Pochi giorni fa il caso giudiziario avviato dall’attivista austriaco per la privacy Max Schrems contro Facebook Irlanda ha ricevuto un verdetto atteso da tempo dalla Corte di giustizia dell’Unione europea (CGUE).
In effetti, la tematica della regolamentazione del trasferimento di dati all’estero ha continuato a presentare aspetti complessi e controversi.
Innanzitutto in base alla normativa comunitaria e nazionale la circolazione dei dati all’interno dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108), mentre i trasferimenti al di fuori del SEE sono generalmente vietati a meno che non intervengano specifiche garanzie.
Per quanto riguarda il flusso transfrontaliero dei dati, le norme europee lo definiscono come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.
La precedente direttiva europea sulla privacy (Direttiva 95/46/EC abrogata dal GDPR) stabiliva che il trasferimento di dati personali verso un Paese non appartenente all’Area Economica Europea poteva, come regola generale, essere effettuato solo se tale Paese assicurava un adeguato livello di protezione dei dati. La Direttiva stabiliva, inoltre, che la Commissione Europea potesse verificare che un Paese terzo assicurava un livello adeguato di protezione dei dati in ragione della propria legislazione nazionale o degli accordi presi a livello internazionale.
Con la Decisione 2000/520[1] (di seguito la “Decisione Safe Harbour”), la Commissione Europea riconosceva che i c.d. Principi Safe Harbour sulla Privacy e le relative Domandi Frequenti, approvati dal Dipartimento del Commercio degli Stati Uniti, avrebbero assicurato un’adeguata protezione dei dati personali trasferiti dall’Europa alle società statunitensi aderenti al programma omonimo.
Maximillian Schrems, cittadino austriaco residente in Austria, è un utente di Facebook sin dal 2008; come nel caso di altri utenti residenti nell’Unione europea, i suoi dati personali vengono trasferiti da Facebook Irlanda ai server appartenenti a Facebook Inc. che sono situati negli Stati Uniti, dove vengono sottoposti a trattamento. Nel giugno del 2013 il sig. Schrems presentò un reclamo all’Autorità garante della privacy irlandese, affermando che, alla luce delle rivelazioni emerse nel “caso Snowden” in merito alle attività dei servizi di intelligence statunitensi, le leggi degli Stati Uniti non offrissero sufficiente protezione dalla sorveglianza attuata dalle pubbliche autorità sui dati trasferiti negli USA. Il caso fu rimesso alla Corte Suprema irlandese, la quale, in sede di rinvio pregiudiziale, chiese alla Corte di Giustizia se, a seguito di un reclamo presentato da un cittadino, la Decisione Safe Harbour della Commissione impedisse effettivamente all’Autorità garante irlandese di verificare autonomamente il livello di protezione dei dati offerto dagli Stati Uniti d’America.
Al di là degli aspetti formali, la sostanza era evidente: una sorveglianza governativa a fini di sicurezza nazionale, condotta estensivamente da un Paese terzo senza adeguate garanzie per un cittadino straniero, potrebbe risultare antitetica alla protezione dei diritti umani fondamentali ai sensi della Carta europea dei diritti fondamentali[2].
Il 6 ottobre del 2015 la Corte di Giustizia dell’Unione Europea ha emesso sentenza sulla Causa C-362/14 (Maximillian Schrems vs Data Protection Commissioner, di seguito: la “sentenza Schrems I”)[3], dichiarando invalida la decisione della Commissione Europea sul c.d. programma “Safe Harbour”.
A seguito della sentenza Schrems I e del successivo annullamento da parte del giudice del rinvio della decisione che respingeva la denuncia del sig. Schrems, l’autorità di controllo irlandese ha chiesto al sig. Schrems di riformulare la sua denuncia alla luce della dichiarazione della Corte secondo cui la decisione 2000/520 non era valida. Nella sua denuncia riformulata, Schrems affermava che gli Stati Uniti non offrono sufficiente protezione dei dati trasferiti in quel paese e quindi chiedeva la sospensione o il divieto di trasferimenti futuri dei suoi dati personali dall’UE agli Stati Uniti, che Facebook Irlanda ora eseguiva conformemente alle clausole standard sulla protezione dei dati stabilite nell’allegato alla decisione 2010/87[4].
