La Corte di giustizia dell’Unione europea (Cgue) ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal Privacy shield, lo scudo Ue-Usa per la protezione dei dati dei cittadini e delle imprese europei. Per la Cgue, gli Stati Uniti non offrono infatti garanzie in linea con il Gdpr e i programmi di sorveglianza americani vanno oltre i limiti sanciti dalle tutele europee sui dati.
“Ai sensi del Regolamento generale sulla protezione dei dati il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”, si legge nella nota della Cgue.
Secondo la Corte, continua la nota, “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici”.
Il caso Schrems-Facebook
Il caso trae origine dalla denuncia del cittadino e attivista austriaco Max Schrems, i cui dati furono trasferiti da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, dove vengono trattati con garanzie diverse da quelle dell’Ue. Schrems ha contestato a Facebook di aver violato diverse disposizioni in materia di protezione dei dati relativamente al suo account Facebook privato e agli account di altri utilizzatori che gli avrebbero ceduto i loro diritti per tale azione. L’attivista ha portato la causa in Irlanda, dove Facebook ha la sede europea.
L’Alta corte d’Irlanda ha poi stabilito che l’ultima parola spettava alla Cgue, respingendo la richiesta del social network di passare la palla alla Corte suprema irlandese. L’Alta corte ha affermato che esistono motivi fondati per temere che la legislazione degli Stati Uniti sia priva di misure pro-privacy efficaci compatibili con il Gdpr e che spetta dunque alla Cgue decidere se i metodi usati per il trasferimenti transatlantico dei dati – incluse le clausole contrattuali del Privacy shield – siano legali.
Schrems è noto esser riuscito a portare all’invalidamento del precedente accordo Ue-Usa Safe Harbor sul trasferimento dei dati dei cittadini europei costringendo Facebook a rivedere le sue norme. Dopo l’annullamento del Safe Harbor, Usa e Ue hanno siglato un altro accordo sullo scambio dei dati, il Privacy shield.
La sentenza Cgue: tutele non in linea col Gdpr
Nella sentenza di oggi la Corte di giustizia europea considera, anzitutto, che il diritto dell’Unione, e segnatamente il Gdpr, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato, si legge nel comunicato diffuso dalla Cgue. La Corte precisa che tale tipo di trattamento di dati ad opera delle autorità di un Paese terzo non può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento Gdpr.
Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal Gdpr. La valutazione di tale livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo.
Relativamente agli obblighi che incombono alle autorità di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce ai cittadini europei un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore quanto l’esistenza di norme che consentano al Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
