamento dei dati non hanno parità di trattamento nell’azionare i propri diritti innanzi ad un’Autorità indipendente negli USA, così come invece accede in UE. Sicuramente i casi di ingerenza delle Autorità americane nel flusso dei dati dei social network hanno inciso su tale decisione: ricordiamo tutti lo scandalo Cambridge Analytica, ma soprattutto la denuncia di Edward Snowden sull’esistenza di un sistema di sorveglianza di massa guidato dalla Nsa, l’Agenzia di sicurezza nazionale americana, e dalla Cia, portato avanti grazie al tacito accordo con i grandi colossi tecnologici – da Google a Facebook a Apple – che condividevano con le agenzie statali i dati personali dei loro utenti.
Conclusioni
Ovviamente la sentenza non interrompe la condivisione di dati tra l’UE e gli USA, appunto perché il GDPR considera tanti altri e flessibili strumenti per legittimare i trasferimenti di dati personali al di fuori dell’UE, (a partire dalle c.d. clausole contrattuali standard, salavate da questa sentenza), ma impone comunque un’intensificazione dei controlli da parte delle Autorità di vigilanza nazionali ed obbliga la Commissione UE e il Dipartimento del Commercio americano ad intavolare una nuova trattativa per il trasferimento dei dati.
I meccanismi delle clausole contrattuali standard consentono a chi trasferisce i dati di sospendere o terminare i trasferimenti se l’importatore non è in grado di onorare i propri obblighi ai sensi delle clausole contrattuali standard; e conferiscono alle Autorità nazionali di protezione dei dati di sospendere i trasferimenti caso per caso se ritengono che le clausole contrattuali standard non possano essere rispettate.
È possibile che le Autorità nazionali concedano alle aziende un periodo di tempo per conformarsi a tali clausole, prima di procedere a verifiche ed a comminare sanzioni (che possono essere anche molto elevate).
Come ricordato dal Dipartimento americano in un comunicato stampa avente il sapore di una velata minaccia, diffuso nell’immediatezza della pubblicazione della sentenza della Corte di Giustizia UE, le relazioni economiche transatlantiche valgono $7.1 trillion, e sono vitali per l’economia di entrambi i continenti.
In ballo non c’è, dunque, solo la protezione dei dati personali dei cittadini UE, ma lo sviluppo delle economie di entrambi i continenti, vista l’importanza che ha assunto, oggi, il business dei dati personali.