Considerando che il risultato della denuncia del sig. Schrems dipendeva, in particolare, dalla validità della decisione 2010/87, l’autorità di controllo irlandese ha avviato un procedimento dinanzi all’High Court per far sottoporre alla Corte di Giustizia le questioni pregiudiziali.
Dopo l’avvio di tali procedimenti, la Commissione ha adottato la decisione 2016/1250 sull’adeguatezza della protezione fornita dallo ‘scudo per la privacy UE-USA’[5] (“la decisione sul Privacy Shield“).
Con la domanda di pronuncia pregiudiziale, il giudice del rinvio chiedeva alla Corte di giustizia se il GDPR si applicasse ai trasferimenti di dati personali ai sensi delle clausole standard di protezione dei dati nella Decisione 2010/87, quale livello di protezione fosse richiesto dal GDPR in relazione a tale trasferimento e quali obblighi incombessero alle autorità di controllo in tali circostanze. L’Alta Corte sollevava anche la questione della validità sia della decisione 2010/87 che della decisione 2016/1250.
Il 16 luglio 2020 la sentenza[6] (cd. ‘Schrems II’) ha invalidato lo scudo per la privacy USA-UE e ha riconosciuto la legalità delle ‘clausole contrattuali tipo’ (Standard Contractual Clauses, di seguito SCC) nei trasferimenti internazionali di dati.
La Corte di Giustizia anzitutto ha ribadito la applicabilità del Regolamento (UE) 2016/679 (GDPR) e dei principi in esso contenuti anche ai dati personali che al tempo del trasferimento o successivamente potevano essere trattati dalle Autorità per finalità di pubblica sicurezza, difesa o sicurezza nazionale.
Come noto il GDPR prevede che il trasferimento di dati a un paese terzo può, in linea di principio, aver luogo solo se il paese terzo in questione garantisce un adeguato livello di protezione dei dati. Secondo il GDPR, la Commissione può ritenere che un paese terzo garantisca, in ragione della sua legislazione nazionale o dei suoi impegni internazionali, un livello adeguato di protezione (art. 45 del GDPR). In mancanza di una decisione di adeguatezza, tale trasferimento può avvenire solo se l’esportatore di dati personali stabilito nell’UE ha fornito garanzie adeguate, che possono derivare, in particolare, dalle clausole standard sulla protezione dei dati adottate dalla Commissione e se i soggetti a cui i dati si riferiscono hanno diritti esercitabili (enforceable rights) e rimedi legali efficaci (art. 46, paragrafi 1 e 2, lettera c), del GDPR). Inoltre, il GDPR dettaglia le condizioni alle quali tale trasferimento può aver luogo in assenza di una decisione di adeguatezza o garanzie adeguate (art. 49).
I Giudici chiariscono che il Paese extra UE ricevente deve garantire un livello di protezione ‘essenzialmente equivalente’ a quello assicurato nell’ambito dell’UE. Detta valutazione sulla adeguatezza delle garanzie va fatta
(i) in considerazione delle clausole contrattuali concordate tra le parti,
(ii) avendo riguardo all’accesso che le Autorità pubbliche del Paese extra UE possono effettuare su detti dati personali e, più in generale, sugli aspetti rilevanti del sistema legale del Paese ricevente.
Nella Schrems II i Giudici hanno quindi valutato la conformità alla normativa privacy della decisione della Commissione sulle cd. ‘clausole contrattuali tipo’ (n. 2010/87) e della decisione sullo ‘scudo per la privacy UE-USA’(Privacy Shield, n.2016/1250).
