TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: invalido il sistema di trasferimento dei dati personali in USA sulla base del c.d. Safe Harbour.
Sta facendo parlare – e molto (qualcuno ha parlato di “terremoto digitale con epicentro Bruxelles”) – la recente sentenza della Corte di Giustizia UE con la quale è stato deciso che l’accordo c.d. del Safe Harbour, cioè la norma sull’approdo sicuro dei dati personali trasferiti verso gli USA che ha certificato 15 anni fa i rapporti di fiducia tra Bruxelles e gli Stati Uniti, non è valido.
Il caso è presto riassunto: Maximilian Schrems è un cittadino austriaco che fin dal 2008 è titolare di un account Facebook. Come per molti altri utenti titolari di un account Facebook, alcuni dei dati personali forniti da Schrems a Facebook vengono trasferiti dai servers della società irlandese controllata da Facebook verso servers ubicati negli Stati Uniti d’America, dove sono oggetto di trattamento. Lo studente austriaco propone ricorso all’Autorità per la protezione dei dati personali irlandese (il “Data Protection Commissioner”) sostenendo che in base alle rivelazioni fatte da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA (in particolare la National Security Agency – NSA e il programma di controllo Prism), il quadro giuridico degli Stati Uniti non offrirebbe quell’”adeguato livello di protezione dei dati personali” (con particolare riferimento alle attività di sorveglianza delle autorità pubbliche) che è presupposto ineliminabile (tanto nella Direttiva UE sulla tutela dei dati personali, quanto nelle legislazioni nazionali di recepimento degli Stati Membri) per rendere lecito il trasferimento dei dati verso gli USA. Il Garante privacy irlandese respinge il ricorso richiamando in particolare la Decisione 26 Luglio 2000 n. 520 della Commissione UE, secondo la quale i "Principi di approdo sicuro in materia di riservatezza" allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune "Domande più frequenti" (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Unione Europea ad organizzazioni aventi sede negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense. In base dunque alla c.d. Decisione Safe Harbour, la Commissione UE considerava gli Stati Uniti come Paese che assicura un adeguato livello di protezione dei dati personali ivi trasferiti.
L’Alta Corte irlandese, alla quale Maximilian Schrems si rivolge per impugnare la deliberazione del Data Protection Commissioner, decide quindi di coinvolgere la Corte di Giustizia UE sollevando una questione interpretativa preliminare per accertare se in la Decisione Safe Harbour determina l’effetto di impedire che una Autorità privacy nazionale possa decidere su un ricorso che contesti che un paese terzo non assicura un adeguato livello di protezione dei dati e – ove appropriato – sospenda il trasferimento dei dati.
Nella sua sentenza del 6 ottobre 2015, la Corte di Giustizia UE ha chiarito che l’esistenza di una decisione della Commissione che stabilisce che un paese terzo (ovviamente extra UE) assicura un adeguato livello di protezione dei dati personali trasferiti in quel Paese non può eliminare - e nemmeno ridurre o limitare - i poteri delle Autorità di controllo nazionali ai sensi sia della Carta Fondamentale dei Diritti dell’Unione Europea che della Direttiva sulla protezione dei dati (la Direttiva 95/46/CE). In particolare la Corte di Giustizia richiama il diritto alla protezione dei dati personali garantito dalla Carta e i compiti di tutela demandati sempre dalla Carta alle Autorità nazionali di garanzia.
Inoltre, la Corte osserva che lo “schema di approdo sicuro” è applicabile esclusivamente alle imprese americane che ad esso aderiscono, mentre le stesse autorità pubbliche USA non sono invece soggette a tale schema. Inoltre, esigenze sovrane quali la sicurezza nazionale, il pubblico interesse e le necessità di applicazione di principi normativi dell’ordinamento degli Stati Uniti d’America prevalgono sullo “schema di approdo sicuro”, con la oggettiva conseguenza che le organizzazioni con sede negli USA sono addirittura obbligate, senza limitazione alcuna, a disapplicare i principi di tale schema cui pure abbiano aderito se essi entrano in conflitto che le superiori esigenze pubbliche appena segnalate. Lo schema di approdo sicuro come applicato negli USA rende dunque possibile l’interferenza – da parte delle autorità pubbliche americane – con i diritti fondamentali delle persone e la Decisione Safe Harbour della Commissione non solo non fa riferimento alla esistenza negli Stati Uniti d’America di regole che possano limitare tale interferenza, ma neanche alla esistenza di effettive tutele legali che proteggano da una tale interferenza.
