Un ricostruzione giuridica sulla pronuncia della Corte di giustizia dell'Unione europea Privacy Shield

L’articolo ricostruisce la vicenda giuridica avente ad oggetto il trasferimento dei dati personali dall’Unione agli Stati Uniti d’America dove si trovano i server di molte imprese che trattano i dati dei cittadini dell’Unione. Viene posta ampio spazio alle due sentenze (Schrems I e II) e vengono analizzati le decisioni in merito da parte delle Corte di Giustizia dell’Unione Europea.

Ha fatto molto clamore la sentenza della Corte di Giustizia dell’Unione Europea (CGUE) di invalidare la decisione 1250/2016[1] della Commissione europea che regolava mediante un accordo (denominato per l’appunto Privacy Shield), il trasferimento dei dati dall’Unione Europea agli Stati Uniti. Secondo la CGUE, tale accordo non garantisce un’adeguata protezione, così come stabilito dall’articolo 45 del GDPR che regolamenta il trasferimento dei dati al di fuori dall’Unione.

Per meglio comprendere la vicenda è necessario in prima battuta richiamare il primo comma dell’articolo sopracitato: “Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”. Dalla lettura di questo comma si comprende che la base giuridica su cui si basava il Privacy Shield, al quale si appoggiavano molte imprese americane o aventi server in quel territorio, era una decisione della Commissione Europea.  

La sentenza a cui è arrivata la CGUE si snoda partendo da una lunga vicenda legale iniziata nel 2013, quando ancora era in vigore la normativa previgente al GDPR: la Direttiva 46/95 CE[2]. Sulla base delle dichiarazioni dell’ex collaboratore della CIA, Edward Snowden, secondo esistevano programmi di sorveglianza di massa da parte del Governo statunitense, il cittadino austriaco Maximillian Schrems iscritto al socialnetwork Facebook, lamentava che i propri dati venissero trasferiti da Facebook Ireland verso i server locati negli Stati Uniti, dove venivano trattati. La denuncia presentata avverso l’autorità irlandese, tuttavia veniva respinta in virtù del fatto che questo trasferimento era reso possibile dal precedente accordo della decisione 520/2000[3], denominato “Safe Harbour”. Tuttavia, la High Court of Ireland (Alta Corte di giustizia irlandese), investiva la CGUE di una questione pregiudiziale atta a verificare “se questa decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato”. La questione venne risolta con la Sentenza della CGUE 6 ottobre 2015[4] (nota come Schrems I), la quale dichiarava invalida l’accordo Safe Harbour sulla base di due principi.

Il primo principio, di naturale pregiudiziale stabilisce che “nessuna disposizione della direttiva osta a che le autorità nazionali controllino i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della Commissione. Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva. Tuttavia, la Corte ricorda che solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione.”  Pertanto, si riconosce la possibilità alle autorità nazionali di controllare in piena autonomia il trasferimento dei dati verso paesi terzi ma solo ed in via esclusivs la Corte è competente a dichiarare l’invalidità di un accordo sottoscritto dalla Commissione.

Il secondo principio enunciato dalla Commissione ha ad oggetto la questione sostanziale sottoposta: esso riconosce che “se questo sistema (Safe Harbour) garantisce un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione, la Corte rileva che esso è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate. Inoltre, le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze. Il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, e la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze.”  Alla luce di questo principio si rileva che l’accordo sottoscritto dalle imprese americane poteva essere eluso dalle autorità pubbliche americane che potevano, in virtù di esigenze di sicurezza nazionale poter accedere ai dati trasferiti dall’Unione. Pertanto, la Corte rilevava una situazione di lesione della vita privata dei cittadini.

A seguito di questa sentenza: la Commissione emanava la decisione 1250/2016 (Privacy Shield) che si basava su alcuni atti ascrivibili al governo statunitense (in particolare alla Federal Trade Commission e al Dipartimento di Stato) e sulla decisione di adeguatezza della Commissione; nel mentre l’Alta Corte Irlandese invitava il signor Schrems a riformulare la propria denuncia che verteva su due questioni: la prima sulla decisione 87/2010[5] avente ad oggetto le clausole contrattuali tipiche che regolano il trasferimento dei dati extra UE; la seconda questione riguardava la validità del Privacy Shield. Va ricordato che nel frattempo era entrato in vigore il GDPR.

Ebbene la Corte, con la sentenza del 16 luglio 2020[6] (Schrems II), ha rilevato la validità del clausole contrattuali tipiche sul trasferimento dei dati, in quanto esse devono avere un “livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta.” Pur riconoscendo alle singole autorità di controllo nazionale “la possibilità di sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.”  La validità delle clausole contrattuali trova inoltre il suo fondamento giuridico nell’articolo 46, secondo comma, lettere c) e d) del GDPR.

Di contro, la Corte ha rilevato l’invalidità del Privacy Shield in quanto “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.” Per meglio comprendere l’invalidità dell’accordo va menzionato il principio di adeguatezza richiamato dall’articolo 45 del GDPR. Secondo tale principio si possono trasferire dati in territorio extra UE solo se il livello di protezione è adeguato a quanto posto dalla normativa europea sui dati personali e che ingerenze statuali possono avvenire solo in modo proporzionato e strettamente necessario alla sicurezza. Invero la Corte ha rilevato che gli Stati Uniti, in virtù della normativa interna non offrono un adeguato livello di protezione dei dati e che esso può in modo non proporzionale e non necessario venga eluso da sistemi da programmi di sicurezza nazionale.

Alla luce di questa sentenza, le imprese americane che hanno sottoscritto il Privacy Shield debbano o individuare una nuova base giuridica che può essere individuata nella decisione 87/2010 oppure, trasferire i propri server all’interno dell’Unione Europea.

[1] Testo della decisone consultabile al seguente link: https://eur-lex.europa.eu/legal- content/IT/TXT/PDF/?uri=CELEX:32016D1250&from=IT

[2] Testo della direttiva consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:31995L0046&from=IT

[3] Testo della decisone consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32000D0520&from=IT

[4] Testo della sentenza consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62014CJ0362&from=IT

[5] Testo della decisione consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32010D0087&from=IT

[6] Testo della sentenza consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62018CC0311&from=EN