La Corte del Lussemburgo ha confermato la validità della decisione della Commissione sulle clausole standard, in quanto includono efficaci meccanismi che consentano in concreto di assicurare un livello di protezione equivalente a quello dell’UE. Le clausole standard infatti impongono
(i) al soggetto che esporta i dati di verificare prima del trasferimento, se il livello di protezione richiesto sia rispettato nel Paese extra UE;
(ii) al soggetto ricevente di informare il soggetto che esporta di ogni eventuale impossibilità in tal senso; e
(iii) in mancanza dei requisiti, il trasferimento è obbligatoriamente sospeso e/o il contratto risolto.
Diverse le conclusioni dei Giudici sulla decisione della Commissione relativa al Privacy Shield.
La Corte considera, innanzitutto, che il diritto dell’UE, e in particolare il GDPR, si applica al trasferimento di dati personali a fini commerciali da parte di un operatore economico stabilito in uno Stato membro a un altro operatore economico stabilito in un paese terzo, anche se, al momento del trasferimento o successivamente, tali dati possono essere trattati dalle autorità del paese terzo in questione per finalità di pubblica sicurezza, difesa e sicurezza dello Stato. E questo tipo di trattamento da parte delle autorità di un paese terzo non può precludere tale trasferimento dal campo di applicazione del GDPR.
Per quanto riguarda il livello di protezione richiesto in relazione a tale trasferimento, la Corte ritiene che i requisiti stabiliti per tali fini dal GDPR in merito a garanzie adeguate, diritti concretamente esercitabili e mezzi di ricorso efficaci devono essere interpretati nel senso che agli interessati i cui dati personali sono trasferiti in un paese terzo in base alle clausole standard sulla protezione dei dati deve essere garantito un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE dal GDPR, letto alla luce della Carta. In tali circostanze, la valutazione di tale livello di protezione deve tenere conto sia delle clausole contrattuali concordate tra l’esportatore di dati stabilito nell’UE e il destinatario del trasferimento stabilito nel paese terzo interessato che, per quanto riguarda qualsiasi accesso da parte delle autorità pubbliche di tale paese terzo ai dati trasferiti, gli aspetti pertinenti dell’ordinamento giuridico di quel paese.
Per quanto riguarda gli obblighi delle autorità di vigilanza in relazione a tale trasferimento, la Corte ritiene che, a meno che non vi sia una decisione di adeguatezza della Commissione valida, tali autorità di vigilanza competenti sono tenute a sospendere o vietare il trasferimento di dati personali verso un paese terzo dove considerino , alla luce di tutte le circostanze di tale trasferimento, che le clausole standard di protezione dei dati non sono o non possono essere rispettate in quel paese e che la protezione dei dati trasferiti richiesta dal diritto dell’UE non possa essere garantita con altri mezzi, laddove l’esportatore di dati stabilito nell’UE non abbia di per sé sospeso o posto fine a tale trasferimento .
Esaminando la validità della decisione 2010/87, la Corte ritiene che
- non sia messa in discussione dal semplice fatto che le clausole standard sulla protezione dei dati in tale decisione non vincolano, dato che sono di natura contrattuale, le autorità del paese terzo in cui i dati possono essere trasferiti, ma
- dipende se la decisione includa meccanismi efficaci che consentano, in pratica, di assicurare il rispetto del livello di protezione richiesto dal diritto dell’UEe che i trasferimenti di dati personali ai sensi di tali clausole siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di onorarle.
La Corte trova che la Decisione 2010/87 istituisce tali meccanismi. In particolare, essa
- impone a un esportatore di dati e al destinatario dei dati l’obbligo di verificare, prima di qualsiasi trasferimento, se tale livello di protezione sia rispettato nel paese terzo interessato e
- impone al destinatario di informare l’esportatore di dati sull’eventuale incapacità di conformarsi a clausole standard di protezione dei dati, quest’ ultimo essendo a sua volta obbligato a sospendere il trasferimento di dati e / o a risolvere il contratto con il primo.
La Corte esamina quindi la validità della Decisione 2016/1250 alla luce dei requisiti derivanti dal GDPR, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e il diritto a un’efficace protezione giudiziaria.