Con queste motivazioni, la Corte ha invalidato il sistema del Safe Harbour
Il caso è presto riassunto: Maximilian Schrems è un cittadino austriaco che fin dal 2008 è titolare di un account Facebook. Come per molti altri utenti titolari di un account Facebook, alcuni dei dati personali forniti da Schrems a Facebook vengono trasferiti dai servers della società irlandese controllata da Facebook verso servers ubicati negli Stati Uniti d’America, dove sono oggetto di trattamento. Lo studente austriaco propone ricorso all’Autorità per la protezione dei dati personali irlandese (il “Data Protection Commissioner”) sostenendo che in base alle rivelazioni fatte da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA (in particolare la National Security Agency – NSA e il programma di controllo Prism), il quadro giuridico degli Stati Uniti non offrirebbe quell’”adeguato livello di protezione dei dati personali” (con particolare riferimento alle attività di sorveglianza delle autorità pubbliche) che è presupposto ineliminabile (tanto nella Direttiva UE sulla tutela dei dati personali, quanto nelle legislazioni nazionali di recepimento degli Stati Membri) per rendere lecito il trasferimento dei dati verso gli USA. Il Garante privacy irlandese respinge il ricorso richiamando in particolare la Decisione 26 Luglio 2000 n. 520 della Commissione UE, secondo la quale i "Principi di approdo sicuro in materia di riservatezza" allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune "Domande più frequenti" (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Unione Europea ad organizzazioni aventi sede negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense. In base dunque alla c.d. Decisione Safe Harbour, la Commissione UE considerava gli Stati Uniti come Paese che assicura un adeguato livello di protezione dei dati personali ivi trasferiti.
L’Alta Corte irlandese, alla quale Maximilian Schrems si rivolge per impugnare la deliberazione del Data Protection Commissioner, decide quindi di coinvolgere la Corte di Giustizia UE sollevando una questione interpretativa preliminare per accertare se in la Decisione Safe Harbour determina l’effetto di impedire che una Autorità privacy nazionale possa decidere su un ricorso che contesti che un paese terzo non assicura un adeguato livello di protezione dei dati e – ove appropriato – sospenda il trasferimento dei dati.
Nella sua sentenza del 6 ottobre 2015, la Corte di Giustizia UE ha chiarito che l’esistenza di una decisione della Commissione che stabilisce che un paese terzo (ovviamente extra UE) assicura un adeguato livello di protezione dei dati personali trasferiti in quel Paese non può eliminare - e nemmeno ridurre o limitare - i poteri delle Autorità di controllo nazionali ai sensi sia della Carta Fondamentale dei Diritti dell’Unione Europea che della Direttiva sulla protezione dei dati (la Direttiva 95/46/CE). In particolare la Corte di Giustizia richiama il diritto alla protezione dei dati personali garantito dalla Carta e i compiti di tutela demandati sempre dalla Carta alle Autorità nazionali di garanzia.
Inoltre, la Corte osserva che lo “schema di approdo sicuro” è applicabile esclusivamente alle imprese americane che ad esso aderiscono, mentre le stesse autorità pubbliche USA non sono invece soggette a tale schema. Inoltre, esigenze sovrane quali la sicurezza nazionale, il pubblico interesse e le necessità di applicazione di principi normativi dell’ordinamento degli Stati Uniti d’America prevalgono sullo “schema di approdo sicuro”, con la oggettiva conseguenza che le organizzazioni con sede negli USA sono addirittura obbligate, senza limitazione alcuna, a disapplicare i principi di tale schema cui pure abbiano aderito se essi entrano in conflitto che le superiori esigenze pubbliche appena segnalate. Lo schema di approdo sicuro come applicato negli USA rende dunque possibile l’interferenza – da parte delle autorità pubbliche americane – con i diritti fondamentali delle persone e la Decisione Safe Harbour della Commissione non solo non fa riferimento alla esistenza negli Stati Uniti d’America di regole che possano limitare tale interferenza, ma neanche alla esistenza di effettive tutele legali che proteggano da una tale interferenza.
Con queste motivazioni, la Corte ha invalidato il sistema del Safe Harbour
