Con sentenza del 6 ottobre 2015 (causa C-362/14) la Corte di Giustizia Europea ha dichiarato invalida la decisione della Commissione che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti. In particolare, la Corte ha stabilito che le autorità nazionali di controllo, investite di una domanda, possono, anche se esiste una decisione della Commissione che dichiara che un paese terzo offre un adeguato livello di protezione dei dati personali: (i) esaminare se il trasferimento dei dati di una persona verso quel paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali dati, nonché (ii) adire i giudici nazionali affinché procedano ad un rinvio pregiudiziale innanzi alla Corte di Giustizia per l’esame della validità della decisione. A tal proposito, si precisa che la Direttiva 95/46/CE sul trattamento dei dati personali –implementata al riguardo a livello italiano dagli articoli 42 e ss del DLgs 196/2003 – dispone che il trasferimento di dati verso un paese terzo può avere luogo, in linea di principio, solo se il paese terzo di cui trattasi garantisce per questi dati un adeguato livello di protezione. Sempre secondo la Direttiva, la Commissione può constatare che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisce un livello di protezione adeguato.
Il merito del procedimento. Il sig. Maximilian Schrems, un cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione, i dati forniti dal sig. Schrems a Facebook sono trasferiti, in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento. Il sig. Schrems ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency, o «NSA»), il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di Safe Harbour (“approdo sicuro”) gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. Al riguardo, si precisa che il regime dell’approdo sicuro consta di una serie di principi, relativi alla protezione dei dati personali, che le imprese americane possono volontariamente sottoscrivere. La High Court of Ireland, investita della causa, ha voluto quindi sapere se la suddetta decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato.
Con riferimento alla verifica effettuata circa la validità della decisione della Commissione del 26 luglio 2000, la Corte ha rilevato in particolare che il regime dell’approdo sicuro è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate. Inoltre, le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze. Il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone. La Corte ha dichiarato quindi che una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata. Parimenti, la Corte ha osservato che una normativa che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto.
Importante decisione questa della Corte, che conferma come i diritti fondamentali della persona non solo costituiscono i principi supremi dell’ordinamento dell’Unione ma qualificano altresì la stessa struttura democratica di uno Stato di diritto, la quale verrebbe sovvertita qualora questi fossero diminuiti, sospesi e/o violati. Detti valori devono essere oggetto di specifica tutela, assumendo una valenza giuridica di tale essenzialità da poter affermare che la stessa organizzazione dell’Unione e dei pubblici poteri sia – e debba essere – prevalentemente funzionale alla loro attuazione e protezione.