A tal proposito, la Corte nota che tale decisione sancisce la posizione (come già la Decisione 2000/520) secondo cui le esigenze della sicurezza nazionale, dell’interesse pubblico e delle forze dell’ordine statunitensi hanno il primato anche in caso di interferenza con i diritti fondamentali delle persone i cui dati sono trasferiti a tale paese terzo.
Secondo la Corte, le limitazioni alla protezione dei dati personali che sorgono dal diritto interno degli Stati Uniti sull’accesso e l’uso da parte delle autorità pubbliche statunitensi di tali dati trasferiti dall’Unione europea, che la Commissione aveva valutato nella decisione 2016/1250, non sono circoscritte in modo tale da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti dalle norme UE, secondo il principio di proporzionalità, nella misura in cui i programmi di sorveglianza basati su tali disposizioni non sono limitati a ciò che è strettamente necessario.
Anzi, sulla base delle conclusioni di tale decisione, per alcuni programmi di sorveglianza, le disposizioni non indicano eventuali limitazioni al potere che conferiscono per attuare tali programmi o l’esistenza di garanzie per soggetti non statunitensi potenzialmente interessati. La Corte aggiunge che, sebbene quelle disposizioni stabiliscano i requisiti cui le autorità statunitensi devono conformarsi durante l’attuazione dei programmi di sorveglianza in questione, le disposizioni stesse non consentono agli interessati di agire per la difesa dei propri diritti dinanzi ai tribunali contro le autorità statunitensi.
Per quanto riguarda il requisito della protezione giurisdizionale, la Corte sostiene che, contrariamente a quanto sostenuto dalla Commissione nella Decisione 2016/1250, il meccanismo del difensore civico di cui alla decisione stessa non fornisce agli interessati possibilità di azione dinanzi a un ente che offra garanzie sostanzialmente equivalenti a quelle richieste dal diritto dell’UE, tali da assicurare sia l’ indipendenza del Difensore Civico (Ombudsperson) prevista da tale meccanismo che l’ esistenza di norme che autorizzino il Difensore ad adottare decisioni vincolanti per i servizi statunitensi.
“Per questi motivi, la Corte (Grande Sezione) dichiara:
- l’art. 46, par. 1 e par. 2, lettera c), GDPR devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito in UE da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione
- tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato
- quanto, riguardo un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, par. 2, GDPR.
- l’art. 58, par.2, lettere f) e j), GDPR deve essere interpretato nel senso che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea, l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento,
- che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e
- che la protezione dei dati trasferiti richiesta dal diritto dell’Unione, segnatamente dagli articoli 45 e 46 GDPR e dalla Carta dei diritti fondamentali, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.
– “Dall’esame della decisione 2010/87/UE della Commissione, relativa alle ‘clausole contrattuali tipo’ per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità”.
– “La decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida”.
Con tutta evidenza, la sentenza ‘Schrems II’ appare fondamentale nell’ambito dell’interpretazione ed applicazione della normativa sul trasferimento dei dati personali dall’UE agli USA ed è destinata ad avere un forte impatto per aziende e gruppi americani con società in Europa e società europee che trasferiscono i dati verso gli USA, ma non solo.
Tanto è vero che già il 17 luglio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato il suo Statement [7]in cui “accoglie con favore il giudizio della CGUE, che evidenzia il diritto fondamentale alla privacy nel contesto del trasferimento di dati personali a paesi terzi.
La decisione della CGUE è di grande importanza”. (..) “Per quanto riguarda lo scudo per la privacy, l’EDPB sottolinea che l’UE e gli Stati Uniti dovrebbero realizzare un quadro completo ed efficace che garantisca che il livello di protezione riservato ai dati personali negli Stati Uniti sia sostanzialmente equivalente a quello garantito all’interno dell’UE, in linea con la sentenza”. (..) “L’EDPB aveva identificato in passato alcuni dei principali difetti dello scudo per la privacy su cui la CGUE ha motivato la sua decisione di dichiararlo invalido”. In particolare, l’EDPB aveva messo in dubbio nelle sue relazioni sulle revisioni annuali congiunte del Privacy Shield la conformità con i principi di data protection di necessità e proporzionalità nell’applicazione della legge degli Stati Uniti.
Altro punto importante segnalato dall’EDPB riguarda le SCC: sebbene restino valide, “la CGUE sottolinea la necessità di garantire che mantengano, in pratica, un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR alla luce della Carta dell’UE. La valutazione se i paesi a cui vengono inviati i dati offrano una protezione adeguata è in primo luogo responsabilità dell’esportatore e dell’importatore” (..) “Nell’eseguire tale valutazione preventiva, l’esportatore (se necessario, con l’assistenza dell’importatore) deve tener conto del contenuto delle SCC, delle circostanze specifiche del trasferimento e del regime giuridico applicabile nel paese dell’importatore. L’esame di quest’ultimo deve essere effettuato alla luce dei fattori non esaustivi di cui all’articolo 45, paragrafo 2, del GDPR”.
Se il risultato di questa valutazione è che il paese dell’importatore non fornisce un livello di protezione sostanzialmente equivalente, “l’’esportatore potrebbe dover prendere in considerazione l’adozione di misure aggiuntive rispetto a quelle incluse nelle SCC. L’EDPB sta esaminando ulteriormente in cosa potrebbero consistere queste misure aggiuntive”.
Infine, “’l’EDPB valuterà la sentenza in modo più dettagliato e fornirà ulteriori chiarimenti alle parti interessate e indicazioni sull’uso degli strumenti per il trasferimento di dati personali verso paesi terzi ai sensi della sentenza”.
Basti pensare alle ‘FAANG’[8], nonché ai giganti del Cloud e in generale a tutti i servizi di “software as a service” (SaaS), per immaginare l’estensione delle conseguenze e dei prossimi sviluppi.
Sergio Guida
[1] Decisione della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa all’adeguatezza della protezione fornita dai principi di tutela della sicurezza dei porti e dalle relative domande frequenti rilasciato dal Dipartimento del Commercio degli Stati Uniti (GU 2000, pag. 7).
[2] Per ragioni di spazio, non posso che limitarmi a richiamare evidenti divergenze tra i sistemi di principi e di valori che, storicamente, hanno permeato i diversi ordinamenti giuridici, così come un accenno (solo a livello di input) alla mai sopita dialettica tra giusnaturalismo e positivismo giuridico, ad es., rivitalizzata dai problemi attuali.
[3] Sentenza della Corte di giustizia nella causa C-362/14 del 6 ottobre 2015 in http://curia.europa.eu/juris/document/ document.jsf?docid=169195&doclang=IT.
[4] Decisione della Commissione, del 5 febbraio 2010, relativa a clausole contrattuali standard per il trasferimento di dati personali a trasformatori stabiliti in paesi terzi ai sensi della direttiva 95/46 / CE del Parlamento europeo e del Consiglio, come modificato dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016 (GU L 344, pag. 100).
[5] DECISIONE DI ESECUZIONE (UE) 2016/1250 DELLA COMMISSIONE del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy [notificata con il numero C(2016) 4176] in https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32016D1250.
[6] Corte di giustizia dell’Unione europea – Lussemburgo, 16 luglio 2020 – Sentenza nella causa C-311/18 – Commissario per la protezione dei dati contro Facebook Irlanda e Maximillian Schrems in http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=11090593.
[7] Statement on the Court of Justice of the European Union Judgment in Case C-311/18 – Data Protection Commissioner v Facebook Ireland and Maximillian Schrems in https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en .
[8] ‘FAANG’ è un acronimo che si riferisce alle azioni di cinque importanti società tecnologiche americane, quotate al NASDAQ: Facebook (FB), Amazon (AMZN), Apple (AAPL), Netflix (NFLX); e Google (GOOG).